Сейчас занимаюсь среди прочих дел тем, что подготавливаю пособие по TMG, которое надо сдать к 15 сентября 2012 г. Публикую отрывок из 1-й главы. В ближайшее время будет опубликован материал и из других глав пособия.Учитывая, что дальше идет объемный текст из первой главы, традиционную ссылку на полезный сайт в сети Интернет даю в начале текста. Сегодня эта информация пригодится тем, кто будет заказывать авиабилеты из краснодара.
Перехожу к главной теме.
Глава 1. (Фрагмент главы, бета вариант) Процесс установки Microsoft Forefront Threat Management Gateway 2010
В данной главе пособия дается краткая характеристика продукта его назначение и область применения, рассматривается установка и использование Microsoft Forefront Threat Management Gateway 2010. Далее в тексте в качестве сокращений используются так же названия Forefront TMG 2010 и TMG.
Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG) является дальнейшим развитием известного продукта Microsoft Internet Security and Acceleration Server (ISA Server). В новой версии были существенно дополнены старые и добавлены новые возможности и, так как изменений было сделано много и носили они революционный, а не эволюционный характер, то Microsoft выпустила новую версию продукта под новым названием. Microsoft Forefront Threat Management Gateway 2010 представляет собой прокси-сервер для защиты сети от атак извне, а также контроля интернет-трафика и, как сказано в аннотации к продукту, “позволяет сотрудникам компании безопасно и эффективно пользоваться ресурсами Интернета, не беспокоясь о вредоносных программах и других угрозах”. Кратко TMG можно охарактеризовать, как средство позволяющее решать три важных задачи:
· решать задачи, возлагаемые на брандмауэр,
· обеспечивать безопасное подключение пользователей к корпоративным ресурсам средствами VPN,
· выполнять кэширование Web-страниц, что позволяет снизить стоимость интернет трафика для компаний, установивших TMG, и комплексно решать вопросы, связанные с обеспечением безопасности компьютерных сетей организации.
Forefront TMG можно рассматривать как последний на настоящее время продукт в серии, которую начала Microsoft в 1996 г. В октябре 1996 года был выпущен Microsoft Proxy Server v1.0 рассчитанный на работу с Windows NT 4.0. Кодовое имя продукта Catapult. В декабре 1997 на смену пришел Microsoft Proxy Server v2.0, позволяющий создавать массив прокси серверов, поддерживающий функции обратного прокси (Reverse proxy) и обратного хостинга (reverse hosting — сервер отвечает на входящие web-запросы за серверы, стоящие позади него). 18 марта 2001 года выпущен Microsoft Internet Security and Acceleration Server 2000. Новая версия принесла такие возможности, как обнаружение вторжений, поддержка Active Directory и виртуальных частных сетей (VPN), SecureNAT, разделение полосы пропускания и другие возможности. ISA Server 2000 был представлен в Standard и Enterprise редакциях. Такие технологии, как High-Availability Clustering не были включены в Standard Edition. ISA Server 2000 требовал для работы Windows 2000, а также работал на Windows Server 2003. Microsoft Internet Security and Acceleration Server 2004 выпущен 8 сентября 2004 года. 17 октября 2006 года был выпущен Microsoft Internet Security and Acceleration Server 2006. Обновленная версия ISA Server 2004 сохранила все возможности Server 2004 за исключением Message Screener. Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) выпущен 17 ноября 2009. Эта версия, как было отмечено ранее, основана на ISA Server 2006 и обеспечивает улучшенную защиту веб трафика, полную поддержку 64 битных систем, поддержку Windows Server 2008 и Windows Server 2008 R2, встроенную защиту от вредоносных программ.
TMG позволяет обеспечивать защиту локальной сети (внутренней сети предприятия) от вторжения из сети Интернет, поддерживается возможность безопасно публиковать различные виды серверов для доступа из сети Интернет. Использование TMG дает возможность распределять доступ пользователей локальной сети к ресурсам Интернет. Forefront TMG оснащен средствами анализа посещаемых ресурсов, учета трафика, а также средствами защиты от атак из сети Интернет. TMG поддерживает различные виды аутентификации и авторизации, в том числе аутентификацию средствами Active Directory. Поддерживается в полном объеме работа не только с доменами Windows, но и с рабочими группами. Для Forefront TMG написано большое число плагинов (дополнительных модулей-надстроек) для отслеживания исходящего и входящего трафика.
Forefront TMG 2010 используется для целей обеспечения безопасности сетей и отдельных хостов, работающих в этих компьютерных сетях. TMG является правопреемником ISA Server 2006, поэтому в следующих главах пособия рассматриваются так же вопросы связанные с процедурой обновления (апгрейта) установленного ISA Server 2006 до Forefront TMG 2010, рекомендуемые методики перехода с предыдущих версий на новую.
Системные и аппаратные требования для Forefront TMG 2010.
Для работы необходимо наличие от 2 GB оперативной памяти. Для демонстрационных (учебных) целей TMG может быть установлен на компьютер, в том числе и на виртуальную машину, которому выделено 1 Гб оперативной памяти. Скорость работы TMG будет низкая и, естественно, что ни о какой масштабируемости использования говорить не приходится. Минимальные требования, определяемые Microsoft корпорацией разработчиком, для Forefront Threat Management Gateway 2010 2 Гб, однако рекомендуется выделять больший объем оперативной памяти. Следует заметить, что TMG коммерческий продукт, реализуемый в двух вариантах исполнения: стандартный (standard) и версия масштаба предприятия (enterprise). Продукт не является дешевым поэтому, если организация выделила средства на покупку данного достаточно дорогого программного обеспечения (ПО), то совершенно нерационально использовать TMG в критических режимах работы с сильно ограниченным объемом оперативной памяти, тем более, что стоимость микросхем оперативной памяти для компьютеров постоянно снижается. Исходя из этих соображений, рекомендуется для работы TMG выделять не менее 3-4-х Гб оперативной памяти. Для примера, можно указать стоимость версий TMG Standard и Enterprise, предлагаемых популярным интернет магазином Softkey по состоянию на август 2012 г. — Microsoft Forefront Threat Management Gateway (TMG) Standard Edition 2010 67865 руб. (за 1 коробку) и Microsoft Forefront TMG Enterprise Sngl Software Assurance OPEN 1 License Level C 1 Proc 88088 руб.
Требования к дисковому пространству для установки TMG: не менее 2,5 Гб на жестком диске (без учета размера необходимого для кэширования и журналирования), файловая система NTFS для того раздела диска на который устанавливается TMG. Процессор компьютера двухъядерный, например, Dual core 64-bit processor, или с большим количеством ядер. Forefront Threat Management Gateway 2010 выпускается только в варианте 64-х разрядной версии, варианты 32-х разрядного приложения, в том числе демонстрационные, отсутствуют.
Требования к операционной системе. Сервер Forefront Threat Management Gateway 2010 требует наличие 64-х разрядной серверной операционной системы, поэтому TMG нельзя установить на Windows XP, Windows Vista или Windows 7, даже выбрав 64-х разрядные версии этих операционных систем. Не удастся установить TMG и на Windows Server 2003 и более ранние версии этой серверной операционной системы. В настоящее время официально поддерживается работа TMG только с Windows Server 2008 SP2 или Windows Server 2008 R2 (SP1). Можно предположить, что будет поддерживаться работа и с новой версией Windows Server 2012, однако на момент подготовки пособия доступна только версия Windows Server 2012 Release Candidate и предположение о поддержке работы TMG сделано на основе знакомства с этой предварительной версией.
Требования к сетевым адаптерам. Для базового варианта работы необходимо наличие двух сетевых адаптеров (могут быть, как проводными, так и беспроводных сетей Wi-Fi): внешней сети и внутренней. Возможен вариант функционирования TMG только с одним сетевым адаптером, но говорить о возможности построения сколько либо удобной в использовании надежной системы защиты не приходится. Для этого варианта вместо использования дорогостоящего продукта TMG можно обойтись встроенным в операционную систему брандмауэром. Вариант может использоваться тогда, когда хотят настроить TMG, как прокси-сервер.
В варианте TMG, в отличие от ISA Server, число внешних адаптеров (интерфейсов) может быть больше одного. В ТМП поддерживается режим избыточных провайдеров, в том числе и возможность балансировки адаптеров или режим обхода сбоя, если предпочитаемый маршрут невозможен в настоящие время, то выполняется переключение на альтернативный адаптер – интерфейс для обхода сбоя.
Подготовка к процессу установки Forefront Threat Management Gateway 2010
Процесс установки Forefront TMG 2010 достаточно простой. Обычно берется диск фирменный диск с дистрибутивом, вставляется в дисковод и автоматически запускается файл autorun.inf, т.е. запускается программа установки splash.hta.
Содержимое файла autorun.inf:
[autorun]
shellexecute=splash.hta
icon=autorun.ico
Рисунок 1. Запущена программа установки splash.hta. Запуск выполнен с дистрибутива Forefront Threat Management Gateway 2010 Enterprise (x64) — DVD (Russian).
До начала установки рекомендуется ознакомиться с руководством по развертыванию. При выборе соответствующего пункта в установленный в операционной системе веббраузер будет загружена страница http://go.microsoft.com/fwlink/?LinkID=140929 (с которой будет выполнен переход на страницу http://technet.microsoft.com/library/cc441445.aspx Forefront TMG Deployment). Ознакомиться с заметками о выпуске можно на странице http://go.microsoft.com/fwlink/?LinkId=128600.
Подготовка к установке предусматривает получение последних обновлений операционной системы (Запустите обновление Windows), после чего запускается средство подготовки (рис 3). Для выполнения установки необходимо принять “УСЛОВИЯ ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ НА ИСПОЛЬЗОВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ MICROSOFT”, установив галочку в соответствующем чекбоксе и нажать кнопку Далее.
Рисунок 2. Средство подготовки PrerequisiteInstaller должно быть запущено с правами учетной записи Администратора.
На следующем шаге осуществляется выбор типа установки компонента Forefront TMG. С использованием радиокнопок необходимо выбрать один из трех возможных вариантов.
Вариант “Службы и диспетчер Forefront TMG” (предлагается по умолчанию) используется для выбора установки службы и компоненты Forefront TMG, кроме того устанавливается также консоль управления. Второй возможный вариант “Только диспетчер Forefront TMG” – будет установлена только консоль для удаленного управления компьютерами с Forefront TMG. Третий вариант, актуальный для крупного предприятия с развитой компьютерной инфраструктурой, “Enterprise Management Server (EMS) для централизованного управления массивами”, определяет, что данный компьютер, на который выполняется установка, будет использоваться для управления массивами Forefront TMG.
Выбрав вариант подготовки к установке нажимаем кнопку Далее и через некоторое время получаем экран с сообщение о том, что подготовка к установке успешно завершена (рис. 5). Можно сразу запустить мастер установки Forefront TMG (флажок устанавливается в чекбоксе “Запустить мастер установки Forefront TMG ” по умолчанию), нажав кнопку Готово.
Мастер установки Forefront TMG – приложение setup.exe (рис. 6) может быть запущено в режиме ручной установки, когда необходимые пункты выбирает пользователь или в автоматизированном режиме. Время установки зависит от производительности компьютера. Мастер установки сразу указывает оценочное время установки по каждой из трех стадий, которое в сумме составляет около 20 минут.
Рисунок 3. Средство подготовки к установке TMG успешно запущено.
Рисунок 4. Выбор типа установки компонента Forefront TMG.
Рисунок 5. Подготовка к установке TMG завершена.
Рисунок 6. Запущена программа установки Setup.
Рисунок 7. Время установки TMG зависит от производительности компьютера.
Пользователь должен принять условия соглашения и ввести информацию о пользователе, организации (поле можно оставить пустым) и серийном номере продукта.
Рисунок 8. Ввод информации для установки
Путь по умолчанию для размещения файлов C:\Program Files\Microsoft Forefront Threat Management Gateway\ может быть изменен пользователем в случае необходимости. Следующий важный шаг – выбор карты сетевого адаптера обслуживающего внутреннюю сеть (рис. 10).
Рисунок 10. Выбор карты сетевого адаптера обслуживающего внутреннюю сеть.
Пользователю предлагается набор диапазонов внутренних подсетей, но пользователь при желании может задать свой диапазон или диапазоны, удалить ненужные.
Рисунок 11. Внутренняя сеть в примере покрывает диапазон 192.168.1.1-192.168.1.100
На следующе шаге установки выдается предупреждение, что службы SNMP, IIS Admin, служба веб-публикации, служба Microsoft Operations Manager будут остановлены, а затем перезапущены. Затем пользователь получает сообщение о настройке системной политики. И нажатием кнопки Готово подтверждает свое решение продолжить установку. В процессе установки Forefront TMG создается “Сервер хранилища настроек” (рис. 12), выполняется инициализация агента конфигурации и другие действия. Следующий этап, после установи основных компонент, занимает примерно в два раза больше времени, чем первый и отвечает за установку дополнительных компонент. Второй и третий этапы не требуют ответов со стороны пользователя, проводящего установку. После завершения установку следует нажать кнопку Готово (рис. 13).
Рисунок 12. Установка Forefront TMG.
Если был установлен флажок в чекбоксе (по умолчанию не устанавливается), то после нажатия кнопки будет запущена программа управления Forefront TMG. После установки на компьютер программного обеспечения Microsoft® Forefront Threat Management Gateway (TMG) рекомендуется, если не была включена ранее, включить службу Центра обновления Microsoft, чтобы получать уведомления о доступных обновлениях. Если включено автоматическое обновление, на веб-сайте Центра обновления Microsoft периодически выполняется проверка наличия высокоприоритетных обновлений, помогающих защитить компьютер. Могут устанавливаться обновления для системы безопасности, критические обновления и пакеты обновления. В зависимости от выбранного параметра на сервер Forefront TMG загружаются и устанавливаются все высокоприоритетные обновления, необходимые компьютеру, или передаются уведомления о появлении таких обновлений. Рекомендуется настроить службу автоматического обновления на автоматическую загрузку обновлений, но разрешить пользователю самому решать, когда их установить. Инструкции по настройке автоматических обновлений можно найти на веб-сайте Центра обновлений Microsoft (http://go.microsoft.com/fwlink/?LinkID=54628). Дополнительные сведения о защите сервера Forefront TMG приведены в разделе «Безопасность и защита» справки Forefront TMG. С помощью анализатора соответствия рекомендациям для Microsoft ISA Server можно определить общую работоспособность серверов Forefront TMG и диагностировать имеющиеся проблемы. Анализатор, который можно загрузить из Центра загрузки Microsoft (http://go.microsoft.com/fwlink/?LinkId=64164), сканирует параметры настройки локального сервера и сообщает о расхождениях с практическими рекомендациями.
