Огляд Microsoft Forefront Threat Management Gateway 2010

У даному огляді ми докладно розглянемо Forefront Threat Management Gateway 2010, одну з найцікавіших новинок останнього часу від корпорації Microsoft, яка прийшла на зміну ISA Server 2006. Крім функціонала корпоративного фаєрвола і проксі-сервера, новинка включає в себе можливості антивірусного і антиспам фільтрації HTTP і SMTP трафіку, перевірку HTTPS трафіку і виявлення вразливостей.

Системні вимоги


Microsoft Forefront Threat Management Gateway 2010 підтримує тільки операційні системи Windows Server 2008 з пакетом оновлень 2 (SP2) або Windows Server 2008 R2.


Мінімальні системні вимоги:



Рекомендовані системні вимоги:





Установка продукту


Microsoft Forefront Threat Management Gateway – Комплексний набір програм для забезпечення безпеки в мережі, що дозволяє підвищити надійність охорони і посилити контроль за клієнтськими і серверними операційними системами, завдяки інтеграції з існуючою ІТ-інфраструктурою та спрощенню розгортання, управління та аналізу.


Зусиллями компанії Майкрософт повна версія продукту Forefront Threat Management Gateway (Forefront TMG), що є прямим спадкоємцем Microsoft ISA Server, вийшла в першому півріччі 2009 року. Крім всього функціоналу Microsoft ISA Server новий продукт включає в себе покращення існуючих, а також безліч нових функцій.


Forefront TMG продається у двох варіантах: Standard і Enterprise. Функціонально вони практично не відрізняються, відмінності полягають лише в ліцензійних обмеженнях, які наведені нижче.






































Standard


Enterprise


Процесори


До 4 CPU


Без обмежень


Пам'ять


Підтримка 2Гб RAM


Без обмежень


Балансування завантаження мережі


Ні


Так


Підтримка протоколу Cache Array Routing


Ні


Так


Використання консолі Enterprise Management Console


Ні *


Так


Необхідність ліцензування всіх віртуальних машин по CPU на додаток до фізичного CPU


Так


Ні


Можливість перенесення на будь-який інший сервер


Ліцензія виписується на фізичний сервер і може змінюватися тільки раз на 90 днів


У будь-який час


* Сервера Standard Edition можуть управлятися за допомогою TMG Enterprise Management Console.


Далі все скріншоти і описи для зручності будуть ставитися до Microsoft Forefront Threat Management Gateway Standard Edition.

Малюнок 1: Вікно установки Forefront Threat Management Gateway


Так виглядає вікно установки Microsoft Forefront Threat Management Gateway, Безпосередньо перед установкою продукту нам необхідно запустити засіб підготовки, яке налаштує ролі і компоненти Windows.

Малюнок 2: Засіб підготовки до установки Forefront Threat Management Gateway


Після завершення роботи засоби підготовки можна приступати безпосередньо до самій установці Forefront Threat Management Gateway, Яка відбувається в три етапи:


Малюнок 3: Етапи встановлення Forefront Threat Management Gateway


На першому етапі установки пропонується вибрати директорію, куди буде встановлений продукт, а так само вказати діапазон адрес, які будуть входити у внутрішню мережу сервера Forefront Threat Management Gateway.

Малюнок 4: Визначення діапазону внутрішньої мережі


Налаштування виконується за допомогою спеціального майстра і не викликає ніяких складнощів.

Малюнок 5: Вибір IP-адрес


Після вказівки мережевої плати автоматично будуть підставлені діапазони IP-адрес, які будуть входити у внутрішню мережу сервера.

Малюнок 6: Вибір мережевої плати


Нам лише залишається підтвердити наш вибір, натиснувши ОК і майстер установки попередить нас про те, що деякі служби будуть зупинені або перезапущени в момент встановлення продукту, далі все відбувається в автоматичному режимі.


Процес установки розроблений таким чином, щоб не викликати питань навіть у простого користувача, хоча сам продукт розрахований на системних адміністраторів та IT-фахівців. Треба сказати, що Microsoft піклується про своїх користувачів і намагається зробити все гранично просто і ясно.


У самому кінці установки перед нами з'являється вікно, яке повідомляє нас про те, що установка закінчена і зараз нам слід запустити програму управління Forefront Threat Management Gateway.

Малюнок 7: Завершення установки Forefront Threat Management Gateway


Відзначаємо галочкою запропонований пункт і натискаємо Готово. На цьому установка завершена, і ми переходимо на настройці продукту.


Первісна налаштування


Перед нами з'являється інтерфейс продукту, але який нам поки що не потрібен, на цьому етапі пропонується зробити первинну настройку програми, за допомогою спеціального майстра, який проведе всю настройку в три етапи.

Малюнок 8: Майстер первинного налаштування Forefront Threat Management Gateway


Внизу вікна ми бачимо попередження про те, що у випадку апгрейду з Microsoft ISA 2006 імпортування параметрів конфігурації необхідно зробити до запуску цього майстра.


Зараз нам слід виконувати прості інструкції майстра для того, щоб Forefront TMG працював необхідним нам чином. На першому етапі ми будемо налаштовувати параметри мережі.

Малюнок 9: Налаштування параметрів мережі Forefront TMG


Вибираємо спосіб, який нам необхідний і натискаємо Далі, На цьому цей етап налаштування буде завершено і майстер пропонує йти далі, до конфігурації системи.

Рисунок 10: Налаштування параметрів мережі Forefront TMG


Робимо налаштування необхідних нам пунктів і вибираємо Далі, На цьому майстер закінчує свою роботу і нам залишається ще один пункт налаштування – це завдання параметрів розгортання Forefront TMG. Тут насамперед ми повинні вибрати використання служби Центру оновлення Майкрософт для забезпечення працездатності захисних механізмів, які використовує Forefront TMG.

Рисунок 11: Установка центру оновлень Microsoft для Forefront TMG


Далі відбувається налаштування ліцензій (у нашому випадку пробна ліцензія) і підключення необхідних модулів захисту, ми вибираємо перевірку наявності шкідливих програм і фільтрацію URL-адрес.

Малюнок 12: Налаштування параметрів захисту Forefront TMG


На наступному етапі нам пропонується налаштувати обрані нами компоненти.

Малюнок 13: Налаштування оновлень антивірусних баз


Тут всі залишаємо відповідно до рекомендованих параметрами і натискаємо Далі. На цьому етапі компанія Microsoft пропонує нам участь у вже стала звичною для продуктів цього вендора програмі, яка допомагає вдосконалювати програмне забезпечення. Для цього з нашого комп'ютера будуть збиратися деякі дані, такі як конфігурація устаткування та інформація про використання Forefront TMG, Збір даних відбувається анонімно, тому ми вибираємо рекомендований нам пункт.


Для тих, хто з якоїсь причини не довіряє цій програмі, є можливість відмовитися від участі, хоча, на мій погляд, це абсурдно, ми вже довірили свою безпеку цього продукту, тому сумніватися в даній програмі не має сенсу, ніякої особистої інформації з комп'ютера не збирається.

Малюнок 14: Програма поліпшення якості програмного забезпечення


На наступному кроці, нам пропонується вибрати рівень участі в програмі Microsoft Telemetry Reporting. Цей сервіс дозволяє фахівцям Microsoft покращувати шаблони ідентифікації атак, а так само розробляти рішення для усунення наслідків загроз, ми погоджуємося на звичайний рівень участі і натискаємо Далі.

Малюнок 15: Вибір рівня участі в Microsoft Telemetry Reporting


На цій дії робота майстра початкового налаштування завершено.

Малюнок 16: Запуск майстра веб-доступу


Натискаємо Закрити і тим самим відразу запускаємо майстер налаштування веб-доступу. Першим кроком у ньому буде можливість вибору створення правил, що блокують мінімум рекомендованих категорій URL-адрес.

Малюнок 17: Правила політики веб-доступу


На цьому кроці ми виберемо рекомендоване дію, тобто правила будуть створюватися. Далі потрібно вибрати, до яких категорій сайтів потрібно заблокувати доступ для користувачів. При необхідності можна додати свою групу веб-сайтів для блокування, змінити яку-небудь із встановлених, а так само можливість створення виключень.


Ставлення ресурсу до того чи іншого типу призначення здійснюється за допомогою запиту до Microsoft Reputation Service, Веб-адреси передаються серверу по захищеному каналу.

Рисунок 18: Категорії веб-сайтів для блокування за допомогою Forefront TMG


Після цього ми приступаємо до параметрів перевірки трафіку на наявність шкідливих програм. Природно ми вибираємо рекомендований дія, для того, щоб наш HTTP трафік фільтрували Forefront TMG.


Важливо відзначити опцію блокування передачі запаролених архівів. У таких архівах шкідливі файли або інший небажаний контент можуть передаватися спеціально, щоб уникнути перевірки.

Рисунок 19: Параметри перевірки наявності шкідливих програм


На наступному кроці проводиться настройка дії по відношенню до HTTPS трафіку – перевіряти його чи ні, перевіряти сертифікати чи ні.

Рисунок 20: Параметри перевірки HTTPS у Forefront TMG


Ми дозволяємо користувачам встановлювати HTTPS-з'єднання з веб-сайтами, не будемо перевіряти цей трафік, але будемо блокувати його, якщо сертифікат, який використовується, є неприпустимим.


Переходимо до налаштувань веб-кешування часто запитуваної вмісту, який використовується для того, що прискорити доступ до популярних веб-сайтів і оптимізувати витрати компанії на веб-трафік.

Рисунок 21: Налаштування веб-кешування



Включаємо дану опцію і вказуємо місце на диску і його розмір, де будуть зберігатися кешовані дані. На цьому налаштування політик веб-доступу закінчена.

Малюнок 22: Завершення налаштування веб-доступу


За підсумками установки і початкового настроювання хочеться сказати, що інсталятор дозволяє зробити дуже гнучке налаштування Forefront TMG, Безліч стандартних схем передбачено самим установником, нам надається можливість їх редагування, а так само можливість створення власних умов і політик, які повною мірою відповідають нашим потребам.


Функціональність Forefront TMG


Тепер подивимося на нутрощі Forefront TMG і за традицією почнемо з інтерфейсу, який зроблений за принципом "простіше не придумаєш". Весь інтерфейс ділиться на три стовпці, кожен стовпець містить чітко певну інформацію, яку він несе, її можна розділити на три елементи:



Щоб було більш зрозуміло, розглянемо концепт на конкретному прикладі.

Відображення стану захисту


Рисунок 23: Панель стану роботи Forefront TMG


У лівій частині ми бачимо назву вузла – Панель, По центру вказана різна інформація про модулі і статистика роботи, а в самому правому стовпці ми бачимо завдання, яку можливо виконати – Оновити і цей концепт ми побачимо, вибравши будь-який
вузол Forefront TMG, Так само в правому (3) стовпці зазвичай розташована інформація про вибраний вузлу і завданням.


Це дуже зручна концепція побудови інтерфейсу, все "як на долоні" перед нашими очима. Розділ Панель – Це знімок зведення дій Forefront TMG, Виконаний в реальному часі. Всі важливі відомості відображаються на одному екрані, що допомагає швидко визначати і усувати виникаючі проблеми.


Самий перший блок ми вже розглянули, тому рухаємося далі до розділу Спостереження. За своєю суттю цей розділ є розшифровкою тих подій, які ми спостерігаємо на екрані Панель.

Спостереження за подіями


Рисунок 24: Спостереження за поточним станом Forefront TMG


Даний розділ розбитий на п'ять вкладок:



Закладки – Це реакція Forefront TMG на певну подію. Для простоти і використання ідентичні оповіщення об'єднуються в групи. У правому блоці нам надається можливість налаштування визначень.


Сеанси – Функція спостереження за сеансами Forefront TMG в реальному часі дозволяє централізовано відслідковувати клієнтський трафік. Присутня можливість зміни фільтра, призупинення і зупинки сеансу спостереження.

Рисунок 25: Спостереження за сеансами в Forefront TMG


Засоби перевірки підключення – Використовую цю функцію можна виконувати регулярне спостереження за підключеннями певного комп'ютера або url-адреси до комп'ютера Forefront TMG.

Рисунок 26: Спостереження за перевіркою підключень в Forefront TMG


Служби – Функція спостереження за службами Forefront TMG в реальному часі. Є можливість зупинки і включення окремих служб.

Рисунок 27: Спостереження за службами Forefront TMG


Конфігурації – Функція відстежування реплікації конфігурації на кожному елементі масиву в реальному часі.


Тепер ми розглянемо розділ Політика міжмережевого екрану, В якому для захисту активів мережі можна визначити правила політики міжмережевого екрану, що дозволяють або забороняють доступ до підключеним мереж, веб-сайтів і серверів.

Політики міжмережевого доступу


Forefront TMG надає можливості гнучкої настройки правил і політик фільтрації трафіку: додавання або видалення правил, а також внесення змін у вже існуючі правила.

Малюнок 28: Політика міжмережевого екрану в Forefront TMG


Малюнок 29: Завдання політик міжмережевого екрану в Forefront TMG



Коли включено Відстеження змін і застосовується зміна конфігурації, зведення про ці зміни заносяться у вигляді запису в даний розділ. Імітатор трафіку дозволяє оцінити політики міжмережевого екрану по декількох заданих параметрах.


Представлення Збір даних діагностики дозволяє виконати запит до бази даних журналу діагностики відповідно до критеріїв фільтра.
Перевірка можливості підключення допомагає перевірити, чи можуть сервери Forefront TMG підключатися до певних версій сайту призначення
в інтернеті.


На цьому ми закінчуємо наш огляд Microsoft Forefront Threat Management Gateway, І нам лише залишається зробити підсумкові висновки і дати оцінку продукту:


Висновки


Forefront TMG є дуже функціональним, гнучким у налаштуванні, простим в інтеграції і відповідає сучасним вимогам щодо забезпечення комплексної безпеки корпоративних мереж. На наш погляд, простота і ефективність схилятимуть корпоративних клієнтів до цього рішення при виборі захисту для своєї корпоративної мережі.


Forefront TMG представляє собою нове покоління систем захисту інтернет-шлюзу корпоративної мережі, включає в себе, мабуть, всі необхідні функції і в найближчому майбутньому повинен серйозно потіснити свого попередника Microsoft ISA Server 2006.


До невеликих мінусів Forefront TMG можна віднести відсутність системи квотування трафіку (автоматичного відключення користувача при вичерпанні ліміту) і відсутність антивірусної перевірки FTP-трафіку. Тим Проте, наша суб'єктивна оцінка рішення Forefront Threat Management Gateway 9 з 10.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*