Microsoft Forefront TMG – установка и настройка Forefront TMG клиента

Посетителей: 35725 | Просмотров: 51278 (сегодня 0) Шрифт:

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение. Для списка причин, по которым стоит использовать TMG клиент, читайте статью Тома Шиндера на www.ISAserver.org:

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

• уведомления HTTPS осмотра
• поддержку AD Marker

Стандартные функции TMG клиента

• Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
• Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
• Упрощенная настройка маршрутизации в больших организациях
• Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Поддержка операционных систем

Клиент /Сервер – совместимость

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft. В конце статьи я привел ссылки на загрузку.

Начните процесс установки и следуйте указаниям мастера.

Р исунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте. Для дополнительной информации о настройке осмотра исходящего HTTPS трафика читайте следующую статью Тома Шиндера

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Рисунок 7: Сообщение об использовании осмотра защищенных подключений

Шлюз управления угрозами Microsoft Forefront — Microsoft Forefront Threat Management Gateway

Шлюз управления угрозами Microsoft Forefront 2010

Разработчики)	Microsoft
Первый выпуск	1 января 1997 г. ( 1997-01-01 )
Окончательный релиз
Операционная система	Windows Server 2008
Платформа	x86-64
Доступно в	Английский, китайский (упрощенный), китайский (традиционный), французский, немецкий, итальянский, японский, корейский, португальский (Бразилия), русский и испанский
Тип	Маршрутизатор , брандмауэр , антивирусная программа , VPN-сервер , веб-кеш
Лицензия	Пробная версия
Веб-сайт	www .microsoft .com / tmg

Microsoft Forefront Threat Management Gateway ( Forefront TMG ), ранее известный как Microsoft Internet Security and Acceleration Server ( ISA Server ), представляет собой сетевой маршрутизатор , брандмауэр , антивирусную программу , сервер VPN и веб-кеш от Microsoft Corporation . Он работает на Windows Server и проверяет весь проходящий через него сетевой трафик.

СОДЕРЖАНИЕ

Функции

Microsoft Forefront TMG предлагает набор функций, в том числе:

1. Функции маршрутизации и удаленного доступа: Microsoft Forefront TMG может выступать в качестве маршрутизатора , Интернет- шлюза , сервера виртуальной частной сети (VPN), сервера преобразования сетевых адресов (NAT) и прокси-сервера .
2. Функции безопасности: Microsoft Forefront TMG — это брандмауэр, который может проверять сетевой трафик (включая веб-контент, защищенный веб-контент и электронную почту) и отфильтровывать вредоносные программы , попытки использования уязвимостей безопасности и контент, не соответствующий заранее определенной политике безопасности. В техническом смысле, Microsoft Forefront TMG предлагает защиту приложений уровня , динамической фильтрации , фильтрации содержимого и защиты от вредоносных программ .
3. Характеристики производительности сети: Microsoft Forefront TMG также может улучшить производительность сети: он может сжимать веб-трафик для повышения скорости связи. Он также предлагает веб-кэширование : он может кэшировать часто используемый веб-контент, чтобы пользователи могли быстрее получать к нему доступ из кеша локальной сети. Microsoft Forefront TMG 2010 также может кэшировать данные, полученные через фоновую интеллектуальную службу передачи , например обновления программного обеспечения, опубликованные на веб- сайте Центра обновления Майкрософт .

История

Прокси-сервер Microsoft

Линия продуктов Microsoft Forefront Threat Management Gateway возникла на базе Microsoft Proxy Server . Microsoft Proxy Server v1.0, разработанный под кодовым названием «Catapult», был впервые запущен в январе 1997 года и был разработан для работы в Windows NT 4.0 . Microsoft Proxy Server v1.0 был базовым продуктом, предназначенным для обеспечения доступа в Интернет для клиентов в среде LAN через TCP / IP . Поддержка была также предоставлена ​​для сетей IPX / SPX (в основном используемых в устаревших средах Novell NetWare ) через клиента трансляции / туннелирования WinSock, который позволял приложениям TCP / IP, таким как веб-браузеры, работать прозрачно без какого-либо TCP / IP по сети. Несмотря на то, что Microsoft Proxy Server v1.0 хорошо интегрирован в Windows NT4, он имел только базовую функциональность и был выпущен только в одной редакции. Расширенная поддержка Microsoft Proxy Server v1.0 закончилась 31 марта 2002 г.

Microsoft Proxy Server v2.0 был запущен в декабре 1997 года и включал улучшенную интеграцию учетных записей NT, улучшенную поддержку фильтрации пакетов и поддержку более широкого диапазона сетевых протоколов . Microsoft Proxy Server v2.0 вышел из фазы расширенной поддержки, и 31 декабря 2004 г. его срок службы истек.

ISA Server 2000

18 марта 2001 года Microsoft запустила Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000) . В ISA Server 2000 были представлены выпуски Standard и Enterprise , а функции корпоративного уровня, такие как кластеризация с высокой доступностью, не включены в выпуск Standard. Для ISA Server 2000 требуется Windows 2000 (любой выпуск), он также будет работать на Windows Server 2003 . В соответствии с политикой жизненного цикла поддержки Microsoft, ISA Server 2000 был первым продуктом ISA Server, который использовал 10-летний жизненный цикл поддержки с 5-летней основной поддержкой и пятью годами расширенной поддержки. Срок службы ISA Server 2000 истек 12 апреля 2011 г.

ISA Server 2004

Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004) был выпущен 8 сентября 2004 года. ISA Server 2004 представил поддержку нескольких сетей, интегрированную конфигурацию виртуальной частной сети, расширяемые модели пользователей и аутентификации, поддержку межсетевого экрана на уровне приложений , интеграцию с Active Directory , SecureNAT , а также улучшенные функции отчетности и управления. Конфигурация на основе правил также была значительно упрощена по сравнению с версией ISA Server 2000.

ISA Server 2004 Enterprise Edition включает поддержку массивов, интегрированную балансировку сетевой нагрузки (NLB) и протокол маршрутизации кэш-массивов (CARP). Одной из основных возможностей ISA Server 2004, получившей название Secure Server Publishing, была его способность безопасно открывать доступ к своим внутренним серверам в Интернет. Например, некоторые организации используют ISA Server 2004 для публикации своих служб Microsoft Exchange Server, таких как Outlook Web Access (OWA), Outlook Mobile Access (OMA) или ActiveSync . Используя тип аутентификации на основе форм ( FBA ), ISA-сервер может использоваться для предварительной аутентификации веб-клиентов, так что трафик от неаутентифицированных клиентов к опубликованным серверам не разрешен.

ISA Server 2004 доступен в двух редакциях: Standard и Enterprise. Enterprise Edition содержит функции, позволяющие настраивать политики на уровне массива, а не на отдельных серверах ISA, и балансировать нагрузку между несколькими серверами ISA. Каждая редакция ISA Server лицензируется на процессор. (Версия, включенная в Windows Small Business Server 2000/2003 Premium, включает лицензию на 2 процессора.)

ISA Server 2004 работает под управлением Windows Server 2003 Standard или Enterprise Edition. Аппаратное обеспечение, содержащее Windows Server 2003 Appliance Edition и ISA Server Standard Edition, доступно у множества партнеров Microsoft.

ISA Server 2006

Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006) был выпущен 17 октября 2006 года. Это обновленная версия ISA Server 2004, которая сохраняет все функции ISA Server 2004, за исключением средства проверки сообщений.

ISA Server 2006 представил новые функции, в том числе:

• Поддержка Exchange Server 2007 (именуемого «Exchange 12» в Руководстве по оценке Microsoft ISA Server 2006)
• Новые мастера настройки для различных задач, таких как настройка «VPN-соединения типа« сеть-сеть »», публикация служб SharePoint, публикация веб-сайтов, создание правил брандмауэра.
• Внедрение единого входа для групп опубликованных веб-сайтов.
• Улучшения аутентификации пользователей, включая добавление поддержки аутентификации LDAP.
• Устойчивость к атакам флуд , чтобы защитить сервер ISA от «недоступности, взлома или неуправляемости во время атаки флуд».
• Функции производительности, такие как кэширование BITS , балансировка нагрузки веб-публикаций и сжатие HTTP .

ISA Server Appliance Edition Microsoft также предложила ISA Server 2006 Appliance Edition. Он был разработан для предварительной установки на OEM-оборудование ( серверные устройства ), которое производители оборудования продают как автономное устройство типа межсетевого экрана. Наряду с Appliance Edition, ISA server 2006 Standard Edition и Enterprise Edition были доступны в предварительно сконфигурированном оборудовании.

Microsoft Forefront TMG MBE

Microsoft Forefront Threat Management Gateway Medium Business Edition (Forefront TMG MBE) — это следующая версия ISA Server, которая также входит в состав Windows Essential Business Server . Эта версия работает только с 64-разрядной версией Windows Server 2008 и не поддерживает функции корпоративной версии, такие как поддержка массивов или корпоративная политика. Основная поддержка Forefront TMG MBE закончилась 12 ноября 2013 года.

Microsoft Forefront TMG 2010

Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) был выпущен 17 ноября 2009 года. Он построен на основе ISA Server 2006 и обеспечивает улучшенную веб-защиту, встроенную поддержку 64-разрядных версий, поддержку Windows Server 2008 и Windows Server 2008 R2 , защита от вредоносных программ и кэширование BITS. Пакет обновления 1 для этого продукта был выпущен 23 июня 2010 года. Он включает несколько новых функций для поддержки линейки продуктов Windows Server 2008 R2 и SharePoint 2010 . Пакет обновления 2 для этого продукта был выпущен 10 октября 2011 года. 9 сентября 2012 года Microsoft объявила о прекращении дальнейшей разработки Forefront Threat Management Gateway 2010, и продукт больше не будет доступен для покупки с 1 декабря 2012 года. Основная поддержка прекращена 14 апреля 2015 года, а расширенная поддержка закончилась 14 апреля 2020 года.