Заметка:следует учитывать, что информация, представленная в этом цикле статей, основана на бета версии Microsoft Forefront TMG и может измениться.
Несколько дней назад, компания Microsoft выпустила версию Beta 2 программного продукта Microsoft Forefront TMG (Threat Management Gateway), которая имеет множество новых удивительных функций.
В этой части я покажу некоторые новые функции и принцип их работы. Вторя часть этого цикла статей будет посвящена другим изменениям в Microsoft Forefront TMG. В обеих частях будет предоставлена лишь основная информация о новых и измененных функциях Microsoft Forefront TMG, поэтому мы не будем сильно вдаваться в подробности.
Системные требования
Одним из наиболее важных изменений в Microsoft Forefront TMG является то, что его нужно устанавливать на Windows Server 2008 64-разрядной версии.
Другие изменения включают:
- 2 гигабайта (ГБ) или более памяти
- 2.5 ГБ свободного места на жестком диске. Это не включает место жесткого диска, который будет использоваться для кэширования или временного хранения файлов во время осмотра на наличие вредоносного ПО.
- Один сетевой адаптер, совместимый с ОС компьютера, для работы во внутренней сети.
- Дополнительный сетевой адаптер для каждой сети, подключенной к серверу Forefront TMG.
- Один раздел локального диска с файловой системой NTFS.
Компания Microsoft разбила новые функции на шесть разделов:
- Управление политикой сетевого доступа на внешней границе сети (брандмауэр)
- Защита пользователей от угроз веб обзора (защита веб клиента)
- Защита пользователей от угроз электронной почты (Защита Email)
- Защита компьютеров и серверов от попыток вторжения (NIS)
- Обеспечение удаленного доступа для пользователей к корпоративным ресурсам (VPN, Защищенная веб публикация)
- Упрощенное управление (Установка)
Всякое
Качественные и эффективные рассылки на почтовые ящики электронной почты. Антиспам нам не помеха.
Уникальные стальные двери, изготовленные по современным стандартам. Отличная цена и качество.
После успешной установки Microsoft Forefront TMG запускается мастер Getting Started Wizard, когда вы открываете консоль Microsoft Forefront TMG в первый раз. Мастер Getting Started Wizard поможет администраторам TMG с первоначальной настройкой TMG в соответствии с требованиями их предприятия.
Рисунок 1: Мастер Getting Started Wizard
В первом шаге мастер настраивает внутреннюю и внешнюю сети TMG. Во втором шаге он настраивает локальные параметры, такие как принадлежность к домену.
В третьем шаге мастер настраивает такие базовые параметры, как Windows Update и Microsoft Telemetry.
Консоль Microsoft Forefront TMG не сильно отличается от консоли управления ISA Server 2006. На самом деле она даже очень похожа на консоль управления ISA Server 2006. В ней появилось всего несколько новых узлов в левой панели, однако эти узлы предоставляют очень мощные параметры. Несколько настроек остались без изменения Microsoft Forefront TMG, а некоторые известные параметры приобрели новые кнопки и закладки конфигурации.
Рисунок 2: Консоль Microsoft Forefront TMG
В закладке Мониторинг под вкладкой «Службы» теперь сгруппированы службы Microsoft Forefront TMG, а также есть служба отчетов ‘ это служба SQL Server 2005 Reporting. Есть также новая закладка настройки, которую некоторые из вас помнят по ISA Server 2006 Enterprise. Она отображает статус конфигурации всех членов массива ISA Server / TMG Server Enterprise.
Рисунок 3: Microsoft Forefront TMG службы
В Microsoft Forefront TMG теперь можно настраивать родственные параметры политики брандмауэра из одного места в консоли, которое автоматически переходит к требуемым параметрам в TMG MMC.
Рисунок 4: Настройка различных параметров Microsoft Forefront TMG
В правой панели консоли TMG можно настраивать многие связанные между собой задачи брандмауэра. Новой в TMG является поддержка нескольких VOIP (VoiceOverIP) сценариев. Microsoft Forefront TMG идет с собственным SIP фильтром.
Рисунок 5: Задачи политики брандмауэра TMG
Защита от вредоносного ПО
Microsoft Forefront TMG является первым брандмауэром Microsoft Enterprise Firewall, позволяющим защитить сеть от атак вредоносного ПО. Функция защиты от вредоносного кода является первой линией обороны против нескольких типов атак нулевого дня (Zero Day exploits).
Определение вредоносного кода (Источник: wikipedia.org)
Вредоносное ПО (Malware), слово составленное из двух слов «malicious» и «software», представляет собой программное обеспечение, созданное для проникновения или нанесения ущерба компьютерной системе без согласия его владельца. Это выражение является общим термином, используемым профессионалами ИТ для обозначения различных форм враждебного, интрузивного или назойливого программного обеспечения или программного кода. ПО считается вредоносным на основе воспринимаемого намерения его создателя, а не на основе конкретных присущих ему черт. Вредоносное ПО включает компьютерные вирусы, черви, трояны, большинство руткитов, шпионское ПО, мошенническое рекламное ПО, криминальное ПО (crimeware) и прочее вредоносное и нежелательное ПО. Вредоносное ПО – это не то же самое, что и ПО с дефектами, то есть ПО, имеющее легитимные цели, но содержащее вредоносные ошибки.
Рисунок 6: Настройка расширенной веб защиты
Функцию осмотра на наличие вредоносного ПО можно включить глобально, а также в применимых правилах доступа в брандмауэре.
Рисунок 7: Настройка глобальных параметров осмотра на наличие вредоносного ПО
В закладке параметров осмотра можно настраивать такие дополнительные параметры осмотра на наличие вредоносного ПО, как время сканирования содержимого на вредоносное ПО, время блокирования файлов, имеющих размер больше допустимого.
Рисунок 8: Настройка дополнительных параметров осмотра вредоносного ПО
Осмотр исходящего HTTPS
Microsoft ISA Server 2006 поддерживает осмотр входящего HTTPS в сценариях мостового HTTPS, а Microsoft Forefront TMG расширяет эту функцию с помощью осмотра исходящего HTTPS.
Рисунок 9: Настройка параметров осмотра HTTPS
Можно настраивать несколько параметров сертификатов, которые требуются для осмотра HTTPS.
Рисунок 10: Параметры сертификата осмотра HTTPS
Клиенты могут получать уведомления, когда используется осмотр HTTPS.
Рисунок 11: Параметры уведомления для пользователей с включенной функцией осмотра HTTPS
Антивирус и антиспам
Microsoft Forefront TMG значительно расширяет функциональность благодаря тому, что TMG может работать в качестве шлюза осмотра SMTP и антивирусного сервера. Функция антиспама основана на функциональности Microsoft Exchange Server 2007 edge, а антивирусная функциональность – на Microsoft Forefront Security. В Microsoft Forefront TMG есть новая вкладка под названием E-Mail Policy.
Рисунок 12: Параметры SMTP
Можно настраивать параметры почтового потока, а также параметры антивирусной защиты и защиты от спама.
Все функции защиты SMTP можно включать и выключать на индивидуальной основе.
Рисунок 13: Свойства защиты SMTP
Есть несколько настроек фильтрации спама, которые основаны на параметрах защиты Microsoft Exchange Server 2007 Edge Server.
Рисунок 14: Параметры антиспама
Как и в Exchange Server 2007 Edge, можно настраивать параметры фильтрации содержимого (Content Filtering) и многие другие одобренные параметры антиспама.
Рисунок 15: Фильтрация содержимого
Forefront TMG также идет с антивирусными компонентами, основанными на семействе Microsoft Forefront Security.
Рисунок 16: Параметры антивируса
Можно выбирать различные механизмы антивируса. Одновременно можно использовать до пяти механизмов (как и в оригинальных продуктах Microsoft Forefront Security).
Рисунок 17: Механизмы антивируса
Если вирус обнаружен, можно настроить применяемое к нему действие.
Рисунок 18: Параметры антивируса
Заключение
В этой статье я попытался предоставить вам максимально точный обзор новых характеристик и функций Microsoft Forefront TMG. Он оснащен множеством новых интересных вещей, а некоторые функции были расширены, однако многие функции остались неизменными. С новым брандмауэром Microsoft Firewall можно будет познакомиться без необходимости начинать все с нуля.
Источник: isaserver.org
Автор: Марк Гроут