Выпуск Microsoft Forefront Threat Management Gateway (TMG) 2010 дает нам множество интересных и веских причин для обновления с предыдущих версий Microsoft ISA Server. Некоторые из этих причин представляют собой основные новые функции безопасности, включенные в продукт, например, фильтрация адресов URL, веб осмотр на предмет вирусов и вредоносного кода, осмотр пересылки SSL, абсолютно новая система обнаружения и предотвращения вторжений, и улучшенная система защиты электронной почты. Есть также ряд мелких усовершенствований, которые облегчают рутинную работу по управлению TMG. В этой статье я представляю вам некоторые из моих самых любимых новых функций и усовершенствований в консоли управления TMG.
Новое и усовершенствованное
Поиск на основе правил (Rule Base Search)эту функцию долго ждали! Новая возможность поиска, включенная в консоль управления TMG, делает задачу управления большими и сложными наборами правил проще. Хотите отобразить любое правило, использующее DNS протокол? Просто введите ‘DNS’ в поле поиска и нажмите иконку увеличительного стекла, чтобы осуществить поиск.
Рисунок 1
В главном окне будет отображено правило, которое включает DNS протокол.
Рисунок 2
Есть несколько способов создания запросов поиска. Можно использовать свободный текст, пару имя: значение (name:value), а также пары свойство: значение (property:value). Для примеров можете нажать на ссылку Примеры (Examples), расположенную рядом со строкой поиска.
Политика веб доступа (Web Access Policy) - новый узел политики веб доступа (Web Access Policy) в навигационном дереве отображает объединенный вид правил веб доступа, настроенных в TMG.
Рисунок 3
Рисунок 4
Как и в случае с функцией поиска на основе правил, эта функция также значительно упрощает администрирование реализации больших и сложных наборов правил. Четкий и сжатый вид правил веб доступа снижает шансы сделать ошибку в настройках. Быстрый и простой доступ к общим параметрам для включения веб доступа также имеется в этом коне. Эти настройки включают конфигурацию веб-прокси, аутентификацию, сжатие, HTTPS осмотр, осмотр на вредоносный код и веб кэширование.
Настройка маршрутизации (Routing Configuration) - выделите узел Сети (Networking) в навигационном дереве и увидите новую закладку под названием Маршрутизация (Routing).
Рисунок 5
Рисунок 6
Здесь вы можете создать маршруты топологии сети (network topology routes) (статические маршруты – static routes). Больше нет необходимости подключаться к каждому брандмауэру TMG по отдельности и вводить команды маршрута из командной строки. Чтобы добавить статический маршрут, просто нажмите на ссылку Создать маршрут топологии сети (Create Network Topology Route)в панели задач.
Рисунок 7
Введите целевой хост или сеть, соответствующую маску подсети и адрес шлюза следующего прыжка. Можно также при необходимости указать метрику.
Рисунок 8
Эта функция также позволяет вам просматривать конфигурацию маршрутизации для каждого брандмауэра TMG.
Рисунок 9
Настройка сетевого интерфейса (Network Interface Configuration) - помимо возможности настройки статического маршрута в консоли управления, вы можете настраивать свойства сетевого интерфейса. Выделите узел Сети (Networking) в навигационном дереве и выберите закладку Сетевые адаптеры (Network Adapters).
Примечание: эта закладка видна только при запуске консоли с компьютера, являющегося членом массива. Она не отображается в консоли управления сервера Enterprise Management Server.
Рисунок 10
Рисунок 11
Нажмите правой клавишей на сетевом адаптере и выберите Свойства (Properties). Здесь вы можете изменить IP адреса, маски подсети, основные шлюзы, и настроить DNS серверы. К тому же вы можете включить или отключить интерфейсы.
Рисунок 12
Рисунок 13
Мастер Getting Started Wizard - после установки TMG, при первом открытии консоли запускается мастер Getting Started Wizard.
Рисунок 14
Здесь вам дается возможность настроить сетевые и системные параметры, а также определить ваши опции установки. В случае если вам нужно внести значительные изменения в конфигурацию вашей системы или переопределить опции установки после установки, вы можете запустить этот мастер еще раз, выделив верхний узел в навигационном дереве и выбрав закладку Задачи (Tasks)в панели задач, после чего нужно нажать на ссылку запуска мастера Launch Getting Started Wizard.
Рисунок 15
Обратите внимание, что вы не можете запустить мастер Getting Started Wizard, когда брандмауэр TMG является членом массива. Попытка запустить этот мастер с члена массива сгенерирует следующее сообщение об ошибке:
Рисунок 16
Настройка сетевой компенсации нагрузки (Network Load Balancing (NLB) Configuration) - TMG теперь включает возможность изменения режима работы NLB в графическом интерфейсе консоли.
Рисунок 17
В прошлом это изменение можно было внести только программным способом. Это усложняло задачу подтверждения настроек, требуя от администратора использования командной строки для проверки.
Панели приборов производительности системы (Dashboard System Performance) - обзор панели приборов в консоли управления TMG теперь отображает новые счетчики производительности системы. Здесь включены счетчики использования ЦП (CPU Usage) и доступной памяти (Available Memory); эти счетчики более полезны для обычного администратора TMG, чем счетчики Allowed Packets/Sec и Dropped Packets/Sec, включенные в предыдущие версии продукта.
Рисунок 18
Тест подключения (Connectivity Test) - выделение узла Диагностика (Troubleshooting) в навигационном дереве показывает новую закладку Тест подключения (Connectivity Test).
Рисунок 19
Рисунок 20
Этот новый инструмент помогает вам тестировать основные веб подключения с брандмауэра в консоли управления. Заполните поле Целевой адрес (Destination URL): и нажмите кнопку Проверить подключение (Test Connectivity), чтобы выполнить тест. Вы также можете выполнить пинг пути во время теста, чтобы собрать дополнительную информацию. Следует знать, что целевой адрес URL не может содержать путь, поэтому если вы имеете привычку добавлять косую черту (слэш) при вводе URL адресов, как это делаю я, вы увидите следующую ошибку:
Рисунок 21
Группировка политик брандмауэра (Firewall Policy Grouping) - это еще одна функция, которую оценят администраторы больших и сложных наборов правил. Для создания группы правил выберите одно или несколько правил, нажмите правой клавишей на выбранном правиле(ах) и выберите опцию Создать группу (Create Group).
Рисунок 22
Задайте группе описательное название и нажмите Ok.
Рисунок 23
Правила, которые вы выбрали, теперь будут входить в группу. Нажав правой клавишей на группе и выбрав опцию Свойства (Properties), вы можете включать, выключать или перемещать целые группы правил. Вы также можете переименовывать группу или удалять правила из группы.
Заключение
Это мои любимые новые функции в консоли управления Forefront Threat Management Gateway 2010. Здесь также есть еще масса других функций, которые вы сочтете полезными, поэтому советую вам начать исследовать новую консоль управления TMG уже сегодня!
Если вам необходимо качественно промышленное оборудование, рекомендую посетить сайт компании ООО “АМ-Продактс”, где вы найдете фрезерные и токарные станки, станки чпу и многое другое от ведущих фирм производителей по невероятно низким ценам.