Microsoft Forefront TMG – установка и настройка Forefront TMG клиента. Внутренние корневые DNS сервера

Настройка Bluetooth

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение. Для списка причин, по которым стоит использовать TMG клиент, читайте Тома Шиндера на www.ISAserver.org:

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

  • уведомления HTTPS осмотра
  • поддержку AD Marker

Стандартные функции TMG клиента

  • Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
  • Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
  • Упрощенная настройка маршрутизации в больших организациях
  • Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

  • Windows 7
  • Windows Server 2003
  • Windows Server 2008
  • Windows Vista
  • Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

  • ISA Server 2004 Standard Edition
  • ISA Server 2004 Enterprise Edition
  • ISA Server 2006 Standard Edition
  • ISA Server 2006 Enterprise Edition
  • Forefront TMG MBE (Medium Business Edition)
  • Forefront TMG 2010 Standard Edition
  • Forefront TMG 2010 Enterprise Edition

Поддержка операционных систем

Клиент /Сервер – совместимость

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add "default "type winsock "url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft. В конце статьи я привел ссылки на загрузку.

Начните процесс установки и следуйте указаниям мастера.

Р исунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте. Для дополнительной информации о настройке осмотра исходящего HTTPS трафика читайте следующую Тома Шиндера

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Корректно настроенный Forefront TMG, запущенный на последней версии безопасно настроенной сетевой ОС Windows, является безопасным и надежным межсетевым экраном и безопасным web-шлюзом. Общий уровень безопасности решения может быть улучшен с помощью советов, изложенных в этой статье.

Введение

Исторически сложилось мнение, что межсетевой экран, входящий в состав ОС общего назначения, например Microsoft Windows, не может быть безопасным. Однако, это мнение было успешно опровергнуто благодаря SDL (Security Development Lifecycle), хорошо описанным процессом уведомления об уязвимостях и управления обновлениями безопасности, а также длинным послужным списком безопасности и надежности Microsoft ISA Server и Forefront Threat Management Gateway (TMG). Межсетевой экран Forefront TMG, который работает на базе Windows Server 2008 R2, сегодня, пожалуй, более надежен с точки зрения безопасности, чем многие его конкуренты.

С помощью советов по настройке TMG можно существенно повысить общее состояние безопасности системы и уменьшить пространство атаки, что, в свою очередь, гарантирует наивысший уровень безопасности TMG. При создании политики управления для TMG, лучше всего обеспечить соблюдение принципа наименьших привилегий. Ниже приведен список рекомендаций, которые будут полезны для реализации этого принципа.

Ограничьте членство в административной роли Forefront TMG уровня массива - роль администратора TMG уровня массива предоставляет полные права на администрирование массивом любому пользователю и/или группе пользователей, входящих в состав роли. После установки TMG на систему, эта роль по умолчанию назначается группе локальных администраторов Windows (а также пользователю, установившему TMG).

Рисунок 1

Глобальная группа администраторов домена, как правило, является членом группы локальных администраторов, а это означает, что члены этой группы унаследуют полные административные привилегии над межсетевым экраном TMG. Однако, это не совсем хорошая идея. Для оптимальной безопасности, группа локальных администраторов должна быть удалена из роли администратора Forefornt TMG уровня массива. Члены этой роли должны быть определены путем указания конкретных учетных записей Active Directory вместо добавления в роль групп. Почему индивидуальные учетные записи, а не группы? Потому что это дает администратору МСЭ TMG четкий контроль над тем, кто именно имеет полный административный доступ к МСЭ TMG. Использование конкретных учетных записей вместо групп не позволяет, например, администратору домена добавить учетную запись пользователя в глобальную группу домена, входящую в роль администратора уровня массива, и таким образом получить контроль над TMG. Если все же требуется использовать доменные группы для управления TMG, используйте группы с ограниченным доступом (http://technet.microsoft.com/ru-ru/library/cc785631(WS.10).aspx).

Ограничьте членство в административной роли Forefront TMG уровня предприятия - административная роль TMG уровня предприятия предоставляет всем членам этой роли полный доступ ко всему предприятию, включая все массивы TMG внутри предприятия. После установки TMG EMS, встроенная группа локальных администраторов по умолчанию становится членом роли (а также пользователь, установивший приложение).

Используйте отдельные административные учетные записи - Лучше всего использовать отдельные учетные записи Active Directory для администрирования МСЭ TMG. Не используйте эти учетные записи для администрирования других систем. Для этих учетных записей должны быть установлены жесткие политики паролей, предусматривающие использование длинных и сложных паролей с коротким временем жизни. Если домен работает на функциональном уровне Windows Server 2008, существует возможность включения подробных политик паролей для автоматического назначения требуемых политик (http://technet.microsoft.com/ru-ru/library/cc770394(WS.10).aspx).

Для управления TMG используйте отдельную изолированную рабочую станцию - Настройте отдельную рабочую станцию на управление МСЭ TMG. Установите административную консоль на эту машину и удалено управляйте МСЭ TMG. Осуществляйте вход на эту машину только с отдельной учетной записи администратора TMG. Локальные политики безопасности должны ограничивать вход на эту систему для других учетных записей. Эта рабочая станция должна быть хорошо защищена, недоступна для удаленных пользователей и отключена от сети Интернет. Предпочтительно использовать многофакторную аутентификацию (смарткарту или токен) для доступа к этой системе.

Ограничьте членство для сетевого объекта удаленного управления компьютерами - Ограничение количества членов сетевого объекта удаленного управления компьютерами является основным методом уменьшения пространства атаки на МСЭ TMG. По умолчанию, хосты, входящие в состав объекта удаленного управления компьютерами, имеют доступ ко многим службам, запущенным на МСЭ TMG, включая RDP, NetBIOS, RPC, Ping и другие. Предоставление доступа к этим службам создает уровень рисков, который может быть существенно понижен за счет ограничения доступа к этой группе. В идеальном варианте, в этой группе будет находиться только выделенная для задач администрирования рабочая станция.

Ограничьте доступ в сеть для агентов управления - часто, МСЭ TMG требует установки системных агентов управления от Microsoft или сторонних производителей. Избегайте создания политик доступа, которые позволяют агенту осуществлять подключения к целой сети или подсети. Политики МСЭ должны разрешать подключения агентов только к требуемым хостам.

Запреты

Не используйте МСЭ TMG в качестве рабочей станции - избегайте использования браузера на TMG для посещения сайтов в сети Интернет, посещения поисковых систем или загрузки исправлений и обновлений. Все исправления, а также необходимое программное обеспечение должны загружаться на обычную рабочую станцию (не на рабочую станцию, которая используется для управления TMG - для этого хоста должен быть запрещен доступ в Интернет!), на которой файлы могут быть просканированы перед их загрузкой и установкой на TMG.

Не используйте МСЭ TMG для выполнения ежедневных задач - лучше всего установить консоль управления TMG на отдельную рабочую станцию, как написано выше, и максимально ограничить количество локальных входов в систему МСЭ TMG.

Не устанавливайте на МСЭ TMG утилиты для администрирования от стороннего производителя - многие компоненты для МСЭ TMG содержат собственное ПО для управления, иногда с использованием HTTP сервера (например, IIS, Apache и др.). Подобное ПО является проблемным, поскольку оно увеличивает пространство атаки на МСЭ TMG и привносит потенциально дополнительные вектора атаки. Где возможно, не следует устанавливать ПО для управления от стороннего производителя на сам МСЭ TMG. Это ПО должно быть установлено на отдельную систему, предпочтительно на рабочую станцию для управления TMG.

Не создавайте общедоступные папки на МСЭ TMG - в предыдущих версиях ISA сервера, после установки продукта на системе автоматически создавалась общедоступная папка для обмена данными с клиентами МСЭ. Эта опция была позже удалена из продукта, как небезопасная. МСЭ TMG - это межсетевой экран и только. Он ни при каких обстоятельствах не должен использоваться в качестве файлового сервера. Если требуется удаленный доступ к системе, например, для получения текстовых журналов, он должен осуществляться с помощью утилиты для работы с журналами от стороннего производителя, например Epilog, ArcSight или Splunk.

Не устанавливайте инфраструктурные службы на МСЭ TMG - никогда не устанавливайте на МСЭ TMG инфраструктурные службы, такие как DNS, DHCP, Центр сертификации и пр. В большинстве случаев, подобная установка завершится конфигурацией, которая не поддерживается (http://technet.microsoft.com/ru-ru/library/ee796231.aspx). Но даже, если конфигурация поддерживается, наличие подобных служб на TMG увеличивает пространство атаки и привносит дополнительные векторы атаки. Подобные службы потребуют большего количества обновлений по сравнению с отдельным TMG, что увеличит простои системы. Эти службы также потребуют дополнительные системные ресурсы (процессорное время, память, сеть и дисковое пространство) и могут отрицательно повлиять на стабильность работы системы и производительность межсетевого экрана.

Заключение

Корректно настроенный Forefront TMG, запущенный на последней версии безопасно настроенной сетевой ОС Windows, является безопасным и надежным межсетевым экраном и безопасным web-шлюзом. Общий уровень безопасности решения может быть улучшен с помощью советов, изложенных в этой статье. Соблюдая принцип наименьших привилегий путем ограничения членства в административных TMG ролях уровней массива и предприятия, использования отдельных учетных записей на изолированной рабочей станции, ограничения членства в сетевом объекте удаленного управления компьютерами, ограничения сетевого доступа для агентов управления TMG позволит уменьшить пространство атаки на МСЭ TMG. К тому же, отказ от практики небезопасного использования TMG в качестве рабочей станции, для установки административного ПО от стороннего производителя, создания общедоступных папок или установки инфраструктурных служб предоставит еще большую защищенность.

Microsoft Forefront Threat Management Gateway (TMG) 2010 очень сильно зависит от самых различных служб для поддержания безопасности сети и оптимального быстродействия. Настройка сетевых интерфейсов и в особенности разрешение имен имеет ключевую роль, особенности в случае если TMG настроен как прямой и обратный прокси. В моей практике очень много проблем с TMG были вызваны неправильной настройкой DNS. В этой статье я хотел бы поговорить о настройке сетевых интерфейсов и требований к DNS серверам для правильного разрешения имен в TMG.

Требования к DNS серверам

При выборе DNS сервера в TMG необходимо принять во внимание несколько важных факторов. За очень редким исключением TMG должен быть настроен на использование только внутренних DNS серверов, которые могут резолвить внутреннее пространство адресов а также внешние адреса. Для обеспечения безотказной работы данные DNS сервера должны быть подключены по быстрым соединениям и иметь достаточно ресурсов для успешной обработки всех входящих запросов на разрешение имен. Это целиком зависит от того, как много пользователей подключены к TMG и каким образом они подключены. Клиент веб-прокси и TMG клиент целиком и полностью зависят от TMG в процессе разрешения имен, увеличивая загрузку DNS серверов. Клиенты SecureNAT выполняют разрешение самостоятельно. Если DNS сервера слишком перегружены или между TMG и DNS проблемы с каналами связи, вы можете испытывать самые разнообразные проблемы в работе TMG. Например результатом этого может быть медленная загрузка страниц или запрос на аутентификацию для пользователей, которые должны быть аутентифицировы прозрачно с помощью NTLM или Kerberos.

Конфигурация сетевых интерфейсов

Настройка сетевого интерфейса в TMG c одним сетевым интерфейсом очень проста: IP адрес, маска, шлюз и DNS сервера все настраиваются в локальном интерфейсе. Ситуация несколько усложняется когда имеется несколько сетевых интерфейсов. Если TMG имеет несколько сетевых интерфейсов, то каждый интерфейс должен иметь свой собственный уникальный IP и маску подсети. Однако вне зависимости от того, как много у вас сетевых интерфейсов вы можете иметь только один дефолтный шлюз, причем на внешнем интерфейсе. Никогда не настраивайте шлюз по умолчанию на другом интерфейсе, отличном от внешнего (кроме случая настройки ISP redundancy, при котором оба внешний интерфейса имеют свои собственные шлюзы по умолчанию). С случае необходимости получения доступа к любой удаленной подсети внутри сети или в сети периметра используйте постоянные статические маршруты.

Порядок назначения сетевых интерфейсов

Для TMG c несколькими сетевыми интерфейсами есть ещё одна настройка, про которую очень часто и не обоснованно забывают. Это порядок привязки сетевых интерфейсов. Откройте Network and Sharing Center , нажмите ссылку Change adapter settings . Далее нажмите наAdvanced и Advanced Settings…

Выберите вкладку Adapters and Bindings и убедитесь что внутренний сетевой интерфейс идет первым по списку. Если это не так, выберите его и с помощью стрелочек справа передвиньте на первое место.

Настройка DNS

DNS сервера должны быть указаны только на внутреннем интерфейсе. Не настраиваете DNS на любом другом интерфейсе. Очень частой ошибкой является когда администраторы указывают адреса DNS серверов провайдера на внешнем интерфейсе в дополнение в внутренним DNS серверам, указанным на внутреннем интерфейсе.

Исключение из правила

Существует только один вид развертывания TMG при котором допускается указывание DNS серверов на внешнем интерфейсе. В этом сценарии TMG не является членом домена и не связан с внутренними ресурсами.

Внутренние корневые DNS сервера

В некоторых ситуациях внутрениие DNS сервера не могут резолвить внешние адреса. Это может быть например в случае когда внутренние DNS сервера настроены как корневые сервера для вашего внутреннего простанства имен. Тем не менее требования TMG остаются неизменными. Для его работы требуется возможность резолвинга как внутренних так и внешних адресов.

В данном сценарии вам нужно настроить DNS сервер для TMG для соответствия этим требованиям. Лучшим способом для этого является настройка выделенного кэширующего DNS сервера с настроенной пересылкой.

Полезная информация

sivpk.ru - сайт о выборе и сборке компьютера. Здесь можно прочитать о выборе и составе игрового, мультимедийного и офисного компьютера.

Интересный сайт, на котором есть подробный обзор хостингов и другие интересные статьи по выбору хостинга, инструментах для веб-мастера и многое другое.

Обожаю новые вещи, и я рада представить вам новый продукт: Microsoft Threat Management Gateway 2010 EE RTM. В этой статье мы сначала рассмотрим то, как устанавливать TMG 2010 EE RTM.

Конечно, действительной начальной стадией является планирование, в котором вы определяете то, какие будут требования к аппаратному оборудованию, и какую роль будет играть брандмауэр TMG в вашей сети. Однако если вы не знакомы с брандмауэром TMG, вам нужно будет просто установить его и посмотреть, что он собой представляет и как выглядит. Планирование можно отложить, если вы решите, что вам нравится то, что вы увидите, и об этом мы поговорим в последующих статьях. А в этой серии из двух частей мы поговорим о процессе установки и выделим потенциальные проблемы, с которыми вы можете столкнуться во время этого процесса.

Итак, начнем!

Как всегда, в качестве первого шага необходимо убедиться в том, что ваше аппаратное оборудование отвечает минимальным системным требованиям, которые можно найти .

Многие из вас будут выполнять эту установку в целях тестирования и оценки продукта. Поэтому мы установим RTM версию брандмауэра TMG на виртуальную машину, и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:

  • Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет, и
  • Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам.

В этом примере единственная виртуальная машина будет контроллером домена, и брандмауэр TMG принадлежит к тому же домену, что и контроллер домена.

Это будет чистая установка. Единственное, что мы сделали перед установкой, это присоединили виртуальную машину TMG к домену, а затем установили обновления Windows. Я не устанавливала никаких компонентов Exchange или иного ПО. Нашей целью будет то, что сделают большинство администраторов – установка программного продукта в «штатной» конфигурации, после чего мы постараемся настроить его так, чтобы он выполнял все нужные нам функции, чтобы можно было лучше познакомиться с этим продуктом.

Примечание: перед тем, как приступить к процессу установки, вам нужно знать конфигурацию DNS на сетевых картах виртуальной машины TMG. Поскольку вы никогда (или почти никогда) не включаете никакие внешние DNS серверы в настройку сетевых карт брандмауэра, я настроила внешний интерфейс безо всяких параметров DNS, а внутренний интерфейс с IP адресом внутреннего DNS сервера, который также является контроллером домена. Это вызовет некоторые сложности, о которых я расскажу позже, когда мы с ними столкнемся.

Вот простая схема сети, с которой я в данный момент работаю в этой статье:

Схема 1

Первым шагом будет загрузка пробной версии программы. В настоящее время TMG недоступен на MSDN, но вы можете загрузить пробную версию отсюда .

После загрузки файла дважды нажмите на нем, и он распакуется. После распаковки файлов вы увидите приветственную страницу Welcome to Microsoft Forefront TMG . Она выглядит несколько иначе по сравнению с тем, что мы видели в брандмауэре ISA, и она включает несколько новых опций. Обратите внимание на раздел Подготовка и установка (Prepare and Install) - теперь вы можете выполнить обновление Windows на этой странице установки. Мы уже сделали это, поэтому нам это не требуется. Еще одной новой опцией является Запуск инструмента подготовки (Run Preparation Tool) , и им мы воспользуемся. Выбираем эту опцию.

Вполне очевидно, что разработчики TMG пользовались большими мониторами при создании этого интерфейса. Диалоговые окна большие. Думаю, что это удобно для разработчиков и пользователей, однако неудобно для писателей статей, у которых ограничено горизонтальное пространство для создания снимков экранов.

На странице Welcome to the Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG) нажимаем Далее .

На странице отмечаем опцию Я принимаю условия лицензионного соглашения (I accept the terms of the License Agreements) и жмем Далее . Здесь вы принимаете условия лицензионного соглашения для Microsoft Chart Controls for Microsoft .NET Framework 3.5 and 3.5 SP1 и Microsoft Windows Installer 4.5 .

На странице выбора типа установки Installation Type у вас есть три опции:

  • Службы и управление (Forefront TMG services and Management)
  • Только управление (Forefront TMG Management only)
  • Сервер управления предприятия для централизованного управления массивом (Enterprise Management Server (EMS) for centralized array management)

Новый TMG значительно упрощает работу с TMG EE в отличие от сложностей управления EE в брандмауэре ISA. Именно по этой причине в данной статье мы установим версию EE " чтобы показать вам простоту установки EE. Позже мы создадим отдельный массив, после чего мы уберем отдельный массив и установим массив предприятия. Это просто и весело! Но сначала, давайте разберемся с основами и выберем опцию Forefront TMG services and Management . Нажимаем Далее .

Рисунок 4

На странице Подготовка системы (Preparing System) вы увидите прогресс установки предварительно необходимого ПО.

На странице завершения подготовки Preparation Complete будет показано, что предварительно необходимое ПО было успешно установлено.

Рисунок 6

Теперь откроется страница Welcome to the Installation Wizard for Forefront TMG Enterprise . Нажимаем Далее , чтобы начать установку TMG EE.

Рисунок 7

На странице Лицензионное соглашение (License Agreement) выбираем опцию Я принимаю условия лицензионного соглашения (I accept the terms in the license agreement) и нажимаем Далее .

Рисунок 8

Введите свою информацию (имя пользователя, название организации и серийный номер продукта) на странице информации потребителя Customer Information , а затем нажмите Далее .

Рисунок 9

На странице указания пути установки Installation Path вы можете воспользоваться путем по умолчанию или выбрать собственное место установки, указав путь к папке, в которую хотите установить продукт TMG. В данном примере мы воспользуемся умолчаниями и нажмем Далее .

Рисунок 10

А вот здесь нас ждет пережиток прошлого – страница указания внутренней сети Define Internal Network . В брандмауэре TMG, как и у его предшественника ISA, основная внутренняя сеть (default Internal Network) будет тем местом, где будут располагаться основные сервисы вашей инфраструктуры; сюда входит Active Directory, DNS, DHCP и WINS. Вы можете изменить эту дефиницию позже, если захотите, но нам нужен доступ к этим ресурсам во время установки, поэтому нам придется определить основную внутреннюю сеть сейчас.

Нажмите кнопку Добавить (Add) на странице Define Internal Network . Это вызовет диалоговое окно Адреса (Addresses) . Существует несколько способов добавления адресов основной внутренней сети, но я предпочитаю использовать способ добавления адаптера (Add Adapter) . Нажимаем Добавить адаптер (Add Adapter) .

Рисунок 11

В диалоговом окне выбора сетевого адаптера (Select Network Adapters) выбираем сетевую карту локальной сети LAN , а затем ставим флажок для этой карты. Необходимо убедиться, что информация в разделе подробностей сетевого адаптера (Network adapter details) точно соответствует тем настройкам, которые заданы для выбранной сетевой карты. Затем нажимаем OK .

Рисунок 12

Адреса, назначенные для внутренней сетевой карты, теперь будут отображены в текстовом поле Адреса (Addresses) . Эти адреса основаны на записях таблицы маршрутизации брандмауэра – если вы еще не настроили записи таблицы маршрутизации на своем брандмауэре, эти адреса будут не полностью корректными, но это можно будет исправить позже, и мы рассмотрим эту проблему далее.

Рисунок 13

Рисунок 14

Как и в случае с установкой брандмауэра ISA, во время установки TMG тоже нужно будет перезапустить или отключить некоторые службы. К ним относятся следующие службы:

  • SNMP служба
  • Служба IIS Admin
  • Служба публикации WWW Publishing Service
  • Microsoft Operations Manager Service

Примечание: TMG не говорит, что эти службы установлены " он просто говорит, что если эти службы установлены, они будут отключены и перезапущены.

Рисунок 15

Нажимаем Установить на странице Ready to Install the Program .

Рисунок 16

Шкала прогресса будет показывать вам состояние процесса установки.

Рисунок 17

Затем откроется еще одно диалоговое окно и покажет вам, сколько времени займет этот процесс. Обратите внимание, что это приблизительные цифры; несмотря на цифры, которые вы здесь увидите, процесс установки у меня занял почти 30 минут. Это может быть связано с проблемами DNS, которые мы обсудим позже.

Рисунок 18

Теперь мастер установки Installation Wizard завершил работу, и вы, возможно, решите, что все готово. В версии ISA это было именно так. Следующим шагом был переход в консоль брандмауэра ISA и настройка сетей, правил доступа и прочих компонентов для корректной работы программы. Однако в TMG процесс не совсем закончен.

Если вы выберите опцию Запустить управление (Launch Forefront TMG Management) после закрытия мастера установки, появится еще три мастера, которые позволяют вам выполнить все настройки для работы брандмауэра после установки.

Рисунок 19

Поскольку эти мастера новые, а у нас заканчивается допустимый объем символов для этой статьи, мы рассмотрим эти новые мастера установки в следующей части цикла. Надеюсь, вы будете ждать продолжения.

Заключение

В этой статье мы начали с разъяснения того, что установим новый брандмауэр TMG 2010 EE в простой конфигурации. Единственными параметрами на виртуальной машине брандмауэра TMG были настройки DNS, и брандмауэр был присоединен к домену, прежде чем устанавливать программный продукт брандмауэра. Затем мы начали процесс установки, настроили основную внутреннюю сеть и завершили работу мастера установки. В следующей части цикла мы завершим процесс установки брандмауэра, рассмотрев три новых мастера, которые содержатся на странице Getting Started Wizard .



Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно