Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).
Установку Windows Server в виртуальную машину мы рассматривали в статье:
Так-же нам потребуеться виртуальная машина с настроенным DNS сервером (мы используем Windows Server 2008 R2 с установленным DNS сервером)
и одним внутренним интерфейсом (тип Внутренняя сеть).
После загрузки файла дважды нажмите на нем, откроеться мастер установки:
Ждем пока распакуеться:
После распаковки файлов вы увидите приветственную страницу:
Нажимаем "запустить средство подготовки", откроеться окно:
Принимаем лицензионное соглашение:
Вводим имя пользователя и организацию:
Откроется окно выбора сетевой платы (выбираем плату внутренней сети):
По окончании мастера установки, в открывшемся окне ставим галку "запустить програму управления":
Появиться веб-страничка об успешной установке и окно мастера начальной настройки:
В мастере нажимаем "настройка параметров сети", откроеться мастер настройки сети:
Указываем сетевую плату внутренней сети:
Указываем сетевую плату внешней сети(на скриншоте установлен DNS 192.168.137.1 - это не правильно, DNS-сервер должен быть один на вутренней сети, а сдесь графа DNS-сервера должна быть пустой):
Проверяем правильность:
В открывшемся мастере начальной настройки нажимаем "настройка системных параметров":
В открывшемся мастере пока оставляем все как есть:
Сдесь мы устанавливаем настройки обновления:
Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт:
На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее:
На этом действии работа мастера первоначальной настройки завершена:
Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов:
На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений:
После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG.
Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки:
На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет:
Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик:
Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена:
Все проверяем:
На этом первоначальная настройка завершена.
Обожаю новые вещи, и я рада представить вам новый продукт: Microsoft Threat Management Gateway 2010 EE RTM. В этой статье мы сначала рассмотрим то, как устанавливать TMG 2010 EE RTM.
Конечно, действительной начальной стадией является планирование, в котором вы определяете то, какие будут требования к аппаратному оборудованию, и какую роль будет играть брандмауэр TMG в вашей сети. Однако если вы не знакомы с брандмауэром TMG, вам нужно будет просто установить его и посмотреть, что он собой представляет и как выглядит. Планирование можно отложить, если вы решите, что вам нравится то, что вы увидите, и об этом мы поговорим в последующих статьях. А в этой серии из двух частей мы поговорим о процессе установки и выделим потенциальные проблемы, с которыми вы можете столкнуться во время этого процесса.
Итак, начнем!
Как всегда, в качестве первого шага необходимо убедиться в том, что ваше аппаратное оборудование отвечает минимальным системным требованиям, которые можно найти .
Многие из вас будут выполнять эту установку в целях тестирования и оценки продукта. Поэтому мы установим RTM версию брандмауэра TMG на виртуальную машину, и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
- Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет, и
- Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам.
В этом примере единственная виртуальная машина будет контроллером домена, и брандмауэр TMG принадлежит к тому же домену, что и контроллер домена.
Это будет чистая установка. Единственное, что мы сделали перед установкой, это присоединили виртуальную машину TMG к домену, а затем установили обновления Windows. Я не устанавливала никаких компонентов Exchange или иного ПО. Нашей целью будет то, что сделают большинство администраторов – установка программного продукта в «штатной» конфигурации, после чего мы постараемся настроить его так, чтобы он выполнял все нужные нам функции, чтобы можно было лучше познакомиться с этим продуктом.
Примечание: перед тем, как приступить к процессу установки, вам нужно знать конфигурацию DNS на сетевых картах виртуальной машины TMG. Поскольку вы никогда (или почти никогда) не включаете никакие внешние DNS серверы в настройку сетевых карт брандмауэра, я настроила внешний интерфейс безо всяких параметров DNS, а внутренний интерфейс с IP адресом внутреннего DNS сервера, который также является контроллером домена. Это вызовет некоторые сложности, о которых я расскажу позже, когда мы с ними столкнемся.
Вот простая схема сети, с которой я в данный момент работаю в этой статье:
Схема 1
Первым шагом будет загрузка пробной версии программы. В настоящее время TMG недоступен на MSDN, но вы можете загрузить пробную версию отсюда .
После загрузки файла дважды нажмите на нем, и он распакуется. После распаковки файлов вы увидите приветственную страницу Welcome to Microsoft Forefront TMG . Она выглядит несколько иначе по сравнению с тем, что мы видели в брандмауэре ISA, и она включает несколько новых опций. Обратите внимание на раздел Подготовка и установка (Prepare and Install) - теперь вы можете выполнить обновление Windows на этой странице установки. Мы уже сделали это, поэтому нам это не требуется. Еще одной новой опцией является Запуск инструмента подготовки (Run Preparation Tool) , и им мы воспользуемся. Выбираем эту опцию.
Вполне очевидно, что разработчики TMG пользовались большими мониторами при создании этого интерфейса. Диалоговые окна большие. Думаю, что это удобно для разработчиков и пользователей, однако неудобно для писателей статей, у которых ограничено горизонтальное пространство для создания снимков экранов.
На странице Welcome to the Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG) нажимаем Далее .
На странице отмечаем опцию Я принимаю условия лицензионного соглашения (I accept the terms of the License Agreements) и жмем Далее . Здесь вы принимаете условия лицензионного соглашения для Microsoft Chart Controls for Microsoft .NET Framework 3.5 and 3.5 SP1 и Microsoft Windows Installer 4.5 .
На странице выбора типа установки Installation Type у вас есть три опции:
- Службы и управление (Forefront TMG services and Management)
- Только управление (Forefront TMG Management only)
- Сервер управления предприятия для централизованного управления массивом (Enterprise Management Server (EMS) for centralized array management)
Новый TMG значительно упрощает работу с TMG EE в отличие от сложностей управления EE в брандмауэре ISA. Именно по этой причине в данной статье мы установим версию EE " чтобы показать вам простоту установки EE. Позже мы создадим отдельный массив, после чего мы уберем отдельный массив и установим массив предприятия. Это просто и весело! Но сначала, давайте разберемся с основами и выберем опцию Forefront TMG services and Management . Нажимаем Далее .
Рисунок 4
На странице Подготовка системы (Preparing System) вы увидите прогресс установки предварительно необходимого ПО.
На странице завершения подготовки Preparation Complete будет показано, что предварительно необходимое ПО было успешно установлено.
Рисунок 6
Теперь откроется страница Welcome to the Installation Wizard for Forefront TMG Enterprise . Нажимаем Далее , чтобы начать установку TMG EE.
Рисунок 7
На странице Лицензионное соглашение (License Agreement) выбираем опцию Я принимаю условия лицензионного соглашения (I accept the terms in the license agreement) и нажимаем Далее .
Рисунок 8
Введите свою информацию (имя пользователя, название организации и серийный номер продукта) на странице информации потребителя Customer Information , а затем нажмите Далее .
Рисунок 9
На странице указания пути установки Installation Path вы можете воспользоваться путем по умолчанию или выбрать собственное место установки, указав путь к папке, в которую хотите установить продукт TMG. В данном примере мы воспользуемся умолчаниями и нажмем Далее .
Рисунок 10
А вот здесь нас ждет пережиток прошлого – страница указания внутренней сети Define Internal Network . В брандмауэре TMG, как и у его предшественника ISA, основная внутренняя сеть (default Internal Network) будет тем местом, где будут располагаться основные сервисы вашей инфраструктуры; сюда входит Active Directory, DNS, DHCP и WINS. Вы можете изменить эту дефиницию позже, если захотите, но нам нужен доступ к этим ресурсам во время установки, поэтому нам придется определить основную внутреннюю сеть сейчас.
Нажмите кнопку Добавить (Add) на странице Define Internal Network . Это вызовет диалоговое окно Адреса (Addresses) . Существует несколько способов добавления адресов основной внутренней сети, но я предпочитаю использовать способ добавления адаптера (Add Adapter) . Нажимаем Добавить адаптер (Add Adapter) .
Рисунок 11
В диалоговом окне выбора сетевого адаптера (Select Network Adapters) выбираем сетевую карту локальной сети LAN , а затем ставим флажок для этой карты. Необходимо убедиться, что информация в разделе подробностей сетевого адаптера (Network adapter details) точно соответствует тем настройкам, которые заданы для выбранной сетевой карты. Затем нажимаем OK .
Рисунок 12
Адреса, назначенные для внутренней сетевой карты, теперь будут отображены в текстовом поле Адреса (Addresses) . Эти адреса основаны на записях таблицы маршрутизации брандмауэра – если вы еще не настроили записи таблицы маршрутизации на своем брандмауэре, эти адреса будут не полностью корректными, но это можно будет исправить позже, и мы рассмотрим эту проблему далее.
Рисунок 13
Рисунок 14
Как и в случае с установкой брандмауэра ISA, во время установки TMG тоже нужно будет перезапустить или отключить некоторые службы. К ним относятся следующие службы:
- SNMP служба
- Служба IIS Admin
- Служба публикации WWW Publishing Service
- Microsoft Operations Manager Service
Примечание: TMG не говорит, что эти службы установлены " он просто говорит, что если эти службы установлены, они будут отключены и перезапущены.
Рисунок 15
Нажимаем Установить на странице Ready to Install the Program .
Рисунок 16
Шкала прогресса будет показывать вам состояние процесса установки.
Рисунок 17
Затем откроется еще одно диалоговое окно и покажет вам, сколько времени займет этот процесс. Обратите внимание, что это приблизительные цифры; несмотря на цифры, которые вы здесь увидите, процесс установки у меня занял почти 30 минут. Это может быть связано с проблемами DNS, которые мы обсудим позже.
Рисунок 18
Теперь мастер установки Installation Wizard завершил работу, и вы, возможно, решите, что все готово. В версии ISA это было именно так. Следующим шагом был переход в консоль брандмауэра ISA и настройка сетей, правил доступа и прочих компонентов для корректной работы программы. Однако в TMG процесс не совсем закончен.
Если вы выберите опцию Запустить управление (Launch Forefront TMG Management) после закрытия мастера установки, появится еще три мастера, которые позволяют вам выполнить все настройки для работы брандмауэра после установки.
Рисунок 19
Поскольку эти мастера новые, а у нас заканчивается допустимый объем символов для этой статьи, мы рассмотрим эти новые мастера установки в следующей части цикла. Надеюсь, вы будете ждать продолжения.
Заключение
В этой статье мы начали с разъяснения того, что установим новый брандмауэр TMG 2010 EE в простой конфигурации. Единственными параметрами на виртуальной машине брандмауэра TMG были настройки DNS, и брандмауэр был присоединен к домену, прежде чем устанавливать программный продукт брандмауэра. Затем мы начали процесс установки, настроили основную внутреннюю сеть и завершили работу мастера установки. В следующей части цикла мы завершим процесс установки брандмауэра, рассмотрев три новых мастера, которые содержатся на странице Getting Started Wizard .
На днях озадачились, и решили пересадить всех юзеров на проксю в TMG. Решил на виртуалке опробовать данный процесс.
Стандартные функции TMG клиента
- Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
- Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
- Упрощенная настройка маршрутизации в больших организациях
- Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.
Системные требования
TMG клиент имеет некоторые системные требования:
Поддерживаемые ОС
- Windows 7
- Windows Server 2003
- Windows Server 2008
- Windows Vista
- Windows XP
Поддерживаемые версии ISA Server и Forefront TMG
- ISA Server 2004 Standard Edition
- ISA Server 2004 Enterprise Edition
- ISA Server 2006 Standard Edition
- ISA Server 2006 Enterprise Edition
- Forefront TMG MBE (Medium Business Edition)
- Forefront TMG 2010 Standard Edition
- Forefront TMG 2010 Enterprise Edition
Настройки TMG клиента на TMG сервере
Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.
Рисунок 1: Параметры TMG клиента на TMG
После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.
В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.
AD Marker
Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.
Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.
Инструмент TMGADConfig
Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:
Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat
Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.
Установка TMG клиента
Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.
Начните процесс установки и следуйте указаниям мастера.
Рисунок 3: Установка TMG клиента
Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.
Рисунок 4: Выбор компьютера для установки TMG клиента
Расширенное автоматическое определение
Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.
Рисунок 5: Расширенное автоматическое определение
Уведомления HTTPS осмотра
Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.
Если вы еще не слышали, то ISA Firewall постепенно выходит из производства. Последней версией ISA Firewall будет версия ISA 2006. Однако это не означает, что ПО ISA, которое мы полюбили за несколько лет его использования, совсем перестанет существовать. Хотя бренд ISA попадет в мусорную корзину истории, мы увидим следующую версию ISA Firewall с новым названием: Forefront Threat Management Gateway (шлюз управления внешними угрозами).
Существует несколько причин, по которым название ISA выходит из употребления. Но, вероятно, основная причина заключается в том, что общественности, кажется, не удавалось выяснить из названия, что собой представляет ISA Firewall. Некоторые считали, что это был просто веб прокси-сервер (в духе Proxy 2.0), другие думали, что это очередной брандмауэр, третьи считали его VPN сервером, четвертые считали, что это какой-то Франкенштейн или вообще не понимали ничего. Новое название должно обратить на Forefront TMG больше внимания, и, как надеются в компании, позволит людям понять основную задачу этого продукта.
В этой статье я расскажу вам о процессе установки. Однако прежде чем устанавливать TMG, вам нужно знать следующее:
- TMG будет работать только на 64-разрядной Windows Server 2008. После выпуска RTM версии, появится 32-разрядная демо-версия TMG, но не будет никаких бета версий для 32-разрядной Windows
- TMG требует как минимум 1 GB памяти (возможно, она будет работать и с меньшим объемом памяти, но очень медленно)
- 150 MB свободного места на диске
- По крайней мере одну сетевую карту (хотя я всегда рекомендовал два или более сетевых адаптера для обеспечения большей надежности)
- Вам нужно установить стандартную папку на диск C:
- TMG установит IIS 7 на вашу машину, чтобы поддерживать службы отчетов SQL. Если вы удалите TMG с машины, II7 не будет удален автоматически, поэтому вам придется делать это вручную
- Службы и файлы драйверов для TMG устанавливаются в установочную папку TMG
- Для версии beta 1 TMG, машина TMG должна входить в состав домена. В последующих бета версиях будут поддерживаться машины, не принадлежащие к доменам.
В этой серии статей (мы должны уложиться в две части) я устанавливаю TMG на машину Windows Server 2008 Enterprise, которая работает в качестве виртуальной машины (VM) на VMware Virtual Server 1.0. VM имеет два интерфейса: один интерфейс подключен через мост ко внешней сети и будет работать в качестве внешнего интерфейса, а второй интерфейс расположен на VMNet2, которая будет интерфейсом внутренней сети по умолчанию. Обратите внимание, что модель построения сети для TMG не изменилась по сравнению с конфигурацией, используемой ISA Firewall.
TMG является одним из элементов ПО, включенных в коллекцию продуктов Forefront Stirling. Вы можете скачать их все или только TMG. TMG будет отлично работать без Stirling, но Stirling – это определенно то, о чем вы захотите узнать в будущем.
Дважды нажмите на файле, который вы скачали. У вас откроется приветственная страница Добро пожаловать в мастера установки Forefront Threat Management Gateway . Нажмите Далее .
Рисунок 1
Установите файлы в место по умолчанию, коим будет . Нажмите Далее .
Рисунок 2
Файлы будут извлечены в эту папку.
Рисунок 3
Нажмите Завершить , когда процесс извлечения закончится.
Рисунок 4
Перейдите в папку C:\Program Files (x86)\Microsoft ISA Server и дважды нажмите на файле ISAAutorun.exe .
Рисунок 5
У вас откроется диалоговое окно Microsoft Forefront TMG 270-Day Evaluation Setup . Нажмите по ссылке Установить Forefront TMG .
Рисунок 6
Это вызовет приветственное окно мастера установки Welcome to the Installation Wizard for Microsoft Forefront Threat Management Gateway . Нажмите Далее .
Рисунок 7
На странице Лицензионное соглашение выберите опцию Я принимаю условия лицензионного соглашения и нажмите Далее . Обратите внимание на то, что лицензионное соглашение все еще содержит старое кодовое название продукта Nitrogen .
Рисунок 8
На странице Информация потребителя введите ваше Имя пользователя и Организации . Серийный номер продукта будет уже введен за вас. Нажмите Далее .
Рисунок 9
Здесь мы встречаем новую опцию установки, которая не была доступна в предыдущих версиях продукта. На странице Сценарии установки у вас есть возможность установить Forefront TMG или только консоль управления TMG. В этом примере мы будем устанавливать продукт полностью, поэтому выберем Установить Forefront Threat Management Gateway и нажмем Далее .
Рисунок 10
На странице Выбор компонентов у вас есть возможность установить программное обеспечение брандмауэра TMG, консоль управления TMG, и CSS. Да, вы догадались. Больше нет версий Standard и Enterprise брандмауэра ISA. TMG будет продаваться, как единое издание, и это единое издание использует CSS, даже если у вас есть массив ТMG только с одним членом. Однако вы сможете создавать массивы, используя TMG, но это функция недоступна в бета версии TMG и будет доступна только в последующих бета версиях.
В данном примере мы установим все компоненты в папку по умолчанию. Нажмите Далее .
Рисунок 11
Похоже, что у меня возникла проблема. Хотя машина и входит в домен, я забыл войти под именем пользователя, который принадлежит домену. Чтобы установить TMG, вы должны войти под именем пользователя, который обладает правами локального администратора на машине TMG.
Рисунок 12
Кажется, мне придется перезапускать установку. Мы продолжим с того места, на котором остановились, после того как выйду из системы, снова зайду под нужной учетной записью и перезапущу процесс установки.
Рисунок 13
Теперь, когда я вошел под именем пользователя домена с правами локального администратора, мы продолжим процесс установки со страницы Внутренняя сеть . Если вы устанавливали ISA Firewall, вы узнаете эту страницу, поскольку она похожа на ту, что использовалась в предыдущих версиях ISA Firewall. Здесь вы указываете внутреннюю сеть по умолчанию. В большинстве случаев вам нужно выбрать опцию Добавить адаптер , поскольку это определит вашу стандартную внутреннюю сеть на основе таблицы маршрутизации, настроенной на ISA Firewall. Однако я не знаю, если поменять конфигурацию таблицы маршрутизации на ISA Firewall, изменится ли автоматически определение стандартной внутренней сети. Ставлю двадцать пять долларов, что нет, но лучше мы проверим это в будущем.
Рисунок 14
Страница Внутренняя сеть показывает определение внутренней сети по умолчанию. Нажмите Далее .
Рисунок 15
Страница Предупреждение службы информирует вас о том, что Служба SNMP , Служба администрирования IIS , Служба публикации World Wide Web Publishing Service и Служба Microsoft Operations Manager будут перезапущены во время процесса установки. Скорее всего, вы еще не установили роль веб сервера на эту машину, поэтому вам нет нужды беспокоиться о службах IIS Admin Service и World Wide Web Publishing Service, но вы должны быть в курсе перезапуска служб SNMP и Microsoft Operation Manager Service. Помните, TMG установит и настроит IIS 7 за вас.
Рисунок 16
Нажмите Установить на странице Мастер готов установить программу .
Рисунок 17
Строка прогресса будет отображать статус установки. Здесь видно, как устанавливается CSS.
Рисунок 18
Получилось! Страница Работа мастера установки завершена показывает, что процесс установки успешно завершен. Ставьте флажок напротив строки Запустить Forefront TMG Management после завершения установки . Нажмите Завершить .
Рисунок 19
На данном этапе вы увидите веб страницу Защитить сервер Forefront TMG . Здесь вам предоставлена информация о включении Microsoft Update, запуске ISA BPA, и чтении раздела Защита и безопасность файла помощи. Пока что я могу сказать о файле помощи одно, производители проделали отличную работу по обновлению его содержания. Он содержит гораздо больше информации, причем информации, гораздо больше приближенной к реальным условиям установки, включенной в новый усовершенствованный файл помощи. Я рекомендую вам потратить некоторое время на его прочтение. Я гарантирую вам, что если вы являетесь бывалым администратором ISA Firewall, файл помощи TMG даст вам много нового.
Рисунок 20
После завершения первичной установки, у вас откроется новый мастер Getting Started Wizard . Мастер Getting Started Wizard является новым компонентом, который представлен только для TMG и отсутствовал в предыдущих версиях ISA Firewall. Он включает в себя три базовых мастера, и необязательного четвертого, которого мы рассмотрим после того, как разберемся с первыми тремя.
Первый мастер – это Мастер настройки параметров сети . Перейдите по ссылке Настроить параметры сети на странице Getting Started Wizard .
Рисунок 21
На странице Добро пожаловать в мастера настройки сети нажмите Далее .
Рисунок 22
На странице Выбор сетевых шаблонов выберите сетевой шаблон, который вы хотите применить к TMG. Это те же самые сетевые шаблоны, которые использовались на предыдущих версиях ISA Firewall. Нажмите на каждой опции и прочтите информацию, показанную в нижней части страницы.
В этом примере, мы будем использовать предпочитаемый шаблон, коим является шаблон Edge firewall . Нажмите Далее .
Рисунок 23
На странице Параметры локальной сети (LAN) вам дается возможность настроить информацию IP адресации для интерфейса локальной сети. Сначала вы выбираете NIC (сетевая карта), которую вы хотите сделать интерфейсом LAN на ISA Firewall путем нажатия в навигационном меню на строку Сетевой адаптер, подключенный к LAN . Информация IP адресации для этого NIC появится автоматически. Здесь вы можете изменять информацию IP адресации. Вы также можете создать дополнительные статические маршруты, нажав на кнопку Добавить .
Я правда не знаю, какие изменения на этой станице буду подходящими для определения внутренней сети по умолчанию. Допустим, я решил настроить стандартную внутреннюю сеть на 10.0.0.0-10.0.0.255, а затем решил изменить IP адрес на внутреннем интерфейсе на этой странице с тем, чтобы он оказался на другом сетевом ID. Изменится ли определение внутренней сети по умолчанию? Что, если я добавлю статичный маршрут на внутреннем интерфейсе TMG? Будет ли это изменение отражено в определении внутренней сети по умолчанию? Я не знаю, но собираюсь провести некоторые исследования в будущем.
Я не буду вносить никаких изменений на этой странице, поскольку я уже настроил внутренний интерфейс и необходимую информацию IP адресации. Нажмите Далее .
Рисунок 24
На странице Параметры Интернета вы можете настраивать информацию IP адресации для внешнего интерфейса TMG firewall. Как и на предыдущей странице, вы выбираете NIC, которую вы хотите сделать внешним интерфейсом, выбрав в навигационном меню строку Сетевой адаптер, подключенный к Интернету . Здесь вы также можете изменить информацию IP адресации. Поскольку я уже настроил внешний интерфейс и информацию IP адресов, то не буду вносить здесь никаких изменений. Жмем Далее .
Рисунок 25
На странице Завершение работы мастера настройки сети показаны результаты внесенных изменений. Нажмите Завершить .
Рисунок 26
Вы окажетесь обратно на странице Getting Started Wizard . Следующий мастер – это Мастер настройки параметров системы . Перейдите по ссылке Настроить параметры системы .
Рисунок 27
Рисунок 28
На странице Идентификация хоста вам будет задан вопрос об имени хоста и доменной принадлежности брандмауэра TMG. В этом примере, мастер автоматически определил имя хоста машины, коим является TMG2009 . Мастер также определил принадлежность машины домену. Полагаю, что этот мастер позволит вам присоединиться к домену, если вы еще не сделали этого, или покинуть домен, если вы пожелаете. Также, если машина принадлежит рабочей группе, у вас будет возможность ввести первичный DNS суффикс, который ISA Firewall сможет использовать для регистрации вашего домена DNS, если у вас активирован DDNS и вам не требуются надежные обновления DDNS.
Поскольку я уже настроил эту машину в качестве члена домена, мне не нужно вносить никаких изменений на этой странице. Нажимаем Далее .
Рисунок 29
На этом работа с Мастером конфигурации системы закончена. Жмем Завершить на странице завершения работы мастера Completing the System Configuration Wizard .
Рисунок 30
У нас остался еще один мастер на странице Getting Started Wizard . Перейдите по ссылке Определить опции установки .
Рисунок 31
Рисунок 32
На странице Настройка Microsoft Update у вас есть опции Использовать службу Microsoft Update для поиска обновлений и Я не хочу использовать службу Microsoft Update Service . Обратите внимание на то, что TMG использует службу Microsoft Update не только для обновления OС и ПО брандмауэра TMG, но и для проверки наличия вредоносного ПО, причем делает он это несколько раз в день (по умолчанию, каждые 15 минут). Поскольку одним из основных преимуществ использования брандмауэра Microsoft перед другими брандмауэрами является его отличная функция автоматического обновления, то мы продолжим, и будем использовать сайт Microsoft Update. Нажимаем Далее .
Рисунок 33
На странице Определение параметров обновления вы указываете, хотите ли вы, чтобы брандмауэр TMG искал и устанавливал , просто искал или не делал ничего для обновления осмотра на вредоносное ПО. Вы также можете устанавливать частоту осмотра, которая по умолчанию имеет значение, равное каждым 15 минутам. Но вы можете установить значение загрузки обновлений раз в день, а затем настроить время дня, когда эти обновления будут устанавливаться. Нажмите Далее .
Рисунок 34
На странице Обратная связь с потребителем можно указать, хотите ли вы предоставить анонимную информацию компании Microsoft о конфигурации вашего оборудования и того, как используется продукт. Никакая информация, переданная Microsoft, не может быть использована для определения вашей личности, а также никакая личная информация не передается компании Microsoft. Полагаю, что мне нужно указать свое имя, дату рождения, номер социального страхования, лицензионный номер драйвера и адрес своего банка, а компании Microsoft я доверяю гораздо больше, чем своему банку, если учесть требования к банкам передавать информацию федеральному правительству. Поэтому передача этой технической информации компании Microsoft не представляет никакой опасности, и помогает ей создавать свою продукцию более стабильной и надежной. Выберите опцию Да, я хочу анонимно участвовать в программе Customer Experience Improvement (рекомендуется) .
Рисунок 35
На странице Служба телеметрии Microsoft вы можете настроить свой уровень принадлежности к службе телеметрии Microsoft. Служба Microsoft Telemetry помогает защититься от вредоносного ПО и несанкционированного доступа, путем предоставления компании информации о потенциальных атаках, которую компания Microsoft использует, чтобы помочь определить тип атаки и улучшить точность и эффективность снижения угроз. В некоторых случаях личная информация может по неосторожности быть отправлена Microsoft, однако компания не будет использовать эту информацию, чтобы определить вашу личность или связаться с вами. Сложно определить, какая именно личная информация может быть отправлена, но поскольку я привык доверять компании Microsoft, я выберу опцию Присоединиться с повышенным уровнем принадлежности . Нажимаем Далее .
Рисунок 36
На странице Завершение работы мастера установки показаны выбранные вами параметры. Нажимаем Завершить .
Рисунок 37
Вот и все! Мы закончили работу с мастером Getting Started Wizard . Но это не означает, что все закончено. Если вы отметите опцию Запустить мастера веб доступа , то откроется окно этого мастера. Давайте отметим эту опцию и посмотрим, что произойдет.
Рисунок 38
У нас откроется приветственное окно мастера Welcome to the Web Access Policy Wizard . Поскольку это новый способ создания политики брандмауэра TMG, думаю, мы подождем до следующей части, чтобы подробно рассмотреть этого мастера. Кажется, TMG позволит вам настраивать политику веб доступа немного иначе, чем в предыдущих версиях ISA Firewall, поэтому мы посвятим этому следующую часть.
Рисунок 39
Теперь, когда установка завершена, у нас появилась новая консоль. Если вы посмотрите на левую панель консоли, то увидите, что в ней абсолютно отсутствуют вкладки, что немного облегчает процесс навигации. Также мы видим новую вкладку Центр обновлений . Отсюда вы можете получить информацию об обновлениях службы защиты против вредоносного ПО TMG, и узнать, когда устанавливались эти обновления.
Рисунок 40
По завершении процесса установки я обнаружил, что были некоторые ошибки. Но это, наверное, связано с тем, что TMG вообще не работал после установки. Я смог решить эту проблему путем перезагрузки компьютера. Я не уверен, было ли это связано с тем, что брандмауэр TMG устанавливался на виртуальный сервер VMware, или с тем, что это бета версия.
Рисунок 41
Обращая внимание на Первичные задачи настройки , вы можете заметить, что несколько ролей и служб было установлено на этот компьютер, как часть установки TMG. Сюда входят:
Резюме
В этой статье мы рассмотрели процесс установки брандмауэра TMG. Здесь были некоторые изменения по сравнению с предыдущими версиями ISA Firewall, но ничего сверхъестественного. Это нормально, установка – это не тот процесс, от которого ждешь чего-то удивительного. Мы видели несколько замечательных улучшений в процессе установки, которые придают дополнительную гибкость во время настройки.
Если вы потратите еще немного времени на рассмотрение ПО брандмауэра TMG после установки, и не найдете ни одной черты, которую ожидали найти, не стоит беспокоиться. Это очень ранняя бета версия, и я полагаю, что она далека от завершения. Я знаю, что были запросы на дюжины других характеристик, когда была выпущена версия ISA 2000. Хотя иногда первые впечатления являются длительными, я не хочу быть причиной вашего первого впечатления от TMG. Помните, что это всего лишь первая бета версия, поэтому следует ожидать множества новых параметров и характеристик в будущем, которые могут сделать вас счастливыми. Спасибо!
