Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

В первой части этого цикла статей мы начали рассмотрение процесса установки TMG Enterprise Edition в обычный «чистой установке». Большая часть из того, что мы разглядели, очень похоже на то, с чем вы сталкивались во время установки ISA Server за последние 10 лет. В этой части цикла мы разглядим некие новые составляющие процесса установки; если гласить поточнее, мы разглядим нового мастера Getting Started Wizard.

Итак, давайте начнем с того места, на котором мы тормознули в прошлой части. Сейчас мы уже лицезрели страничку мастера Getting Started Wizard, и первой частью этого процесса будет настройка сетевых характеристик. Жмем на ссылку Настроить сетевые характеристики (Configure network settings).

Примечание: Направьте внимание на нижнюю часть странички, если вам необходимо импортировать конфигурацию ISA 2006 в TMG, вам необходимо сделать это до того как вы запустите мастера Getting Started Wizard. Мы разглядим перенос опций конфигурации брандмауэра ISA в TMG в одной из последующих статей, потому тут не будем углубляться в данную тему.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 1

Также направьте внимание, что у вас есть возможность пользоваться справкой по Getting Started Wizard, если вы нажмете на ссылку Help about the Getting Started Wizard в нижней части странички.

Жмем Дальше на приветственной страничке мастера Welcome to the Network Setup Wizard.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 2

На страничке Выбор сетевого шаблона (Network Template Selection) у вас есть до 4 опций на выбор:

Edge Firewall - это функция по дефлоту, которая употребляется в большинстве случаев. Эта функция делает стандартную Внутреннюю Сеть (Internal Network) и стандартную Внешнюю Сеть (External Network).
3-Leg perimeter - Эта функция позволяет вам настроить трехсетевой сектор демилитаризованной зоны (trihomed DMZ segment). Причина, по которой эта функция не отображена на рисунке, состоит в том, что вам необходимо как минимум три сетевых карты, чтоб эта функция была доступна. Когда вы выбираете эту опцию, сеть брандмауэра TMG будет сотворена сектором DMZ, а сетевые правила будут сделаны автоматом.
Back firewall - эта функция употребляется, когда у вас еще есть один брандмауэр, к примеру, очередной TMG, ISA либо брандмауэр постороннего производителя перед вашим брандмауэром TMG. Демилитаризованная зона сети брандмауэра TMG будет сотворена автоматом, равно как и основная внутренняя сеть.
Single network adapter - эта функция употребляется, если на вашем брандмауэре TMG установлена одна сетевая карта. Она употребляется исключительно в том случае, если брандмауэр будет употребляться в качестве веб-прокси сервера. Эта конфигурация не поддерживает никакие протоколы кроме HTTP, HTTPS и FTP. Она поддерживает удаленный доступ VPN.

В этом примере мы выберем опцию пограничного брандмауэра Edge firewall и нажмем Дальше.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 3

На страничке Опции локальной сети (Local Area Network (LAN) Settings) настраивается конфигурация IP адресации для внутреннего интерфейса. Если вы уже настроили этот интерфейс, вы можете узреть избранные вами опции на этой страничке. На этой страничке вы также сможете поменять опции. В разделе Укажите дополнительные маршруты сетевой топологии (Specify additional network topology routes) вы сможете надавить на кнопку Добавить (Add) и добавить записи таблицы маршрутизации (не знаю, почему записи таблицы маршрутизации окрестили ‘маршрутами топологии сети (network topology routes)’, но я пропустила семинар по этому продукту).

После опции характеристик внутреннего интерфейса жмем Дальше.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 4

На страничке Опции веба (Internet Settings) вы настраиваете характеристики IP адреса наружного интерфейса. Направьте внимание, что тут вы сможете указать статические адреса либо использовать DHCP. Изберите подобающую сетевую карту и потом изберите опции, которые вам подходят. Жмем Дальше.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 5

На этом работа мастера сетевых опций Network Setup Wizard завершена. Проверьте свои опции на последней страничке мастера Completing the Network Setup Wizard и нажмите Готово (Finish).

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 6

Последующим шагом будет мастер опции системных характеристик Configure system settings. Нажмите на ссылку Настроить системные характеристики (Configure system settings), чтоб перейти к настройке.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 7

Нажмите Дальше на приветственной страничке мастера Welcome to the System Configuration Wizard.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 8

На страничке идентификации хоста Host Identification есть несколько настраиваемых опций:

Имя компьютера (Computer name) - тут вы сможете надавить на кнопку Поменять (Change), чтоб поменять имя компьютера. Для этого будет нужно перезагрузка машины.
Участник (Member of) - тут вы сможете избрать, будет ли ваш брандмауэр TMG участником домена Windows либо Рабочей группы. Почти всегда брандмауэр TMG должен быть участником домена, чтоб вы имели наивысший уровень безопасности брандмауэра. После конфигурации этого параметра вам также необходимо будет перезагрузить машину.
Основной DNS суффикс (Primary DNS Suffix) - тут вы сможете поменять основной DNS суффикс, применяемый брандмауэром TMG. Он употребляется брандмауэром для присвоения суффикса запросам с однокомпонентными именами, выполнение которых может потребоваться брандмауэру. Если брандмауэр TMG является участником домена, он автоматом выбирает имя домена Active Directory в качестве основного суффикса DNS.

В нижней части странички вы увидите полное имя компьютера брандмауэра TMG после внесения всех конфигураций. Я выполнила все эти опции до того как начинать установку брандмауэра TMG. Но если вы запамятовали это сделать заблаговременно, приятно обдумывать, что у вас есть возможность позаботиться об этом в мастере системных опций.

Нажмите Дальше.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 9

О! Это был очень «короткий» мастер. Прочтите информацию на последней страничке мастера Completing the System Configuration Wizard, чтоб убедиться, что все опции верны, и нажмите Готово. Направьте внимание, что если вы изменили домен, рабочую группу либо имя компьютера, машина перезагрузится, до того как вы можете продолжить.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 10

Третьим шагом будет мастер определения опций установки Define deployment options. Нажмите на ссылку Найти функции установки (Define deployment options).

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 11

Нажмите Дальше на приветственной страничке мастера Welcome to the Deployment Wizard.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 12

Первым моментом, который от вас востребует мастер установки, будет выбор функции Опций обновления (Microsoft Upd ate Setup). Тут у вас есть последующие варианты:

Использовать службу обновлений Microsoft для проверки обновлений (рекомендуется) (Use the Microsoft Upd ate service to check for updates (recommended)) - эта функция принуждает брандмауэр TMG использовать систему обновлений Microsoft в вебе, чтоб обновлять брандмауэр, ОС, и сигнатуры устройств защиты от вредного кода и NIS. Так как у Microsoft есть больше шансов включить наибольшее количество сигнатур, чем у вашей внутренней конфигурации WSUS либо SCCM, это будет самая подходящая функция почти всегда.
Я не желаю использовать службу обновлений Microsoft (I do not want to use the Microsoft Upd ate service) - используйте эту опцию, если в вашей компании есть политика, запрещающая вам использовать службу Microsoft Update для автоматического обновления брандмауэра. Эта функция будет полезна в этом случае, если вас тревожат обновления, и вы желаете проверить их перед установкой на собственный брандмауэр либо массив брандмауэров.

Направьте внимание, что если ваш компьютер не подключен к вебу, этот шаг может занять пару минут в попытке брандмауэра подключиться к Internet Microsoft Update Services. Это может заносить некоторую неясность, так как ваш брандмауэр может быть подключен к вебу, но если вы не настроили брандмауэр TMG на внедрение наружного DNS сервера (что не рекомендуется ‘ вам следует избегать опции наружного DNS сервера на любом интерфейсе брандмауэра), то TMG не сумеет конвертировать имена серверов Internet Microsoft Update.

Вы, может быть, настроили внутренний интерфейс на внедрение внутреннего DNS сервера, но брандмауэр TMG не сумеет использовать и этот DNS сервер, так как у вас еще не настроено правило доступа, которое бы разрешало исходящий доступ для внутренних DNS серверов к наружным DNS серверам. В этом и состоит загвоздка ‘ вам необходимо разрешить имена веб узлов, но вы не сможете попасть в интерфейс опции, чтоб сделать эти DNS серверы доступными.

Может быть в следующих пакетах обновления они создадут временное DNS правило во время установки, которое будет разрешать внутренним DNS серверам преобразовывать имена общественных хостов. А пока нам придется мало подождать.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 13

На страничке Опции функций защиты Forefront TMG (Forefront TMG Protection Features Se ttings) у вас есть последующие функции:

Система осмотра сети – Network Inspection System (NIS) - тут вы сможете активировать лицензию либо не активировать ее. Если вам не надо лицензировать NIS сигнатуры ‘ все копии брандмауэров TMG позволяют вам воспользоваться NIS.
Интернет защита (Web Protection) - тут у вас есть возможность активировать оценочную лицензию и включить интернет защиту. Вы также сможете ввести свои лицензионные данные, если у вас есть лицензия. На данном шаге подробности о лицензировании обновлений Web защиты пока неясны.
Включить осмотр на вредный код (Enable Malware Inspection) - если вы включите эту опцию, брандмауэр TMG сумеет производить проверку интернет (HTTP/HTTPS) подключений на предмет вредного кода. Направьте внимание, что осмотр выполняться только для интернет подключений ‘ эта функция не производит проверку других протоколов, таких как NNTP, SSH и т.д.
Включить фильтрацию адресов (Enable URL Filtering) – эта функция включает способности фильтрации URL адресов в брандмауэре TMG и позволяет вам в предстоящем настраивать веб-сайты либо категории веб-сайтов, которые вам необходимо перекрыть, используя Привала доступа.

Направьте внимание на то, как работает служба фильтрации URL адресов. Брандмауэр TMG не загружает всю базу данных. Заместо этого TMG посылает строчку адреса URL в службу репутации Microsoft Reputation Service по SSL каналу, чтоб получить результаты принадлежности адреса к категории, после этого брандмауэр употребляет приобретенный итог для оценки запроса подключения.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 14

На страничке Опции обновления сигнатур системы осмотра сети (NIS Signature Update Se ttings) у вас еще есть несколько опций:

Избрать действие автоматического обновления дефиниций (Select automatic definition update action) ‘ можно избрать последующие функции: поиск и установка, поиск и загрузка, не находить. Почти всегда вам необходимо избрать автоматический поиск NIS сигнатур и их автоматическую установку.
Автоматическая частота опроса (Automatic polling frequency) - работники компании Microsoft работают круглые сутки над сбором сигнатур для защиты вашей сети. Чтоб пользоваться этим, вам необходимо опрашивать серверы Microsoft так нередко, чтоб у вас была очень освеженная защита. Интервал по дефлоту составляет 15 минут, но при желании вы сможете поменять его в огромную либо в наименьшую сторону.
Генерировать оповещение, если обновления не установлены в течение этого количества дней (Trigger an alert if no updates are installed after this number of days) - эта настройка позволяет вам получать извещение о том, что обновление не проводилось в течение ‘x’ количества дней.
Конфигурация нового набора сигнатур (New Signature Se t Configuration) – эта функция позволяет вам задавать стандартную политику ответа для новых сигнатур. Характеристики по дефлоту, обычно, являются самыми наилучшими, в этом случае это Стандартная политика от Microsoft (рекомендуется) (Microsoft default policy (recommended)). Я напишу статью о NIS в дальнейшем, в какой будет более тщательно поведано о сигнатурах NIS и политиках ответа.

Нажмите Дальше.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 15

На страничке оборотной связи с потребителями Customer Feedback у вас есть возможность присоединиться к программке по улучшению свойства программного обеспечения (Microsoft Customer Experience Improvement Program). Я безотступно рекомендую вам принять роль в этой программке. Она позволяет спецам компании Microsoft узнавать, как вы используете TMG брандмауэр, и помогает им концентрировать свои силы на разработке товаров более неплохого свойства, основываясь на практике использования брандмауэра потребителями. В этом примере я выберу опцию Да, я желаю анонимно участвовать в программке по улучшению свойства ПО (Yes, I am willing to participate anonymously in the Customer Experience Improvement Program) и нажму Дальше.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 16

На страничке Служба отчетов телеметрии (Microsoft Telemetry Reporting Service) вы сможете посодействовать компании Microsoft и другим обладателям брандмауэров TMG методом предоставления инфы о вредных программках и иных атаках на вашу сеть компании Microsoft. Если у вас нет весомых обстоятельств отрешиться от роли, безотступно рекомендую вам избрать опцию Подробная информация (Advanced). Это делает компонент защиты от вредного ПО более действенным и делает сети всех иных компаний более надежными. Но когда вы выбираете опцию «Подробная информация», кроме основной инфы, отправляемой в Microsoft, информация о возможных опасностях отчаливает в более подробной форме, включая примеры трафика и полные строчки URL адресов. Дополнительная информация позволяет спецам компании Microsoft более кропотливо рассматривать опасности и принимать конструктивные меры по их устранению.

В этом примере мы выберем опцию Подробная информация и нажмем Дальше.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 17

Это был «долгий» мастер! На последней страничке мастера Completing the Deployment Wizard прочтите информацию о выборе конфигураций, изготовленных вами, и удостоверьтесь, что все верно, а потом нажмите Дальше.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 18

На данном шаге мы, кажется, зашли в тупик. Как говорилось ранее, мне кажется, что неувязка состоит в том, что брандмауэр TMG не может разрешать имена, которые ему необходимы для подключения к узлам в вебе, нужным для загрузки обновлений для компонент защиты от вредного кода и сервисов NIS. Это неувязка, связанная с тем, что вам нельзя включать адресок наружного DNS сервера ни в один из интерфейсов брандмауэра TMG ‘ но во время установки, это может потребоваться. Но это также может вызывать препядствия с взаимодействиями с Active Directory. Делему можно решить позднее, создав правило доступа, которое будет разрешать внутренним серверам DNS доступ к вебу, тип доступа находится в зависимости от того, как вы настроите свои внутренние DNS серверы на разрешение имен узлов веба ‘ или через рекурсию, или через пересылки.

Итак, мы окончили работу с мастером Getting Started Wizard. В нижней части странички будет сказано, что Вы удачно выполнили все шаги мастера Getting Started Wizard. Сейчас вы сможете найти политику интернет доступа для собственной организации. (You have successfully completed all the steps of the Getting Started Wizard. You are now ready to define Web Access policy for your organization). Для админов брандмауэра ISA функция политики интернет доступа может быть малость запутанной, так как эта политика делает правила доступа и группирует их в политику интернет доступа.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

Набросок 19

Потому что же все прошло? Думаю, что после установки брандмауэра закладка Оповещения (Alerts) будет пустой и приятной, и произнесет мне только о том, что службы запущены и что жизнь великолепна ‘ у меня еще будет куча времени, чтоб повозиться с опциями. Каковой итог?

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)
Прирастить

Набросок 20

Ой. Что это? Нет сопоставителей конечных точек, но я к тому же не пробовала сопоставлять конечную точку, даже если б я и пробовала, я бы все равно не знала, какую конечную точку необходимо сопоставлять. Я время от времени сталкиваюсь с неуввязками, связанными с разрешением имен, потому, может быть, неувязка DNS, о которой говорилось выше, как раз связана с этим. Неувязка с проверкой на вредное ПО практически наверняка связана с неувязкой DNS, потому она меня не очень волнует. Давайте перезагрузим брандмауэр и поглядим, что произойдет.

Так незначительно лучше. Извещение Найден конфликт фильтра WFP (WFP Filter Conflict Detected) является «нормальным» извещением, другими словами его можно игнорировать. Не знаю, почему извещение Компонент проверки на вредный код в реальный момент недоступен (Malware Inspection Currently Unavailable) все еще отображается, может быть, это связано с тем, что машина не работала довольно длительно, чтоб загрузить обновления.

Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)
Прирастить

Набросок 21

Заключение

В прошлых 2-ух частях этого цикла мы разглядели процесс установки брандмауэра TMG. В первой части цикла мы лицезрели процесс, очень похожий с процессом установки брандмауэра ISA. Но во 2-ой части мы познакомились с мастером Getting Started Wizard, который является новым компонентом TMG. Мы разглядели три дополнительных мастера, которые включены в Getting Started Wizard, и удачно окончили процесс установки брандмауэра TMG.

Это было забавно! Что делать далее? Думаю, будет любопытно установить компонент защиты электрической почты, так как защита электрической почты является главным сценарием использования TMG. Естественно, это значит, что мне необходимо будет установить и запустить Exchange 2010, но мне произнесли, что установка сервера Exchange 2010 мало проще, чем установка и настройка Exchange 2007, потому, думаю, стоит испытать.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.