Microsoft forefront threat management gateway

Microsoft Forefront TMG Standard 2010 дает возможность работникам компании эффективно и безопасно использовать Интернет, не задумываясь об угрозах и вредоносном программном обеспечении.

В Microsoft Forefront Threat Management Gateway (TMG) воплощены широкие возможности защиты внутренней сети от инсталляции вредоносных программ, внешних атак, а также блокировки доступа к сайтам сомнительного содержания: фильтрация по URL, фильтрация Интернет- и почтового трафика, Network Inspection System (защита от сетевой атаки) и пр.

Программное решение облегчает системным администраторам, IT-специалистам и профессионалам в этой сфере полноценное руководство системой безопасности и дает возможность контролировать сетевые соединения в удаленном режиме.

Доступны два выпуска сервера Forefront TMG — Standard Edition и Enterprise Edition.

Требования развертывания, связанные с сетевой инфраструктурой, различаются, но оба выпуска содержат одни и те же и обладают одинаковыми возможностями защиты и управления доступом.

В следующей таблице сравниваются и сопоставляются функции этих двух выпусков сервера Forefront TMG Standard и Enterprise Edition.

Standard Edition Enterprise Edition

Поддержка сценариев развертывания

Изолированный сервер

Север в изолированном массиве

Север в массиве, управляемом службой аварийного управления

Центральных процессоров

До четырех ЦП

Без ограничений

хранилище

Локальное

Поддерживает удаленное управление политиками межсетевого экрана и параметрами конфигурации.

Поддержка массивов/балансировки сетевой нагрузки/протокола CARP

x

В массиве может быть только один сервер.

Управление корпоративной конфигурацией

x

Да, с дополнительной возможностью управления серверами Standard Editions.

Публикация

Поддержка VPN

Сжатие передачи в прокси/кэш

Сетевая система предотвращения вторжений

Защита электронной почты

Требуется лицензия Exchange

Требуется лицензия Exchange

Веб-защита

Требуется подписка

Требуется подписка

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows.

Microsoft Forefront Threat Management Gateway

Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение.

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

  • уведомления HTTPS осмотра
  • поддержку AD Marker

Стандартные функции TMG клиента

  • Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
  • Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
  • Упрощенная настройка маршрутизации в больших организациях
  • Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

  • Windows 7
  • Windows Server 2003
  • Windows Server 2008
  • Windows Vista
  • Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

  • ISA Server 2004 Standard Edition
  • ISA Server 2004 Enterprise Edition
  • ISA Server 2006 Standard Edition
  • ISA Server 2006 Enterprise Edition
  • Forefront TMG MBE (Medium Business Edition)
  • Forefront TMG 2010 Standard Edition
  • Forefront TMG 2010 Enterprise Edition

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.

Начните процесс установки и следуйте указаниям мастера.

Рисунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Рисунок 7: Сообщение об использовании осмотра защищенных подключений

Заключение

В этой статье я предоставил вам обзор процесса установки и настройки нового Microsoft Forefront TMG клиента. Я также показал вам некоторые новые функции этого Forefront TMG клиента. На мой взгляд, вам следует использовать TMG клиента в любой возможной среде, поскольку он предоставляет вам дополнительные функции безопасности.

Установка Threat Management Gateway 2010 версии Enterprise

Forefront TMG: запрещаем доступ к социальным сетям


В данной статье я вкратце опишу задачу и ее решение.

Задача запретить доступ из локальной сети на сайты соцсетей типа вконтакте и одноклассники в т.ч. и через анонимайзеры.

В тесте участвовал анонимайзер http://cameleo.ru/ и в качестве шлюза Forefront TMG.

Решение задачи стало элементарным с помощью сигнатур:

На этом — все, видео можно посмотреть на моем канале  YouTube: http://www.youtube.com/watch?v=BAy96W3Xev0


Комментарии пользователей

Анонимам нельзя оставоять комментарии, зарегистрируйтесь!

Модуль 1. Обзор ForefrontUAG

  • СтратегияMicrosoft Business Ready Security;
  • Архитектура Forefront Unified Access Gateway;
  • Лицензирование идоступность.

Модуль 2. Установка ForefrontUAG и обновление c IAG 207

  • Установка Forefront UAG;
  • Первоначальная конфигурация;
  • Лабораторная работа: Установка Forefront Unified Access Gateway 2010;
  • Установка Forefront UAG;
  • Первоначальная настройкапри помощи GettingStartedWizard;

Модуль 3. Портал Forefront UAG

  • Магистрали и порталы;
  • Настройки портала;
  • Обнаружение клиента;
  • Лабораторная работа: Создание и настройка портальной магистрали;
  • Настройка HTTPS-магистрали в ForefrontUAG;
  • Настройка аутентификационногохранилища в ActiveDirectory.

Модуль 4. Публикация Web приложений

  • Обзор публикации Web приложений;
  • Публикация Microsoft Exchange;
  • Публикация Microsoft SharePoint;
  • Развертывание федерации при помощи ADFS;
  • Лабораторная работа: Публикация приложений Exchange;
  • Настройка публикации OutlookWebAccessи используя настройки внешнего вида OWA;
  • Настройка публикации OWA внутри портала ForefrontUAG;
  • Публикация OutlookAnywhere и Exchange Autodiscover.

Модуль 5. Публикация Remote Desktop Gateway

  • Обзор публикации Remote Desktop;
  • Развёртывание публикации RemoteDesktopGateway;
  • Лабораторная работа: Публикация сервисов RemoteDesktop;
  • Публикация приложений RemoteAppпр помощи портала ForefrontUAG;
  • Публикация удалённогорабочегостола.

Модуль 6.

Удалённый доступ к сети

  • Обзор удалённого доступа к сети;
  • Архитектура интеграции UAG/SSTP;
  • Настройка удалённого доступа к сети;
  • Лабораторная работа: Удалённый доступ при помощи SSTP;
  • Настройка удалённого доступа при помощи SSTP;
  • Публикация удалённого доступа к сети на портале ForefrontUAG.

Модуль 7. IPv6 и технологии перехода на IPv6

  • Обзор IPv6;
  • Технологии перехода на IPv6;
  • Лабораторная работа:IPv6 и ISATAP;
  • Использование IPv6 link-local адресов для взаимодействия в локальной сети;
  • Установка ISATAP маршрутизаторав локальной сети.

Модуль 8. DirectAccess

  • Обзор DirectAccess;
  • Компоненты решения DirectAccess;
  • Планирование развёртывания DirectAccess;
  • Развёртывание DirectAccessпри помощи ForefrontUAG;
  • Лабораторная работа:Развёртывание DirectAccess;
  • Подготовка инфраструктуры для развёртывания DirectAccess;
  • Настройка DirectAccess при помощи Forefront UAG.

Модуль 9.

Форпост для защиты периметра: Forefront TMG

Безопасность конечных точек и NAP

  • Политики конечных точек;
  • Интеграция с NAP;
  • Лабораторная работа: Политики точки входа и NAP;
  • Использование политик конечных точек и портала ForefrontUAG;
  • Настройка NAP с Forefront UAG DirectAccess.

Модуль 10. Управление массивом Forefront UAG

  • Обзор управления массивом Forefront UAG;
  • Развертывание и администрирование массива ForefrontUAG;
  • Интеграция с сервисом балансировки сетевой нагрузки;
  • Лабораторная работа: Настройка массивов ForefrontUAG;
  • Установка дополнительного сервера Forefront UAG;
  • Настройка массива и управление массивом ForefrontUAG.

Модуль 11. Развертывание на предприятии и разрешение проблем

  • Развёртывание Forefront UAG на предприятии;
  • Поддержка и разрешение проблем ForefrontUAG.

Форпост для защиты периметра: Forefront TMG

 

Развертывание, администрирование и эффективное использование Microsoft Forefront TMG 2010 SP1

Аннотация:
Цель курса — получить знания и навыки, необходимые для установки и управления Forefront Threat Management Gateway 2010 (TMG), как части общей инфраструктуры защиты информационной системы предприятия. Вы научитесь планировать и производить установку и настройку Forefront Threat Management Gateway 2010 и с его помощью повышать безопасность сети. В частности, Вы сможете настраивать Forefront TMG в качестве брандмауэра, организовывать сеть периметра, VPN-доступ, использовать различные фильтры, настраивать кэширование, осуществлять мониторинг.

Аудитория:
Этот курс предназначен для администраторов, специалистов по сетевой безопасности отвечающих за реализацию мер по защите сетевых ресурсов.

Предварительная подготовка:
Знание систем WindowsServer 2003/2008.
Понимание основных сетевых протоколов: HTTP, SMTP, IPSec, PPTP и тд.
Опыт реализации решений на основе Web, VPN, Exchange и SharePoint серверов.

По окончании курса слушатели смогут:
• Описать функционал предоставляемый TMG 2010 и объяснить подходящие сценарии развёртывания.
• Настроить защищённый доступ к внутренним сетевым ресурсам для внутренних клиентов, используя TMG 2010
• Настраивать следующие роли TMG 2010: Firewall, WebProxy/Caching, Logging, VPN.
• Настраивать защищённый доступ к внутренним ресурсам дляинтернет клиентов, используя правила публикации для Веб серверов и серверов общего назначения.
• Настраивать компоненты обнаружения вторжений и инспекции трафика на наличие вредоносного ПО.
• Настраивать TMG 2010 для предоставления безопасного доступа к серверам SharePoint и Exchange для серверов и клиентов расположенных в Интернет.
• Настраивать на TMG 2010 фильтры приложений, сайтов, URL.
• Развёртывать виртуальную частную сеть для удалённых клиентов и сетей при помощи следующих компонент и протоколов: L2TP поверх IPSec, PPTP, интеграции с NAP, SSTP.
• Управлять TMG 2010 при помощи скриптов.
• Разрабатывать и реализовывать план по восстановлению после сбоя.
• Развертывать TMG 2010 Enterprise в конфигурации высокой доступности.

Содержание курса:
Модуль №1 — Обзор Microsoft Forefront TMG 2010
• Знакомство с Forefront TMG 2010
• Forefront TMG в общей стратегии построения эшелонированной защиты
• Сценарии использования Forefront TMG

Модуль №2 — Установка и поддержка Forefront TMG
• Установка Forefront TMG
• Выбор типа клиентов Forefront TMG
• Установка и настройка клиентского ПО Forefront TMG Client
• Расширенная настройка клиентов Forefront TMG
• Повышение уровня безопасности узла с Forefront TMG
• Поддержка Forefront TMG

Модуль №3 — Предоставление безопасного доступа к ресурсам сети Интернет
• Возможности прокси-сервера в Forefront TMG
• Создание и управление правилами доступа
• Политика доступа к веб-ресурсам
• Проверка веб-трафика на наличие вредоносного кода
• Управления доступа к веб-ресурсам на основе динамической категоризации
• Анализ и управление зашифрованными соединениями
• Механизм кэширования веб-контента

Модуль №4 — Функции межсетевого экрана в Forefront TMG
• Использование Forefront TMG в качестве межсетевого экрана уровня предприятия
• Управление трафиком между сетями
• Создание периметральных сетей
• Правила системной политики
• Система обнаружения и предотвращения сетевых вторжений
• Работа с VoIP-системами
• Отказоустойчивый доступ к сети Интернет

Модуль №5 — Предоставление безопасного доступа к ресурсам внутренней сети
• Знакомство с механизмом публикации
• Публикация веб-серверов и приложений
• Безопасная публикация веб-серверов и приложений
• Публикация серверов по протоколам, отличным от веб
• Аутентификации пользовательских запросов
• Делегирование верительных данных пользователей

Модуль №6 — Защита электронной почты с помощью Forefront TMG
• Стратегия защиты почтового трафика — гигиена систем электронной почты
• Защита почтового трафика с помощью Forefront TMG
• Защита от нежелательных почтовых сообщений (спам)
• Проверка почтового трафика на наличие вредоносного кода
• Контекстная фильтрация сообщений электронной почты

Модуль №7— Расширенная фильтрация на уровне приложений с помощью Forefront TMG
• Полноценная фильтрация на уровне приложений
• Работа Web-фильтров на уровне приложений
• Работа других фильтров на уровне приложений
• Возможности фильтрации протокола HTTP

Модуль №8 — Удаленный доступ и объединение распределенных сетей с помощью Forefront TMG
• Знакомство с технологией виртуальных частных сетей
• Использование VPN для удаленного подключения сотрудников к ресурсам корпоративной сети
• Использование VPN для объединение сетей головного офиса компании с филиалами
• Новое поколение технологий удаленного доступа — SSL VPN

Модуль №9 — Мониторинг Forefront TMG
• Описание стратегии мониторинга
• Работа с оповещениями о событиях
• Мониторинг пользовательских сеансов
• Работа с файлами журналов событий
• Пользовательские отчеты
• Проверка доступности сервисов
• Мониторинг уровня производительности
• Использование System Center Operations Manager для мониторинга событий Forefront TMG

Модуль №10— Внедрение и настройка Forefront TMG 2010 Enterprise Edition
• Знакомство с редакцией Forefront TMG Enterprise Edition
• Планирование развертывания массивов Forefront TMG Enterprise Edition
Расширенная настройка производительности и отказоустойчивости массивов Forefront TMG Enterprise Edition

< Назад к списку курсов

В данный момент идет прием заявок на курс.
Мы можем сообщить вам о начале
запланированного обучения

Подписаться на курс

Код: MS-TMG

Длительность: 40 ак.ч.

Стоимость: 35 600 р.

.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *