Проведение аудита начальной конфигурации брандмауэра EBS TMG Firewall (часть 2)

Published on Февраль 12, 2009 by   ·   Комментариев нет

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Проведение аудита начальной конфигурации брандмауэра EBS TMG (часть 1)

Спасибо, что вернулись ко второй части нашей серии статей по аудиту первичной конфигурации брандмауэра EBS TMG. В первой части этой серии я представил краткий обзор решения EBS и TMG, а затем описал конфигурацию своей тестовой сети. Я также описал конфигурацию Hyper-V, которую использовал для создания сети EBS.

Хочу поблагодарить всех, кто писал мне по поводу различий частной и внутренней сети. Оказалось, что VMware обладает такими же функциями, однако в течение десяти лет работы с VMware я никогда не использовал их, и поэтому не знал об их существовании. Сеть VMware ‘host only (только узел)’ сходна с сетью Hyper-V Private (частная). Оба этих виртуальных типа сетей позволяют машинам взаимодействовать между собой и с головной машиной. Головной машине присваивается виртуальный интерфейс с IP адресом, который нужно использовать на узлах в сети host only. Можно воспользоваться командой ipconfig на узле, чтобы найти сетевой ID, используемый сетевым интерфейсом host only.

Н рисунке ниже показаны интерфейсы, используемые рабочей станцией VMware Workstation.

Tmg forefront как назначить диспечер масива

Рисунок 1

VMnet1 используется для сети host only, а VMnet8 используется для сети NAT, где VM совместно используют адрес системы узла для сетевых взаимодействий.

Tmg уменьшение логов

Рисунок 2

Ладно, на этом закончим урок виртуальных сетей. Давайте перейдем к нашему аудиту брандмауэра EBS Forefront TMG. Помните, нашей задачей здесь является реконфигурирование брандмауэра. Мы предполагаем, что команда разработчиков EBS создала настройку брандмауэра с учетом лучших методик, и мы просто документируем их. Если мы увидим, что что-то можно улучшить или изменить, я буду на это указывать.

Общие свойства брандмауэра

Мы начнем с общих свойств брандмауэра. Эту информацию можно найти, открыв консоль брандмауэра TMG и правой клавишей нажав на его имени в левой панели консоли, а затем выбрав Свойства. У вас откроется диалоговое окно Свойства, как показано на рисунке ниже.

Нажмите по вкладке Назначить роли. Вы можете назначить брандмауэру такие административные роли, как:

  • Администратор массива Forefront TMG Array Administrator ‘ эта роль обладает полным контролем над конфигурацией на уровне массива, включая разрешения на назначение ролей массива. Имеет доступ только чтение для производственной политики, примененной к этому массиву. Обратите внимание, что брандмауэр TMG можно устанавливать только в качестве массива с одним членом.
  • Аудитор массива Forefront TMG Array Auditor ‘ эта роль имеет полный доступ для мониторинга массива и доступ только чтение к конфигурации массива. Эта роль также имеет доступ только чтение к производственной политике, примененной к этому массиву. Обратите внимание, что брандмауэр EBS TMG нельзя настроить в качестве части производственной группы, и поэтому политика предприятия не применима к брандмауэрам EBS TMG
  • Аудитор мониторинга массива Forefront TMG Array Monitoring Auditor ‘ эта роль имеет ограниченный доступ к функциям мониторинга массива. Можно просматривать сеансы, статус службы запросов и проверять подключаемость

Брандмауэр EBS TMG настраивает администраторов домена, группы администраторов домена и членов группы локальных администраторов брандмауэра в качестве администраторов массива Forefront TMG. Это безопасная конфигурация, и поэтому я не вижу никаких причин менять данную настройку. Вы можете свободно добавлять других пользователей в качестве аудиторов мониторинга и массива, если этого требуют условия вашей среды.

Лог брандмауэра

Рисунок 3

Перейдите по вкладке Присоединиться к службе телеметрии Microsoft Telemetry Services. Здесь у вас есть возможность помочь компании Microsoft защититься против вредоносного кода и улучшить функции IPS брандмауэра EBS TMG. У вас есть три опции:

  • Присоединиться в качестве базового участника ‘ TMG будет предоставлять отчет в виде базовой информации о потенциальных угрозах, включая тип угрозы, происхождение угрозы и применяемое действие
  • Присоединиться в качестве расширенного участника ‘ Вдобавок к базовой информации, отправляемой компании Microsoft, брандмауэр EBS TMG будет отправлять дополнительные подробности об угрозах, включая примеры трафика и полную строку URL. Благодаря этой опции вы предоставляете компании Microsoft дополнительную помощь в анализе и снижении рисков потенциальных угроз
  • Я не хочу присоединять к службе телеметрии Microsoft Telemetry Service на этот раз. Не отправлять никакой информации компании Microsoft.

Компания Microsoft здесь не принимает за вас никаких решений, что очень хорошо с точки зрения безопасности. Я рекомендую вам выбрать опцию Присоединиться в качестве расширенного участника. Чем больше помощи мы будем оказывать компании Microsoft, тем лучше, поскольку они смогут использовать информацию для создания более безопасных и надежных продуктов. Однако если вы работаете в среде, в которой нельзя разглашать, какие URLs посещает ваш сервер (например, для служб безопасности и т.п.), то вы, вероятно, не захотите делиться этой информацией с компанией Microsoft.

Удалить предупреждения брандмауэра

Рисунок 4

Перейдите по вкладке Обратная связь с потребителями. Если я правильно помню, нам предоставлялась возможность участвовать в программе улучшения качества обслуживания клиентов (Customer Experience Improvement Program) во время процесса установки. Это вполне закономерно, поскольку я не вижу напоминания присоединиться к программе в верхней части средней панели консоли брандмауэра EBS TMG. Я настоятельно рекомендую вам принять участие в этой программе. Это то немногое, что вы и ваша организация может сделать для улучшения брандмауэра EBS TMG. Эта информация дает команде разработчиков информацию, которая им необходима для создания продукта на основе того, как люди на самом деле используют брандмауэр EBS TMG. Присоединение к программе не имеет никаких отрицательных последствий для безопасности, а вы, принимая участие в этой программе, помогает другим пользователям брандмауэра EBS TMG.

Forefront общий лимит количество TCP соединений

Рисунок 5

Вкладка мониторинга в консоли брандмауэра TMG

Вкладка Мониторинг консоли брандмауэра TMG предоставляет вам несколько закладок, содержащих полезную информацию для мониторинга многих аспектов брандмауэра EBS TMG. Не все из них содержат настраиваемые элементы. Мы охватим вкладки, содержащие настраиваемые элементы, к которым относятся:

  • Оповещения (Alerts)
  • Сеансы (Sessions)
  • Отчеты (Reporting)
  • Служба проверки подключений (Connectivity Verifiers)
  • Ведение логов (Logging)

Оповещения (Alerts)

Одним из больших преимуществ брандмауэра EBS TMG над брандмауэром ISA является область оповещений. Брандмауэр EBS TMG содержит гораздо больше предупреждений, чем ISA. В текущей версии брандмауэра EBS TMG имеется 183 предупреждения. Эти предупреждения информируют вас о проблемах конфигурации, сети и событиях безопасности. Предупреждения брандмауэра EBS TMG можно рассматривать, как часть набора функций мониторинга поведенческой безопасности брандмауэра.

Чтобы посмотреть, какие предупреждения имеются в брандмауэре EBS TMG, перейдите по вкладке Мониторинг в левой панели консоли брандмауэра EBS TMG, а затем выберите закладку Оповещения. Перейдите по ссылке Определения оповещений закладки Задачи в панели задач. У вас появится нечто подобное рисунку ниже.

Tmg отчеты

Рисунок 6

Практически все оповещения включены по умолчанию. Ниже представлен список всех оповещений брандмауэра EBS TMG. Я выделил оповещения, которые не включены по умолчанию, жирным шрифтом и привел краткие описания этих оповещений.

  • Доступ к серверу хранения конфигурации заблокирован
  • Ошибка разрешения имени учетной записи
  • Ошибка доступа к папке накопления (Accumulation Folder)
  • Папка накопления создана
  • Сбой действия оповещения
  • Фильтр приложений не зарегистрирован
  • Ошибка проверки статуса принадлежности массиву
  • Проверка статуса принадлежности массиву успешно завершена
  • Правило политики уровня массива было удалено
  • Некорректная ссылка в межмассивной конфигурации (Cross-Array Configuration)
  • Ошибка инициализации контейнера КЭШа (Cache Container)
  • Восстановление контейнера КЭШа завершено
  • Ошибка изменения размера файла кэша
  • Ошибка инициализации кэша
  • Разрешения КЭШа несоответствующие
  • Восстановление КЭШа завершено
  • Ошибка записи кэша
  • Объект КЭШа заблокирован ‘ это оповещение отключено по умолчанию. Я не вижу причин включать это оповещение, так как оно будет создавать много шума и не будет предоставлять полезной информации, если только вы не проводите диагностику своей настройки веб кэширования. Это оповещение запускается во время восстановления кэша; был обнаружен объект с конфликтной информацией. Конфликтный объект был заблокирован.
  • Срок действия сертификата на Forefront TMG подходит к концу
  • Сертификат на Forefront TMG недействителен
  • Код страницы недействителен
  • Ошибка загрузки компонента
  • Сжатие неподдерживаемым способом
  • Ошибка сжатия
  • Ошибка сжатия (выделенная память закончена)
  • Ошибка сжатия (сбой распаковки)
  • Ошибка сжатия (неправильная настройка фильтра)
  • Превышен лимит одновременных подключений с одного IP адреса
  • Агент конфигурации удалил пересекающиеся диапазоны
  • Изменение конфигурации не может быть загружено Forefront TMG
  • Перегрузка изменений конфигурации
  • Ошибка конфигурации
  • Ограничение подключений превышено
  • Ограничение подключений для правила было превышено
  • Ошибка делегирования мандатов
  • Ошибка делегирования мандатов, использующего KCD
  • Ошибка настройки трансляции межмассивного соединения
  • Процесс обновления дефиниций остановлен
  • Обновления дефиниций и телеметрии недоступны по сети локального узла
  • Обновления дефиниций доступны
  • Обновления дефиниций доступны, но их невозможно установить
  • Сбой проверки обновления дефиниций
  • Обновления дефиниций установлены
  • Сбой обновления дефиниций
  • Превышен лимит отвергнутых подключений в минуту с одного IP адреса
  • Определение вторжения DHCP Anti-Poisoning отключено
  • Сбой запроса Dial-on-demand
  • DNS вторжение
  • Вторжение DNS Zone Transfer Intrusion
  • Сбой журнала регистрации событий ‘ это оповещение отключено по умолчанию. Я не совсем уверен, по какой причине они решили сделать это, так как сбой журнала регистрации событий является значительным событием безопасности. Я бы рекомендовал вам включить это оповещение и настроить его на отправку сообщения на ваш адрес электронной почты при каждом появлении такого оповещения. Это оповещение запускается, когда попытка записать информацию о событии в журнал является неудачной.
  • Сбой коммуникации брандмауэра
  • Forefront TMG не может подключиться к серверу хранения конфигурации
  • Требуется перезагрузка компьютера Forefront TMG
  • Компьютер Forefront TMG изменил сервер хранения конфигурации
  • Рекомендуется перераспределение туннеля Forefront TMG VPN
  • Превышен лимит свободного места на диске
  • Предупреждение инициализации фильтра FTP
  • Глобально отвернут лимит размера пакетов
  • ID узла, присвоенный этому серверу, недействителен
  • Превышен лимит HTTP запросов с одного IP адреса
  • Ошибка конфигурации внутри массива (Intra-Array Configuration)
  • Обнаружено вторжение
  • Недействительные параметры конфигурации
  • Найден недействительный CRL
  • Недействительное DHCP предложение
  • Недействительные мандаты соединения dial-on-demand
  • Неправильная настройка сетевого адаптера
  • IP спуфинг
  • Ошибка обновления конфигурации IPsec
  • Трафик IPsec заблокирован
  • Сервер LDAP восстановлен
  • Сервер LDAP недоступен
  • Срок действия лицензии вышел
  • Приближается истечение срока действия лицензии
  • Небезопасная настройка трансляции соединения
  • Недействительная настройка трансляции соединения
  • Неопубликованный сайт перенаправления трансляции соединения содержит недопустимый символ
  • Длина неопубликованного сайта перенаправления трансляции соединения недопустима
  • Изменения конфигурации локальной NLB
  • Ошибка удаления лога
  • Ошибка лога
  • Ошибка форматирования лога
  • Очередь хранения логов закончена
  • Начато использование очереди логов
  • Ограничения хранения логов
  • Ведение логов возобновлено
  • Малый неперемещаемый пул
  • Малый неперемещаемый пул восстановлен
  • Доступное место диска для осмотра на вредоносное ПО превышено
  • Ограничение места диска клиента для осмотра на вредоносное ПО превышено
  • Превышен интервал загрузки содержимого для осмотра на вредоносное ПО
  • Дефиниции осмотра на вредоносное ПО загружены
  • Дефиниции осмотра вредоносного ПО не загружены во время обновления
  • Дефиниции осмотра вредоносного ПО на загружены во время запуска службы
  • Дефиниции осмотра на вредоносное ПО устарели
  • Сбой удаления дефиниций вредоносного ПО
  • Осмотр вредоносного ПО обнаружил попытку кражи содержимого
  • Функция осмотра на вредоносное ПО отключена глобально (Disabled Globally)
  • Фильтр осмотра на предмет вредоносного кода обнаружил вредоносное ПО ‘ это оповещение отключено по умолчанию. Вы можете включать или не включать эту функцию, в зависимости от того, какой объем вредоносного кода вы ожидаете обнаружить. Можно включить это оповещение в самом начале установки, чтобы получить общую картину о количестве вредоносного кода, обнаруженного вашим EBS TMG. Затем можно отключить это оповещение после того, как вы убедитесь, что брандмауэр делает свою работу. Для дополнительной информации об обнаруженном вредоносном ПО можно создавать отчеты, которые дадут вам такую информацию. Это оповещение появляется, когда фильтр осмотра на предмет вредоносного ПО обнаруживает вредоносный код и либо удаляет его, либо блокирует сообщение.
  • Шаблон оповещения прогресса осмотра на вредоносное ПО не загружен
  • Превышен лимит хранилища функции осмотра на вредоносное ПО
  • Microsoft Update на данный момент не используется
  • Оповещение неправильно настроено
  • Конфигурация сети изменена ‘ это оповещение отключено по умолчанию, и для его включения нет веской причины, если только вы не диагностируете проблемы с сетью. Это оповещение появляется, когда фиксируется изменение конфигурации сети, касающееся брандмауэра TMG.
  • Сбой конфигурации NLB
  • Обнаружена ошибка конфигурации NLB
  • NLB завершен и остановлен (Draining And Stopping)
  • Возможно снижение NLB производительности компенсации нагрузки
  • NLB отключено ‘ служба брандмауэра не отвечает
  • NLB отключено ‘ служба брандмауэра остановлена
  • NLB запущено
  • NLB остановлено ‘ ошибка конфигурации
  • NLB остановлено ‘ проблема сетевого адаптера
  • NLB остановлено ‘ интеграция NLB недоступна
  • NLB остановлено ‘ служба RRAS не отвечает
  • NLB остановлено ‘ пул статических адресов VPN пуст
  • NLB остановлено вручную
  • Отсутствуют доступные порты
  • Отсутствует подключение
  • Превышен лимит Non-TCP сеансов с одного IP адреса
  • Конфликт компонентов ОС
  • Превышенный размер пакета UDP
  • Превышен лимит использования ресурсов ожидающих DNS запросов
  • Лимит использования ресурсов ожидающих DNS запросов находится в дозволенных пределах
  • Внедрение политики завершено
  • POP вторжение
  • Ошибка переноса изменения конфигурации
  • Предупреждение об истечении срока действия публичного сертификата сервера
  • Имя опубликованного веб сервера не может быть разрешено
  • Запрос выхода из карантина заблокирован
  • Карантинная сеть клиентов VPN изменена ‘ это оповещение срабатывает, когда пользователь удаляется из карантинной сети клиентов VPN. И опять же, я не вижу никаких причин включать это оповещение, если только вы не диагностируете настройки карантина VPN.
  • Сервер RADIUS восстановлен
  • Сервер RADIUS недоступен
  • Ошибка генерирования отчетов о работе
  • Роли сервера отчетов не применены
  • SID пользователя сервера отчетов не найден
  • Ошибка создания итога отчета
  • Ошибка настройки службы отчетов
  • Ошибка выделения ресурсов
  • Сбой возврата к последней известной работоспособной конфигурации
  • Успешный возврат к последней работоспособной конфигурации
  • Ошибка маршрутизации (сцепления)
  • Восстановление маршрутизации (сцепления)
  • RPC фильтр ‘ ошибка привязки
  • RPC фильтр ‘ изменение подключения
  • Ошибка публикации сервера
  • Публикация сервера не применима ‘ не вижу причин для включения этого оповещения, если только вы не диагностируете правила публикации сервера. Оповещение срабатывает, когда правило публикации сервера невозможно применить.
  • Восстановление публикации сервера
  • Ошибка инициализации сервера
  • Служба не отвечает
  • Служба отключена
  • Служба запущена
  • Медленная скорость подключения
  • SMTP фильтр обнаружил недействительный пустой CR или LF
  • SMTP фильтр обнаружил недействительный ограничитель DATA terminator
  • Событие SMTP фильтра ‘ не знаю, почему команда EBS решила не включать по умолчанию это оповещение. Это оповещение срабатывает, когда правило команды SMTP нарушено. Возможно, оповещение может создавать слишком много шума в зависимости от конфигурации SMTP публикации. Я рекомендовал бы включить эту опцию после установки и проверить, сколько шума генерируется этим оповещением.
  • Ошибка конфигурации SOCKS
  • Ошибка SSL подключения к опубликованному серверу (несовпадение имени)
  • Ошибка SSL подключения к опубликованному серверу (нет доверия)
  • Ошибка SSL подключения к опубликованному серверу (сертификат сервера недействителен)
  • Ошибка SSL подключения к опубликованному серверу (неизвестная причина)
  • SYN атака
  • Превышен лимит TCP подключений в минуту с одного IP адреса
  • Агент конфигурации восстановил подключение к серверу хранения конфигурации
  • Конфигурация была перезагружена
  • Ответ был отклонен, так как сжатый ответ не был запрошен
  • Превышен лимит общего размера лога
  • Трафик заблокирован
  • Неопределенная учетная запись для внутримассивной аутентификации
  • Незарегистрированное событие
  • Неразрешимый адрес удаленного шлюза в сети VPN
  • Неразрешимое имя сервера
  • Ошибка выгрузки новой конфигурации на сервер
  • Мандаты входящего сцепления (Upstream chaining credentials)
  • Ошибка подключения VPN
  • Политика запроса подключения VPN обновлена
  • Серверы веб фермы недоступны (Web Farm Servers)
  • Веб фильтр не зарегистрирован
  • Обнаружен конфликт фильтра WFP
  • WFP Sub-Layer включает недопустимые фильтры
  • Windows NLB не установлена
  • Политика Windows на основе пользователей в рабочей группе
  • Соединение WMI службы было утеряно

Сеансы

Во вкладке Сеансы можно просматривать информацию о машинах, подключенных к сети через брандмауэр EBS TMG. По умолчанию, вы видите следующую информацию:

  • Время и дата активации
  • Тип сеанса
  • IP клиента
  • Сеть источника
  • Клиентское имя пользователя
  • Имя узла клиента

Есть еще одна опция, которая скрыта по умолчанию. Это опция Имя приложения. Когда устанавливается система брандмауэра клиент-клиент за брандмауэром EBS TMG, брандмауэр клиента будет отправлять имя приложения на брандмауэр, и это имя будет появляться в списке сеансов. Это очень ценная информация, когда вы расследуете использование приложений и использование сети ненадлежащим образом. Информация о приложениях также появляется в файлах журналов и отчетах, когда вы устанавливаете клиента брандмауэра.

Чтобы включить опцию Имя приложения, правой клавишей нажмите на одном из заголовков столбца и выберите опцию Имя приложения, как показано на рисунке ниже.

Из за чего сбой конфигурации сети

Рисунок 7

Отчеты

Брандмауэр EBS TMG может создавать несколько различных отчетов, которые содержат данные, собранные в брандмауэре и файлах журнала веб прокси фильтра. Отчеты брандмауэра EBS TMG включают:

  • Итоговые отчеты (Summary reports)
  • Отчеты использования веб
  • Отчеты использования приложений
  • Отчеты трафика и использования
  • Отчеты безопасности
  • Отчеты осмотра на предмет вредоносного кода

По умолчанию ни один из вышеприведенных отчетов не включен. Думаю, что в последующем команде EBS следует создать некоторые отчеты, включенные по умолчанию, например, ежедневный краткий итоговый отчет. Стандартный итоговый отчет будет очень удобным для владельцев брандмауэра EBS TMG и возможно мотивирует их к рассмотрению других отчетов.

Проведение аудита конфигурации

Рисунок 8

Каждый отчет можно настроить. На рисунке ниже приведен пример интерфейса, используемого для настройки итогового отчета. Настройка в основном концентрируется на том, сколько записей вы хотите видеть в отчете для определенного элемента. Например, для итогового отчета вы настраиваете количество записей для протоколов, пользователей и сайтов. Вы также настраиваете что-то вроде порядка на основе запросов или байтов.

Стандартные параметры в отчете вполне подходящие, но если вы хотите, чтобы отчеты более подробно рассматривали информацию, которая содержится в журналах регистрации событий, вы можете сделать это посредством настройки.

Syn атака tmg

Рисунок 9

Еще одной удобной опцией службы отчетов являются свойства аннотации лога (Log Summary Properties). Как видно на рисунке ниже, ежедневные и ежемесячные отчеты включены по умолчанию. Данные аннотации лога используются для генерирования отчетов. Можно настроить время и количество ежедневных и ежемесячных аннотаций логов, которые будут сохраняться. Стандартные параметры вполне приемлемы, и я не вижу оснований изменять их.

Tmg неправильную веб страницу опубликованного сервера

Рисунок 10

Верификаторы подключения (Connectivity Verifiers)

Вы можете настроить брандмауэр EBS TMG на проверку подключений к машинам инфраструктуры вашей сети. У вас есть возможность выбирать из шести групп верификаторов подключений:

  • Active Directory
  • DHCP
  • DNS
  • Прочие
  • Опубликованные серверы
  • Web (Internet)

Существует три способа верификации, которые используются для определения подключения:

  • Отправка запроса HTTP ‘GET’
  • Отправка эхо запроса Ping
  • Создание TCP подключения к порту (определенному TCP порту)

При установке брандмауэра EBS TMG вы знаете некоторые моменты об инфраструктуре, например, IP адреса сервера управления и почтового сервера, их смежные серверы Active Directory, DHCP, DNS и серверы публикации. Если учесть, что мы знаем эту информацию, будет целесообразным создать верификаторы подключения для этих машин и служб. Кто-то может сказать, что другие компоненты решения EBS могут делать то же самое, так зачем все усложнять? Это вполне резонная мысль, однако, будет отличной идеей иметь несколько уровней мониторинга и отчетов, просто на тот случай, если один из них станет недоступным в какой-то промежуток времени.

Я бы рекомендовал создать верификаторы подключений для серверов Active Directory, DNS, DHCP, сервера публикации и интернета.

Видет ли брандмауэр Windows логи

Рисунок Figure 11

Ведение логов

Во вкладке Логи есть несколько настраиваемых опций. Перейдите по вкладке Логи, нажмите по ссылке Настроить службу ведения логов брандмауэра во вкладке Задачи панели задач. У вас откроется диалоговое окно Служба ведения логов брандмауэра. Стандартный метод ведения логов — это SQL Server Express Database (на локальном сервере), и рекомендую оставить эту настройку без изменений.

Нажмите кнопку Опции, и у вас откроется диалоговое окно Опции. Здесь вы можете изменить расположение папки ISALogs. Если на вашем сервере есть несколько дисков, то вам следует переместить файлы логов на другой диск, по возможности на диск, настроенный на использование RAID5 и способный обеспечить отказоустойчивость.

Вы также можете настроить лимиты хранилища файлов журнала. Стандартные значения настроены отлично, и я не вижу никаких весомых причин для их изменения, если только у вас не имеется в наличии огромных объемов трафика, требующих использования более объемных журналов. Обратите внимание, что у вас есть две опции относительного того, как работать с лимитами хранилища логов. Это следующие опции:

  • Удалять более старые логи по мере необходимости
  • Блокировать новые записи

Ни одна из этих опций не является резонной. По этой причине вам следует придерживаться обычно используемых вами размеров лога и настроить лимит на основе своих значений. Не следует забывать, что возникают ситуации, когда брандмауэр подвергается атакам, и размеры логов могут значительно возрасти. В такой ситуации сработает оповещение о превышении лимита хранилища. Есть аргументы в пользу обеих опций, однако стандартная опция Удалять более старые логи по мере необходимости может быть не самой подходящей, поэтому стоить принять на вооружение ее замену на опцию Блокировать новые записи.

Обнаружен конфликт фильтров

Рисунок 12

Перейдите по вкладке Поля в диалоговом окне Свойства ведения логов брандмауэра. Здесь вы можете посмотреть, какие поля заполняются, как показано на рисунке ниже.

Syn атака tmg

Рисунок 13

Не все из доступных полей заполняются по умолчанию. В таблице ниже приведены доступные для заполнения поля. Выделенные поля – это те, которые не заполняются по умолчанию. Вам нужно будет включать их, если у вас на то есть определенные причины. Обратите внимание, что чем больше полей вы включаете, тем больше становится размер лога. Если вы обнаружите, что ваши логи стали расти быстрее, чем вы того желаете, вы можете удалить поля, которые на ваш взгляд являются не столь важными, и тем самым сократить размер логов. К тому же вы можете настроить, какие правила будут записываться в журнал, а какие нет. Есть также другие способы, с помощью которых можно уменьшить размер логов, такие как создание правила отклонения протоколов NetBIOS с последующей настройкой правила не протоколировать эти подключения.

Имя сервера Дата лога
Время лога Транспортировка (Transport)
Клиентский IP и порт Целевой IP и порт
Оригинальный IP клиента Сеть источника
Целевая сеть Действие
Результирующий код (Result Code) Правило
Протокол Двунаправленный (Bidirectional)
Отправлено байтов (Bytes Sent) Дельта отправленных байтов (Bytes Sent Delta)
Получено байтов (Bytes Received) Дельта полученных байтов (Bytes Received Delta)
Время обработки Дельта времени обработки
Имя целевого узла Клиентское имя пользователя
Агент клиента ID сеансов
ID соединения Сетевой интерфейс
Необработанный (Raw) IP заголовок Необработанная полезная нагрузка (Raw Payload)
GMT время лога

Когда вы нажимаете по ссылке Настроить ведение логов Web Proxy во вкладке Задачи панели задач, вы видите те же опции, которые у вас есть в ведении логов брандмауэра. Здесь рекомендуется использовать такие же параметры.

Tmg forefront как назначить диспечер масива

Рисунок 14

Когда вы нажимаете по вкладке Поля в диалоговом окне Свойства ведения логов Web Proxy вы увидите поля, включенные по умолчанию. Обратите внимание, что логи Web Proxy содержат не такие же поля, как логи брандмауэра, поэтому внимательно посмотрите на все поля и решите, нужны ли они вам. Я не вижу причин менять умолчания, если отсутствует острая необходимость в этом.

Tmg уменьшение логов

Рисунок 15

В таблице ниже приведены поля, доступные для логов Web Proxy. Не включенные по умолчанию поля выделены жирным шрифтом.

Клиентский IP Клиентское имя пользователя
Клиентский агент Аутентифицированный клиент
Дата лога Время лога
Служба Имя сервера
Сервер ссылки (Referring Server) Имя целевого узла (Destination Host Name)
IP назначения Порт назначения
Время обработки Получено байт
Отправлено байт Протокол
Транспортировка (Transport) HTTP метод
URL Тип MIME
Источник объекта Код статуса HTTP
Информация кэша Правило
Информация фильтра Сеть–источник
Сеть назначения Информация ошибки
Действие GMT время лога
Сервер аутентификации Имя угрозы
Действие осмотра на вредоносное ПО Результаты осмотра на вредоносное ПО
Способ доставки контента Время осмотра на вредоносное ПО (миллисекунды)
Уровень угрозы

Новая функция, включенная в брандмауэр EBS TMG, представляет собой Очередь логов (Log Queue). Когда записи лога генерируются быстрее, чем они могут форматироваться и располагаться в файл, записи могут храниться в очереди до тех пор, пока не обретут нужный формат и будут помещены в базу данных. Брандмауэр ISA не был оснащен такой функцией, и когда записи поступали слишком быстро, брандмауэр переходил в режим блокирования. Новая функция очереди логов позволяет брандмауэру работать, даже когда логи поступают слишком быстро.

Нажмите на объекте Настроить очередь лога во вкладке Задачи панели задач, чтобы вызвать диалоговое окно Папка хранения очереди логов. Здесь у вас есть возможность изменить расположение очереди логов. Я рекомендую помещать очередь на том же разделе, куда вы помещаете файлы логов и использовать RAID 5, если позволяют технические возможности.

Лог брандмауэра

Рисунок 16

С новой функцией очереди логов идет еще одна новая функция, диалоговое окно Статуса логов. Нажмите по ссылке Посмотреть статус лога в закладке Задачи панели задач, и у вас появится диалоговое окно Статус лога, как показано на рисунке ниже. Здесь вы получаете информацию относительно статуса логов, обновлений базы данных (я, однако, не уверен, о чем это должно вам сказать) и общий размер очереди логов в KB.

Удалить предупреждения брандмауэра

Рисунок 17

Центр обновлений

Если и есть один момент, который значительно отличает брандмауэр EBS TMG от ISA, то это интегрированная веб служба против вредоносного ПО. При использовании брандмауэра ISA вам приходилось устанавливать приложение стороннего производителя, чтобы получить возможности осмотра HTTP соединений на предмет вредоносного кода. В брандмауэре EBS TMG такой осмотр интегрирован в брандмауэр.

Перейдите по вкладке Центр обновлений в левой панели консоли брандмауэра EBS TMG. Нажмите по ссылке Настроить параметры обновления во вкладке Задачи панели задач. Откроется диалоговое окно Свойства центра обновлений.

Во вкладке Обновления дефиниций вы можете настроить опции автоматического обновления. Здесь есть следующие опции:

  • Проверить и установить
  • Только проверить
  • Ничего не делать

Умолчанием является опция Проверить и установить, и я не вижу причин менять это значение.

Nlb tmg

Рисунок 18

Перейдите по вкладке Установка обновлений Microsoft. Здесь вы можете выбирать, как будут обновляться дефиниции вредоносного ПО. Опции следующие:

  • Использовать службу Microsoft Update для проверки обновлений (рекомендовано)
  • Я не хочу использовать службу Microsoft Update

Обратите внимание, что если брандмауэр настроен на использование сервера WSUS для обновлений, параметры, указанные на этой странице, будут применены. Параметром по умолчанию для брандмауэра EBS TMG является использование WSUS, поскольку он является частью общего решения патчей и обновлений EBS.

Tmg способы ограничения интернета

Рисунок 19

Нажмите по ссылке Настроить подробности лицензии во вкладке Задачи панели задач. Здесь вы можете получить информацию о номере и сроке действия лицензионного соглашения вашей лицензии на приложение против вредоносного ПО. Здесь я тоже не вижу причин менять что-либо.

Как проверить размер логов sql?

Рисунок 20

Заключение

В этой части серии статей об аудите конфигурации брандмауэра EBS TMG после установки мы рассмотрели стандартные параметры конфигурации для опций, доступных во вкладках Мониторинг и Центр обновлений. В общем и целом, стандартная конфигурация выглядит хорошо и в ней отсутствуют большие проблемы, требующие радикальных изменений настройки. Но мы еще далеки от завершения. В последующих двух частях мы рассмотрим политику брандмауэра. Думаю, что там мы найдем несколько кандидатов на улучшение. Увидимся!

www.isaserver.org


Смотрите также:

Tags: , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]