Проведение аудита первичной конфигурации брандмауэра EBS TMG (часть 1)

Продукт Microsoft Essential Business Server (EBS) представляет собой новый выпуск от компании Microsoft, предназначенный для предприятий среднего бизнеса. EBS позволяет вам устанавливать мультисерверные решения, которые включают почтовые службы, службы системного управления и сетевой брандмауэр на трех отдельных платформах серверов. В отличие от сервера Small Business Server (SBS), где все роли сервера расположены на одной машине, решение EBS разделяет роли сервера так, что каждая основная роль устанавливается на отдельную машину.

Одним из основных преимуществ решения EBS является то, что теперь сетевой брандмауэр располагается на выделенном устройстве. В предыдущей версии SBS сетевой брандмауэр располагался на одном модуле со всеми остальными ролями, а этот модуль должен быть работать в качестве внешнего сетевого интерфейса. Это делает SBS сервер ненадежным и ограничивает ваши возможности настройки сетевой инфраструктуры так, чтобы конфигурация безопасности могла приблизиться к такому состоянию, в котором она могла бы пройти аудит безопасности.

EBS представляет собой решение из трех серверов, которое включает:

• Сервер управления (Management Server). Эта машина является контроллером домена, и на ней также запущена служба System Center Essentials
• Почтовый сервер (Messaging Server). На этом сервере запущен Exchange 2007, и он также настроен в качестве контроллера домена
• Сервер безопасности (Security Server). На этом сервере запущен брандмауэр Threat Management Gateway Medium Business Edition

В этой серии статей мы подробно остановимся на брандмауэре TMG MBE. TMG или Forefront Threat Management Gateway представляет собой последнюю версию брандмауэра ISA. Хотя имя этого бренда выходит из употребления, технология ISA, которую мы все узнали и полюбили за последнее десятилетие, не уходит, а на самом деле становится еще лучше.

В любом случае, я считаю хорошей мыслью то, что было решено поменять название брандмауэра ISA, поскольку его официальное название — ‘Internet Security and Acceleration Server’. В этом имени есть два момента, которые не совсем понятны: во-первых, есть акцент на ускорении — ‘acceleration’, коим является компонент веб кэширования. TMG и будущие версии брандмауэра ISA/TMG не претерпят никаких изменений в области функции веб кэширования, которое является частью, «ускоряющей» интернет; во-вторых, включение термина ‘Сервер – Server’, как правило, сбивает с толку, когда речь заходит брандмауэре. Никто не хочет располагать ‘сервер’ на внешней части своей сети.

Threat Management Gateway более ясно представляет функции брандмауэра TMG. Он работает с угрозами, исходящими из интернета и из сетей, защищенных брандмауэром TMG. К тому же TMG лучше оснащен для slot machine выполнения этой задачи, нежели брандмауэр ISA, поскольку он включает дополнительные функции осмотра прикладного уровня, которые позволяют ему защищать сети от сегодняшних угроз, сфокусированных на приложениях.

Следует помнить, что версия TMG, включенная в EBS, не является ‘полной’ версией TMG, которая скорее всего выйдет в следующем году. Хотя версия Medium Business Edition (MBE) брандмауэра TMG не является значительной внутренней переработкой основы брандмауэра ISA и оснащена некоторыми значительными улучшениями в производительности и безопасности, она обеспечивает лишь часть функций и возможностей, которые будут включены в полную версию брандмауэра TMG.

Среди многих различий, которые вы найдете между полной версией брандмауэра TMG и версией MBE TMG, одной из наиболее значительных является то, что TMG MBE полностью настраивается за вас во время установки. Команда EBS собрала вместе лучшие методики настройки, основанные на конфигурации EBS вашей сети, и применила эти лучшие методики в первичной конфигурации брандмауэра TMG MBE. В полной версии TMG, которую вы увидите в будущем, первичная конфигурация ляжет на ваши плечи, и вам нужно будет знать, как работает брандмауэр и как его лучше всего настроить, чтобы соответствовать требованиям вашей конкретной сети.

Причина, по которой TMG MBE может быть настроен за вас, заключается в том, что команда разработчиков EBS знает детали вашей EBS сети. Они могут использовать информацию для настройки брандмауэра TMG MBE с помощью лучших методик установки, основанных на знаниях о конфигурации EBS, которыми обладают. Это то, на что полная версия брандмауэра TMG не будет способна, поскольку она не знает о серверах и службах вашей сети, а также того, как применить лучшие методики для ее защиты (по крайней мере, она не сможет сделать этого без вашей помощи).

Итак, что же собой представляют лучшие методики конфигурации? Каковы подробности первичной конфигурации брандмауэра TMG MBE? Являются ли параметры, установленные командой EBS для TMG MBE, на самом деле лучшими методиками, или вариантами лучших методик?

На эти вопросы я попытаюсь ответить в этой серии статей о проведении аудита первичной настройки брандмауэра TMG MBE.

В течение следующих нескольких недель мы будем заниматься рассмотрением конфигурации брандмауэра TMG MBE с самых основ. Мы будем документировать эти параметры и обсудим, что делают эти параметры, как они подходят для конфигурации EBS, и как их можно будет изменять в целях улучшения безопасности или функциональности.

Тестовая сеть EBS

Прежде чем начать, давайте рассмотрим примерную сеть, с которой я работаю. Все машины установлены на один сервер с одним четырех ядерным процессором Xeon с 8 GB RAM. На машине установлена ОС Windows Server 2008 версии Enterprise, а также роль сервера Hyper-V.

В Hyper-V мы будем работать с двумя виртуальными сетями:

• Внешняя виртуальная сеть, которая привязана к физическому интерфейсу на сервере Hyper-V
• Внутренняя виртуальная сеть, к которой подключен внутренний интерфейс брандмауэра TMG, а также интерфейсы сервера управления и почтового сервера

Вы можете спросить ‘зачем создавать внутреннюю виртуальную сеть вместо частной виртуальной сети’, и это будет хороший вопрос. У меня нет для вас хорошего ответа, потому что я действительно не понимаю, в чем заключается разница между Частной и Внутренней сетью, поскольку следующие определения этих сетей не слишком разборчивы с точки зрения установки:

Если вы сможете объяснить мне действительную разницу между этими сетями, то я буду вашим должником и расскажу о вашей щедрости на своем блоге.

На рисунке ниже показана конфигурация виртуальных сетей.

Рисунок 1

Рисунок 2

В примерную сеть EBS входят три машины. Это:

• EBSMGMT ‘ сервер EBS Management Server
• EBSEXCH — сервер EBS Exchange Server
• EBSTMG ‘ брандмауэр EBS TMG

На рисунке ниже показана топология и параметры IP адресации:

Рисунок 3

Обратите внимание, что внутренние серверы используют внутренний интерфейс брандмауэра TMG в качестве основного шлюза для интернета. Брандмауэр TMG использует производственный файервол ISA в действительной физической сети в качестве основного шлюза для интернета. Я настроил параметры DNS сервера на сервере EBSMGMT, чтобы использовать свой внутренний DNS преобразователь адресов в качестве DNS ретранслятора для ускорения разрешения имен.

Заключение

В этой первой части серии статей о первичных настройках брандмауэра EBS TMG MBE, я представил подробный обзор решения EBS, после чего мы рассмотрели философию конструкции брандмауэра TMG MBE и конфигурацию его установки. Закончили мы обсуждением тестовой сети, в которой EBS установлено. На следующей неделе мы начнем подробное рассмотрение конфигурации TMG, посмотрим, что означают эти опции, а также рассмотрим все возможности улучшения. До встречи!

www.isaserver.org

• Пользовательские политики
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Как выключить службу рабочая станция?
• Sendmail exchange

Tags: accel, dns, Exchange