Monday, December 11th, 2017

Проведение аудита первичной конфигурации брандмауэра EBS TMG (часть 1)

Published on Февраль 12, 2009 by   ·   Комментариев нет

Продукт Microsoft Essential Business Server (EBS) представляет собой новый выпуск от компании Microsoft, предназначенный для предприятий среднего бизнеса. EBS позволяет вам устанавливать мультисерверные решения, которые включают почтовые службы, службы системного управления и сетевой брандмауэр на трех отдельных платформах серверов. В отличие от сервера Small Business Server (SBS), где все роли сервера расположены на одной машине, решение EBS разделяет роли сервера так, что каждая основная роль устанавливается на отдельную машину.

Одним из основных преимуществ решения EBS является то, что теперь сетевой брандмауэр располагается на выделенном устройстве. В предыдущей версии SBS сетевой брандмауэр располагался на одном модуле со всеми остальными ролями, а этот модуль должен быть работать в качестве внешнего сетевого интерфейса. Это делает SBS сервер ненадежным и ограничивает ваши возможности настройки сетевой инфраструктуры так, чтобы конфигурация безопасности могла приблизиться к такому состоянию, в котором она могла бы пройти аудит безопасности.

EBS представляет собой решение из трех серверов, которое включает:

  • Сервер управления (Management Server). Эта машина является контроллером домена, и на ней также запущена служба System Center Essentials
  • Почтовый сервер (Messaging Server). На этом сервере запущен Exchange 2007, и он также настроен в качестве контроллера домена
  • Сервер безопасности (Security Server). На этом сервере запущен брандмауэр Threat Management Gateway Medium Business Edition

В этой серии статей мы подробно остановимся на брандмауэре TMG MBE. TMG или Forefront Threat Management Gateway представляет собой последнюю версию брандмауэра ISA. Хотя имя этого бренда выходит из употребления, технология ISA, которую мы все узнали и полюбили за последнее десятилетие, не уходит, а на самом деле становится еще лучше.

В любом случае, я считаю хорошей мыслью то, что было решено поменять название брандмауэра ISA, поскольку его официальное название — ‘Internet Security and Acceleration Server’. В этом имени есть два момента, которые не совсем понятны: во-первых, есть акцент на ускорении — ‘acceleration’, коим является компонент веб кэширования. TMG и будущие версии брандмауэра ISA/TMG не претерпят никаких изменений в области функции веб кэширования, которое является частью, «ускоряющей» интернет; во-вторых, включение термина ‘Сервер – Server’, как правило, сбивает с толку, когда речь заходит брандмауэре. Никто не хочет располагать ‘сервер’ на внешней части своей сети.

Threat Management Gateway более ясно представляет функции брандмауэра TMG. Он работает с угрозами, исходящими из интернета и из сетей, защищенных брандмауэром TMG. К тому же TMG лучше оснащен для slot machine выполнения этой задачи, нежели брандмауэр ISA, поскольку он включает дополнительные функции осмотра прикладного уровня, которые позволяют ему защищать сети от сегодняшних угроз, сфокусированных на приложениях.

Следует помнить, что версия TMG, включенная в EBS, не является ‘полной’ версией TMG, которая скорее всего выйдет в следующем году. Хотя версия Medium Business Edition (MBE) брандмауэра TMG не является значительной внутренней переработкой основы брандмауэра ISA и оснащена некоторыми значительными улучшениями в производительности и безопасности, она обеспечивает лишь часть функций и возможностей, которые будут включены в полную версию брандмауэра TMG.

Среди многих различий, которые вы найдете между полной версией брандмауэра TMG и версией MBE TMG, одной из наиболее значительных является то, что TMG MBE полностью настраивается за вас во время установки. Команда EBS собрала вместе лучшие методики настройки, основанные на конфигурации EBS вашей сети, и применила эти лучшие методики в первичной конфигурации брандмауэра TMG MBE. В полной версии TMG, которую вы увидите в будущем, первичная конфигурация ляжет на ваши плечи, и вам нужно будет знать, как работает брандмауэр и как его лучше всего настроить, чтобы соответствовать требованиям вашей конкретной сети.

Причина, по которой TMG MBE может быть настроен за вас, заключается в том, что команда разработчиков EBS знает детали вашей EBS сети. Они могут использовать информацию для настройки брандмауэра TMG MBE с помощью лучших методик установки, основанных на знаниях о конфигурации EBS, которыми обладают. Это то, на что полная версия брандмауэра TMG не будет способна, поскольку она не знает о серверах и службах вашей сети, а также того, как применить лучшие методики для ее защиты (по крайней мере, она не сможет сделать этого без вашей помощи).

Итак, что же собой представляют лучшие методики конфигурации? Каковы подробности первичной конфигурации брандмауэра TMG MBE? Являются ли параметры, установленные командой EBS для TMG MBE, на самом деле лучшими методиками, или вариантами лучших методик?

На эти вопросы я попытаюсь ответить в этой серии статей о проведении аудита первичной настройки брандмауэра TMG MBE.

В течение следующих нескольких недель мы будем заниматься рассмотрением конфигурации брандмауэра TMG MBE с самых основ. Мы будем документировать эти параметры и обсудим, что делают эти параметры, как они подходят для конфигурации EBS, и как их можно будет изменять в целях улучшения безопасности или функциональности.

Тестовая сеть EBS

Прежде чем начать, давайте рассмотрим примерную сеть, с которой я работаю. Все машины установлены на один сервер с одним четырех ядерным процессором Xeon с 8 GB RAM. На машине установлена ОС Windows Server 2008 версии Enterprise, а также роль сервера Hyper-V.

В Hyper-V мы будем работать с двумя виртуальными сетями:

  • Внешняя виртуальная сеть, которая привязана к физическому интерфейсу на сервере Hyper-V
  • Внутренняя виртуальная сеть, к которой подключен внутренний интерфейс брандмауэра TMG, а также интерфейсы сервера управления и почтового сервера

Вы можете спросить ‘зачем создавать внутреннюю виртуальную сеть вместо частной виртуальной сети’, и это будет хороший вопрос. У меня нет для вас хорошего ответа, потому что я действительно не понимаю, в чем заключается разница между Частной и Внутренней сетью, поскольку следующие определения этих сетей не слишком разборчивы с точки зрения установки:

Как ускорить работу tmg?

Если вы сможете объяснить мне действительную разницу между этими сетями, то я буду вашим должником и расскажу о вашей щедрости на своем блоге.

На рисунке ниже показана конфигурация виртуальных сетей.

Как ускорить работу tmg?

Рисунок 1

Tmg mbe

Рисунок 2

В примерную сеть EBS входят три машины. Это:

  • EBSMGMT ‘ сервер EBS Management Server
  • EBSEXCH — сервер EBS Exchange Server
  • EBSTMG ‘ брандмауэр EBS TMG

На рисунке ниже показана топология и параметры IP адресации:

Tmg mbe

Рисунок 3

Обратите внимание, что внутренние серверы используют внутренний интерфейс брандмауэра TMG в качестве основного шлюза для интернета. Брандмауэр TMG использует производственный файервол ISA в действительной физической сети в качестве основного шлюза для интернета. Я настроил параметры DNS сервера на сервере EBSMGMT, чтобы использовать свой внутренний DNS преобразователь адресов в качестве DNS ретранслятора для ускорения разрешения имен.

Заключение

В этой первой части серии статей о первичных настройках брандмауэра EBS TMG MBE, я представил подробный обзор решения EBS, после чего мы рассмотрели философию конструкции брандмауэра TMG MBE и конфигурацию его установки. Закончили мы обсуждением тестовой сети, в которой EBS установлено. На следующей неделе мы начнем подробное рассмотрение конфигурации TMG, посмотрим, что означают эти опции, а также рассмотрим все возможности улучшения. До встречи!

www.isaserver.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]