Шлюз управления внешними угрозами Microsoft Forefront Threat Management Gateway является новой версией ISA Firewall. В то время как бренд ISA выходит из употребления, то программное обеспечение, которое мы все полюбили, продолжает свое существование под новым названием Forefront TMG. Наряду с новым именем в продукт добавлены некоторые новые возможности и функции. Хотя текущая версия брандмауэра TMG далека от законченной, в ней есть определенные изменения, которые, на мой взгляд, вам понравятся.
Одной из новых характеристик является новая ветвь в древе левой панели консоли брандмауэра TMG. Эта ветвь (вкладка) под названием Web Access Policy (политика веб доступа ) предоставляет возможность настройки брандмауэра TMG на разрешение исходящих HTTP, HTTPS и Web proxy ретранслируемых FTP подключений к интернету. Это изменение также указывает на особое внимание продукта к HTTP. Хотя предыдущая версия ISA Firewall обладала хорошим фильтром Web proxy и HTTP Security Filter, брандмауэр TMG выводит все эти моменты на новый уровень благодаря появлению осмотра исходящих HTTP запросов на предмет вредоносного ПО.
Один из моментов, которые вы заметите, открыв консоль TMG, это более чистый внешний вид ее левой панели. Теперь у нас есть только один уровень под именем сервера, и новая ветвь понравится каждому опытному администратору ISA. На рисунке ниже показана вкладка Web Access Policy.
Рисунок 1
Когда вы переходите по вкладке Web Access Policy и нажимаете вкладку Задачи в панели задач, вы видите, что команда разработчиков TMG постаралась облегчить нам жизнь с помощью добавления одной настройки конфигурации веб доступа и веб прокси фильтров. Двумя основными задачами является Настроить политику веб доступа и Настроить сканирование вредоносного ПО, каждая из которых является новой возможностью в Forefront TMG. Из панели Смежные задачи также видно, что команда разработчиков собрала в один список все задачи веб прокси фильтра и конфигурации HTTP для сервера.
Рисунок 2
Давайте рассмотрим эти задачи, прежде чем переходить к подробностям о создании политики веб доступа. Сначала жмем по ссылке Настроить сканирование вредоносного ПО в панели задач во вкладке Задачи. Это вызывает диалоговое окно Сканирование вредоносного ПО во вкладке Общие. Здесь у вас есть возможность включить или отключить сканирование всей системы на предмет вредоносного ПО. Обратите внимание, что здесь включается сканирование для всей системы, а не для отдельного правила. Для начала его нужно активировать здесь, прежде чем вы сможете включить сканирование для определенного правила, или, как мы увидим позже, для набора правил веб доступа.
Рисунок 3
Нажмите по вкладке Исключения. Здесь вы можете создать список сайтов, содержимое которых вы не желаете проверять на предмет вредоносного ПО. Группа Сайты, освобожденые от осмотра на предмет вредоносного ПО будет включена автоматически.
Рисунок 4
Если вы нажмете на элементе Сайт, освобожденный от осмотра на вредоносное ПО в списке, а затем нажмете кнопку Изменить, вы увидите набор имен доменов Сайты освобожденные от осмотра на вредоносное ПО. Сюда включены следующие сайты: *.microsoft.com, *.windows.com и *.windowsupdate.com. Здесь вы можете добавлять другие сайты по своему усмотрению.
Здесь есть интересный момент. Вы можете защитить себя путем ограничения доступа к сайтам, а также защитить себя путем осмотра содержимого на предмет вредоносного ПО. Либо вы можете сделать и то и другое. Философия осмотра на предмет вредоносного ПО заключается в том, что даже если сайт доверенный, существует вероятность, что он был скомпрометирован вредоносным ПО. В таком случае возникает вполне закономерный вопрос, есть ли какой-то смысл в освобождении сайтов от проверки на предмет вредоносного ПО? У меня нет определенного ответа на этот вопрос, но это вы должны решить сами для себя во время принятия решения по поводу того, освобождать или нет определенные сайты от проверки на вредоносное ПО.
Рисунок 5
На странице Параметры проверки у вас есть множество опций касаемо того, как ваша система будет оценивать вредоносное ПО. Сюда входят следующие опции:
Как видите, здесь есть множество опций. Лично я считаю, что некоторые ограничения слишком велики, и могут потенциально нежелательным образом воздействовать на память и производительность диска, но если у вас очень мощная система (четырехядерный процессор, 8 GB+ память, быстрые жесткие диски), эти значения могут быть вполне разумны.
Рисунок 6
Проверка на вредоносное ПО может быть слегка сложной для ваших конечных пользователей. Одним из способов сделать этот процесс менее болезненным для пользователей и снизить количество обращений в стол помощи, является медленная передача файлов пользователям по мере их проверки. Пользователи будут видеть шкалу прогресса во время загрузки файлов, которую я покажу вам позже.
Обратите внимание на то, что вам нужно отметить флажком строку Отправлять оповещения прогресса клиентам во время загрузки и проверки файлов (применимо только ко второму типу содержимого), если вы хотите, чтобы пользователи видели шкалу прогресса.
Это немного сложно. На мой взгляд, здесь происходит следующее: если вы выбираете эту опцию, вы не сможете медленно передавать части содержимого. Вместо этого у вас появится шкала прогресса на веб странице, которую я вам покажу позже, и только для тех типов содержимого, которые вы выберите путем нажатия кнопки Выбор типов содержимого. Если вы не выберите эту опцию, пользователи будут видеть диалоговое окно загрузки, которое будет двигаться медленнее, чем если бы содержимое не подвергалось проверке.
Однако я не хочу, чтобы вы меня здесь цитировали, поскольку я еще не тестировал каждый из сценариев, поэтому неизвестно, с чем придется столкнуться конечным пользователям при загрузке. Я буду держать вас в курсе последних событий, возможно на блоге, когда мы все выясним и четко определим.
Рисунок 7
Вот список MIME типов, которые определяют, будет ли содержимое передаваться медленным потоком или нет, в зависимости от решений, приятых вами в предыдущем диалоговом окне. Как видите, большинство типов MIME выбраны для оповещения прогресса, а не для медленной передачи.
Рисунок 8
Рисунок ниже показывает то, что будут видеть пользователи при загрузке файлов, когда включено оповещение прогресса. В этом примере я использовал прогресс загрузки Open Office (не то чтобы я использовал Open Office, но мне нужен был файл достаточно большого размера, чтобы успеть сделать скриншот).
Рисунок 9
Когда загрузка файла завершена, обозреватель проинформирует пользователя о том, что в файле не было обнаружено вредоносного кода и, что пользователь может нажать кнопку Загрузить в обозревателе, чтобы скачать безопасный файл.
Рисунок 10
Давайте рассмотрим последнюю вкладку в диалоговом окне Проверка на вредоносное ПО. Это вкладка Хранилище. Здесь вы можете настроить место, в котором загруженные файлы будут сохраняться для проверки на вредоносный код.
Рисунок 11
Я заглянул в Windows\Temp папку, чтобы проверить, было ли там что-нибудь интересное. Оказалось, что брандмауэр Forefront TMG хранит множество файлов в этой папке, как показано на рисунке ниже. Я не знаю, для чего нужны все эти файлы, но оказалось, что многие из них являются файлами логов. Мне кажется, что .etl файлы – это журналы отслеживания, хотя не могу говорить об этом наверняка.
Рисунок 12
Параметры безопасности для этой папки довольно интересны. Как видно из рисунка, учетная запись SQLServer2005ReportingServiceWebServiceUsers$ISAS имеет разрешения для этой папки. В этой папке есть еще одна папка под названием Emp, а учетная запись fwsrv имеет полный доступ.
Рисунок 13
В первой части этой серии статей о политике веб дуста в Forefront Threat Management Gateway (TMG), мы рассмотрели некоторые опции настройки проверки на предмет вредоносного ПО, а также элементы вкладки Задачи на ветви Web Access Policy в консоли брандмауэра TMG. В следующей части мы подробно рассмотрим другие опции вкладки Задачи для Web Access Policy.
www.isaserver.org