Monday, December 11th, 2017

Создание политики веб доступа с помощью Forefront Threat Management Gateway TMG Beta 1 (часть 1)

Published on Февраль 13, 2009 by   ·   Комментариев нет

Шлюз управления внешними угрозами Microsoft Forefront Threat Management Gateway является новой версией ISA Firewall. В то время как бренд ISA выходит из употребления, то программное обеспечение, которое мы все полюбили, продолжает свое существование под новым названием Forefront TMG. Наряду с новым именем в продукт добавлены некоторые новые возможности и функции. Хотя текущая версия брандмауэра TMG далека от законченной, в ней есть определенные изменения, которые, на мой взгляд, вам понравятся.

Одной из новых характеристик является новая ветвь в древе левой панели консоли брандмауэра TMG. Эта ветвь (вкладка) под названием Web Access Policy (политика веб доступа ) предоставляет возможность настройки брандмауэра TMG на разрешение исходящих HTTP, HTTPS и Web proxy ретранслируемых FTP подключений к интернету. Это изменение также указывает на особое внимание продукта к HTTP. Хотя предыдущая версия ISA Firewall обладала хорошим фильтром Web proxy и HTTP Security Filter, брандмауэр TMG выводит все эти моменты на новый уровень благодаря появлению осмотра исходящих HTTP запросов на предмет вредоносного ПО.

Обзор вкладки «Задачи» на ветви Web Access Policy

Один из моментов, которые вы заметите, открыв консоль TMG, это более чистый внешний вид ее левой панели. Теперь у нас есть только один уровень под именем сервера, и новая ветвь понравится каждому опытному администратору ISA. На рисунке ниже показана вкладка Web Access Policy.

Tmg зашифрованные файлы недопустимы

Рисунок 1

Когда вы переходите по вкладке Web Access Policy и нажимаете вкладку Задачи в панели задач, вы видите, что команда разработчиков TMG постаралась облегчить нам жизнь с помощью добавления одной настройки конфигурации веб доступа и веб прокси фильтров. Двумя основными задачами является Настроить политику веб доступа и Настроить сканирование вредоносного ПО, каждая из которых является новой возможностью в Forefront TMG. Из панели Смежные задачи также видно, что команда разработчиков собрала в один список все задачи веб прокси фильтра и конфигурации HTTP для сервера.

Максимальный размер файла для скачивания forefront

Рисунок 2

Давайте рассмотрим эти задачи, прежде чем переходить к подробностям о создании политики веб доступа. Сначала жмем по ссылке Настроить сканирование вредоносного ПО в панели задач во вкладке Задачи. Это вызывает диалоговое окно Сканирование вредоносного ПО во вкладке Общие. Здесь у вас есть возможность включить или отключить сканирование всей системы на предмет вредоносного ПО. Обратите внимание, что здесь включается сканирование для всей системы, а не для отдельного правила. Для начала его нужно активировать здесь, прежде чем вы сможете включить сканирование для определенного правила, или, как мы увидим позже, для набора правил веб доступа.

Tmg зашифрованные файлы недопустимы

Рисунок 3

Нажмите по вкладке Исключения. Здесь вы можете создать список сайтов, содержимое которых вы не желаете проверять на предмет вредоносного ПО. Группа Сайты, освобожденые от осмотра на предмет вредоносного ПО будет включена автоматически.

Зашифрованные файлы недопустимы tmg

Рисунок 4

Если вы нажмете на элементе Сайт, освобожденный от осмотра на вредоносное ПО в списке, а затем нажмете кнопку Изменить, вы увидите набор имен доменов Сайты освобожденные от осмотра на вредоносное ПО. Сюда включены следующие сайты: *.microsoft.com, *.windows.com и *.windowsupdate.com. Здесь вы можете добавлять другие сайты по своему усмотрению.

Здесь есть интересный момент. Вы можете защитить себя путем ограничения доступа к сайтам, а также защитить себя путем осмотра содержимого на предмет вредоносного ПО. Либо вы можете сделать и то и другое. Философия осмотра на предмет вредоносного ПО заключается в том, что даже если сайт доверенный, существует вероятность, что он был скомпрометирован вредоносным ПО. В таком случае возникает вполне закономерный вопрос, есть ли какой-то смысл в освобождении сайтов от проверки на предмет вредоносного ПО? У меня нет определенного ответа на этот вопрос, но это вы должны решить сами для себя во время принятия решения по поводу того, освобождать или нет определенные сайты от проверки на вредоносное ПО.

Tmg зашифрованные файлы недопустимы

Рисунок 5

На странице Параметры проверки у вас есть множество опций касаемо того, как ваша система будет оценивать вредоносное ПО. Сюда входят следующие опции:

  • Попытка исправить зараженные файлы. TMG будет пытаться исправить зараженные файлы. Если исправить такой файл не удается, он не будет сохранятся и будет удален из хранилища. Пользователю будет представлена информационная страница о том, что файл невозможно исправить, и что он удален.
  • Блокировка файлов с низким и средним уровнем риска (более высокие уровни угроз блокируются автоматически). Это повышает чувствительность сканирования. Однако принцип определения степени риска брандмауэром TMG не указан в файле помощи.
  • Блокировка подозрительных файлов. Это будет блокировать файлы, которые TMG считает подозрительными. Однако принцип определения подозрительности файлов тоже не указан в файле помощи.
  • Блокировка поврежденных файлов. Это блокирует файлы, которые брандмауэр определил как поврежденные. Однако в файле помощи пока не сказано, как брандмауэр определяет поврежденность файлов.
  • Блокировка файлов, которые невозможно сканировать. Это будет блокировать файлы, которые TMG не может сканировать. В файле помощи не указано, как TMG определяет, что файл не поддается проверке.
  • Блокировка зашифрованных файлов. Брандмауэр TMG будет блокировать зашифрованные файлы.
  • Блокировать файл, если время проверки превышает (в секундах). Эта опция позволяет вам устанавливать лимит времени того, как долго TMG может проверять файл, прежде чем он перестанет это делать и удалит его. Умолчание составляет 300 секунд (5 минут).
  • Блокировать файлы, если уровень глубины архивации превышает. Здесь устанавливается ограничение того, сколько раз файл может быть заархивирован в рамках архива, прежде чем TMG решит удалить его. Примером будет zip файл, который был повторно архивирован в этом же архиваторе. Зачастую вредоносное ПО будет пытаться скрыть себя путем многократного самостоятельного архивирования. Умолчание составляет 20
  • Блокировать файлы больше, чем (MB). Здесь задается ограничение максимально возможного размера файлов, которые будут загружаться через веб прокси фильтр брандмауэра Forefront TMG. Стандартное значение составляет 1000 MB.
  • Блокировать архивные файлы, если распакованное содержимое больше, чем (MB). Здесь задается ограничение размера на распакованные файлы. Значение по умолчанию составляет 4095 MB.

Как видите, здесь есть множество опций. Лично я считаю, что некоторые ограничения слишком велики, и могут потенциально нежелательным образом воздействовать на память и производительность диска, но если у вас очень мощная система (четырехядерный процессор, 8 GB+ память, быстрые жесткие диски), эти значения могут быть вполне разумны.

Зашифрованные файлы недопустимы

Рисунок 6

Проверка на вредоносное ПО может быть слегка сложной для ваших конечных пользователей. Одним из способов сделать этот процесс менее болезненным для пользователей и снизить количество обращений в стол помощи, является медленная передача файлов пользователям по мере их проверки. Пользователи будут видеть шкалу прогресса во время загрузки файлов, которую я покажу вам позже.

Обратите внимание на то, что вам нужно отметить флажком строку Отправлять оповещения прогресса клиентам во время загрузки и проверки файлов (применимо только ко второму типу содержимого), если вы хотите, чтобы пользователи видели шкалу прогресса.

Это немного сложно. На мой взгляд, здесь происходит следующее: если вы выбираете эту опцию, вы не сможете медленно передавать части содержимого. Вместо этого у вас появится шкала прогресса на веб странице, которую я вам покажу позже, и только для тех типов содержимого, которые вы выберите путем нажатия кнопки Выбор типов содержимого. Если вы не выберите эту опцию, пользователи будут видеть диалоговое окно загрузки, которое будет двигаться медленнее, чем если бы содержимое не подвергалось проверке.

Однако я не хочу, чтобы вы меня здесь цитировали, поскольку я еще не тестировал каждый из сценариев, поэтому неизвестно, с чем придется столкнуться конечным пользователям при загрузке. Я буду держать вас в курсе последних событий, возможно на блоге, когда мы все выясним и четко определим.

Tmg зашифрованные файлы недопустимы

Рисунок 7

Вот список MIME типов, которые определяют, будет ли содержимое передаваться медленным потоком или нет, в зависимости от решений, приятых вами в предыдущем диалоговом окне. Как видите, большинство типов MIME выбраны для оповещения прогресса, а не для медленной передачи.

Зашифрованные файлы недопустимы

Рисунок 8

Рисунок ниже показывает то, что будут видеть пользователи при загрузке файлов, когда включено оповещение прогресса. В этом примере я использовал прогресс загрузки Open Office (не то чтобы я использовал Open Office, но мне нужен был файл достаточно большого размера, чтобы успеть сделать скриншот).

Tmg зашифрованные файлы недопустимы

Рисунок 9

Когда загрузка файла завершена, обозреватель проинформирует пользователя о том, что в файле не было обнаружено вредоносного кода и, что пользователь может нажать кнопку Загрузить в обозревателе, чтобы скачать безопасный файл.

Зашифрованные файлы недопустимы

Рисунок 10

Давайте рассмотрим последнюю вкладку в диалоговом окне Проверка на вредоносное ПО. Это вкладка Хранилище. Здесь вы можете настроить место, в котором загруженные файлы будут сохраняться для проверки на вредоносный код.

Forefront tmg ограничение максимального размера файла

Рисунок 11

Я заглянул в Windows\Temp папку, чтобы проверить, было ли там что-нибудь интересное. Оказалось, что брандмауэр Forefront TMG хранит множество файлов в этой папке, как показано на рисунке ниже. Я не знаю, для чего нужны все эти файлы, но оказалось, что многие из них являются файлами логов. Мне кажется, что .etl файлы – это журналы отслеживания, хотя не могу говорить об этом наверняка.

Как настроить прозрачный прокси на tmg?

Рисунок 12

Параметры безопасности для этой папки довольно интересны. Как видно из рисунка, учетная запись SQLServer2005ReportingServiceWebServiceUsers$ISAS имеет разрешения для этой папки. В этой папке есть еще одна папка под названием Emp, а учетная запись fwsrv имеет полный доступ.

Forefront tmg ограничение максимального размера файла

Рисунок 13

Резюме

В первой части этой серии статей о политике веб дуста в Forefront Threat Management Gateway (TMG), мы рассмотрели некоторые опции настройки проверки на предмет вредоносного ПО, а также элементы вкладки Задачи на ветви Web Access Policy в консоли брандмауэра TMG. В следующей части мы подробно рассмотрим другие опции вкладки Задачи для Web Access Policy.

www.isaserver.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]