Установка и настройка Microsoft Forefront Threat Management Gateway 2010 (TMG 2010)

Forefront TMG 2010 — это комплексное решение для обеспечения безопасности в сети, позволяющее защитить корпоративную сеть предприятия от внешних угроз и  предлагает простой единый способ обеспечения безопасности периметра благодаря наличию интегрированных функций межсетевого экрана, VPN, предотвращения вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.

В этом посте я постараюсь описать процессы развертывания и настройки TMG 2010 “с нуля” в домене.  Перед непосредственной установкой TMG 2010 необходимо спланировать этот процесс, для того чтобы процесс установки прошел успешно и без трудностей.

Прежде всего стоит обратить внимание на программно/аппаратные требования:

• Требования к оборудованию для Forefront TMG:

Оборудование	Требования
Процессор	64-разрядный двухъядерный процессор с тактовой частотой 1,86 ГГц
Память	4 ГБ ОЗУ с тактовой частотой 800 МГц
Жесткий диск	2,5 ГБ свободного места. Это весь объем места на диске, который сможет использоваться для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ.
Сетевые адаптеры	Один сетевой адаптер, совместимый с операционной системой компьютера, для взаимодействия с внутренней сетью. Дополнительный сетевой адаптер для каждой сети, подключенной к компьютеру Forefront TMG.

 

• Требования к программному обеспечению для Forefront TMG

Программное обеспечение	Подробные сведения
Windows Server 2008	Пакет обновления 2 (SP2) не требуется.
Роли и компоненты Windows: Сервер сетевых политик Службы маршрутизации и удаленного доступа Средства служб Active Directory облегченного доступа к каталогам Средства балансировки сетевой нагрузки Windows PowerShell	Они устанавливаются средством подготовки Forefront TMG. Программу подготовки для Forefront TMG можно запустить со страницы автозапуска. Роли и компоненты Windows, которые устанавливаются вместе с Forefront TMG, не удаляются при удалении Forefront TMG. При необходимости удалите их вручную после удаления Forefront TMG с сервера.
Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1)
Интерфейс API веб-служб Windows
Центр обновления Windows
Установщик Microsoft Windows 4.5

Весь процесс развертывания TMG 2010 можно разделить на 3 фазы :

1. Подготовка к установке;
2. Собственно, установка;
3. Конфигурация.

Начнем с описания процесса подготовки к установке:

Перед установкой Forefront TMG 2010 необходимо запустить средство подготовки, чтобы убедиться, что на компьютере установлены приложения, необходимые для успешной установки Forefront TMG 2010.  Установка Forefront TMG 2010 может завершиться сбоем, если на компьютере отсутствуют нужные приложения и средство подготовки не было предварительно запущено.

К этим приложениям относятся:

• Роли и компоненты Windows
• .Пакет обновления 1 (SP1) для NET 3.5 Framework
• API веб-служб Windows

Если эти приложения отсутствуют на компьютере, средство подготовки загрузит и установит их.

После установки диска с образом Forefront TMG 2010 в DVD запустится экран приветствия :

Обратите внимание на последовательность предварительной подготовки к установке (Prepare and Install):

Перед установкой Forefront TMG 2010 необходимо убедиться, чтобы прошли все системные  обновления. Для запуска проверки наличия обновлений щелкаем Run Windows Update.

После установки всех обновлений запускаем средство подготовки к  установке  Forefront TMG 2010:

Далее необходимо выбрать один из возможных сценариев установки Forefront TMG 2010:

Всего их три и они означают следующее:

1. Службы и управление Forefront TMG (Forefront TMG Services and Management)— установка одного сервера Forefront TMG на компьютере, включая установку всех служб Forefront TMG и консоли управления Forefront TMG, предназначенной для локального управления Forefront TMG.

2.  Удаленное управление (Forefront TMG Management) — установка только консоли управления Forefront TMG 2010 для удаленного управления серверами Forefront TMG, установленными на других компьютерах. Консоль представляет собой оснастку консоли управления (MMC).
При выборе этого пункта необходимо обратить внимание на следующее:

     —  Консоль управления Forefront TMG 2010 можно запустить в 32-разрядных версиях Windows Server 2008, однако для других вариантов Forefront TMG 2010 требуется 64-разрядная версия операционной системы Windows Server 2008.
     —  Для того чтобы время отклика консоли при отображении обновленных сведений о конфигурации было невелико, между компьютером Forefront TMG и компьютером, на котором запускается консоль управления Forefront TMG, требуется надежное и высокоскоростное подключение. Если скорость сетевого подключения к компьютеру Forefront TMG меньше 5 Мбит/с, рекомендуется подключаться к компьютеру Forefront TMG по протоколу RDP и запускать консоль управления Forefront TMG локально на компьютере Forefront TMG.
     —  Запуск мастера начальной настройки Forefront TMG из удаленной консоли управления Forefront TMG не поддерживается. Для запуска мастера начальной настройки необходимо использовать локальную консоль.

3.  Enterprise Management Server (EMS) for centralized array management — этот параметр установки доступен только в выпуске Forefront TMG Enterprise Edition (в версии Forefront TMG Standard Edition данный параметр установки отсутствует). Сервер Enterprise Management Server позволяет централизованно управлять несколькими массивами Forefront TMG. При использовании данного сервера можно создавать и обновлять политики предприятия, а также создавать правила политики, которые затем можно назначать массивам предприятия.

В нашем случае мы выбираем первый вариант : будем устанавливать сервер Forefront TMG 2010 с локальной консолью управления: 

Далее идет процесс подготовки :

Ну и собственно все – процесс подготовки к установке завершен: ставим галочку напротив Launch Forefront TMG Installation Wizard и кликаем OK для начала запуска самого процесса установки TMG 2010.

Начинается процесс установки традиционно с запуска мастера,

 

принятия лицензионного соглашения

ввода регистрационных данных и серийного номера,

далее указываем путь установки

ну и в конце необходимо указать адреса внутренней сети предприятия для чего нажимаем Добавить (Add)

и далее мы можем добавить :

1. сетевой адаптер к, которому привязана внутренняя сеть предприятия;
2. частные адреса — IP-адреса, которые не поддерживают маршрутизацию, на основании RFC 1918 и функции автоматического назначения частных IP-адресов (169.254.0.0–169.254.255.255).
3. диапазон адресов — добавление диапазона IP-адресов. Необходимо указать начальный и конечный IP-адреса диапазона.

В нашем случае нам подходит п. 1, т.е. мы выбираем сетевой адаптер (LAN), который “смотрит” в нашу внутреннюю сеть:

При выборе этого метода добавляемые IP-адреса основаны на IP-адресе и маске подсети выбранной сетевой платы :

Щелкаем OK :

Далее предупреждение о рестарте сервисов во время установки :

Ну и собственно запускаем процесс инсталляции:

установка основных компонентов

установка дополнительных компонентов:

ну и третий этап – инициализация :

Процесс установки завершен и теперь кликаем Launch Forefront TMG Management when wizard closes  — запуск консоли управления TMG 2010 для начальной конфигурации:

Нажимаем Finish, после чего увидим сообщение об успешной установке Forefront TMG 2010 и открытии консоли управления TMG 2010 :

Теперь можно приступать к третьей финальной стадии развертывания Forefront Threat Management Gateway 2010 – настройки параметров начального развертывания, которая также состоит из трех этапов: 

— настройки сетевых параметров — с помощью мастера будет произведена  настройка сетевых адаптеров на сервере;
— настройки системных параметров — с помощью мастера будет произведена  настройка параметров операционной системы, таких как сведения об имени компьютера, настройки домена или рабочей группы;
— определение параметров развертывания — с помощью мастера будет произведены  настройки защиты от вредоносных программ для HTTP-трафика и присоединения к программе обратной связи с клиентами и службе дистанционного отслеживания.

Запускаем мастер настройки сетевых параметров

и кликаем Next:

на данном этапе необходимо определиться  с топологией сети Forefront TMG 2010, которая наиболее соответствует существующей топологии и требованиям к безопасности сети.

Доступны следующие топологии сети Forefront TMG:

• Пограничный межсетевой экран (Edge Firewall) — в этой топологии сервер Forefront TMG 2010 размещается на границе сети, где он выступает в качестве межсетевого экрана организации, и подключен к двум сетям: внутренней и внешней (обычно к Интернету).

  

• Трехзонная конфигурация сервера (3-Leg perimeter) — в этой топологии реализуется демилитаризованная зона. Forefront TMG 2010 подключается как минимум к трем физическим сетям: к внутренней сети, к одной или нескольким демилитаризованным зонам и к внешней сети (обычно к Интернету).
• Внутренний межсетевой экран (Back Firewall) — в этой топологии Forefront TMG размещается во внутренней части сети. Эта топология используется в тех случаях, когда между Forefront TMG и внешней сетью располагается другой элемент сети, например демилитаризованная зона или пограничный firewall. Forefront TMG 2010 подключается к внутренней сети и к элементу сети (перед ним).

  

• Одна сетевая плата — в этой топологии реализуются ограниченные функциональные возможности Forefront TMG 2010. В этой топологии Forefront TMG 2010 подключается только к одной сети: внешней сети или демилитаризованной зоне. Как правило, такая конфигурация используется, когда Forefront TMG 2010 находится во внутренней корпоративной сети или в демилитаризованной зоне. В данной конфигурации возможности Forefront TMG 2010  ограничиваются функциями прокси-сервера, кэширующего сервера или сервера VPN.

   

Для нашей топологии сети мы выбираем первую топологию :

Далее выбираем сетевой адаптер внутренней сети :

Также стоит обратить внимание на то, что тут же можно вручную добавить другие внутренние сети (Add). У нас таковые отсутствуют , поэтому нажимаем Далее (Next) и в следующем диалоговом окне выбираем сетевой адаптер, который “смотрит” во внешнюю сеть :

Так как мы выбрали динамические адреса на внешнем сетевом адаптере TMG 2010 предупреждает о увеличении риска атак на наш сервер. Кликаем ОК и завершаем процесс настройки сетевых параметров.

Следующим этапом будет настройка системных параметров:

Кликаем Configure system setting для запуска мастера:

далее

Если ничего изменять не нужно, тогда нажимаем Далее (Next):

Вот и все настройки тут – Finish,  🙂

Заключительный этап – это настройка параметров развертывания:

далее

чтобы использовать службу Центра обновления Майкрософт для получения обновлений определений вредоносных программ  отмечаем  Использовать службу Центра обновления Майкрософт для проверки наличия обновлений (Use the Microsoft Update service to check for updates):
если сервер TMG 2010 подключен к внутреннему серверу со службой WSUS на получение обновлений, то параметры данной страницы никак на это не повлияют. В случае невозможности получения обновлений от службы WSUS, то будут применены параметры выбранные на этой странице.

и нажимаем Далее (Next).

Включаем система проверки сети выбрав Activate complementary license and enable NIS.

Возможности Веб-защиты мы пока использовать не будем поэтому выбираем Disable Web Protection.

Устанавливаем частоту обновления наборов сигнатур системы проверки сети (NIS), время (в днях) после которого будет отображено предупреждение об устаревших сигнатурах NIS, а также выбираем политику установки обновленных сигнатур.

Щелкаем Далее (Next)

В этом диалогов окне мастера выбираем хотим ли мы участвовать  в анонимной программе улучшения качества программного обеспечения Microsoft – я пока в этом не вижу для себя смысла, поэтому выбрал нет  и выбрал Далее.

Ну и в последнем окне этого мастера предлагается Вам  участвовать  в работе службы Microsoft Telemetry Reporting Service, с помощью которой в Microsoft отправляются данные относительно угроз и их типах.

Нажмите кнопку Основные, чтобы отправлять в Майкрософт основные сведения, касающиеся отфильтрованных URL-адресов, переопределения категорий URL-адресов, потенциальных угроз и ответных действий.

Нажмите кнопку Дополнительно, чтобы направлять в Майкрософт сведения о потенциальных угрозах, включая образцы трафика и полные URL-строки.

Чтобы не участвовать в работе службы, нажмите кнопку Нет.

Я выбрал последнее, что собственно и завершило процесс настройки  параметров развертывания:

На этом я закончу, получился довольно длинный, но надеюсь, содержательный пост об установке.  Об установке этого продукта можно еще говорить, что я постараюсь сделать в следующих постах. Ну а конфигурация и эксплуатация этого продукта это отдельная тема для еще многих постов и обсуждения.

Technorati Теги: Microsoft Forefront Threat Management Gateway 2010,TMG 2010