Planear la implementación de la puerta de enlace web segura de Forefront TMG
Publicada: noviembre de 2009
Se aplica a: Forefront Threat Management Gateway (TMG)
El objetivo de este tema es ayudarle a planear la implementación de la puerta de enlace web segura de Forefront TMG en su organización.
Nota
- Antes de empezar, asegúrese de que Forefront TMG se ha instalado, configurado y probado en su entorno. Para obtener información, vaya a la biblioteca TechNet (https://go.microsoft.com/fwlink/?LinkID=131702) de Forefront TMG.
- Para conocer el hardware recomendado para la puerta de enlace web segura de Forefront TMG, vea Forefront TMG 2010 hardware recommendations (https://go.microsoft.com/fwlink/?LinkId=183987).
En este tema se describe lo siguiente:
Planear la topología de red de la puerta de enlace web segura
Planeación para el filtrado URL
Planeación para la inspección de HTTPS
Planeación de las actualizaciones de definiciones de protección
Plan para generar informes de Forefront TMG
Planear la topología de red de la puerta de enlace web segura
Normalmente, las organizaciones implementan la puerta de enlace web segura dentro de la red, no en el perímetro de la red. En el caso de la puerta de enlace web segura de Forefront TMG, la ubicación de Forefront TMG en la red depende de la funcionalidad de la implementación, como se indica a continuación:
Si solo utiliza Forefront TMG como puerta de enlace web segura, se implementa dentro de la red. Se recomiendan las siguientes topologías de red de Forefront TMG para implementar únicamente la puerta de enlace web segura:
Firewall posterior: en esta topología, Forefront TMG se encuentra en el back-end de la red y otros elementos de red, como una red perimetral o un dispositivo de seguridad perimetral, se encuentran entre Forefront TMG y la red externa.
Adaptador de red único: esta topología proporciona una funcionalidad de Forefront TMG limitada. En esta topología, Forefront TMG está conectado únicamente a una red, bien la red interna o una red perimetral.
Si usa Forefront TMG como puerta de enlace web segura y como firewall, se implementa fuera de la red. Las siguientes topologías de red de Forefront TMG son adecuadas para este tipo de implementación:
Firewall perimetral: en esta topología, Forefront TMG se encuentra en el perímetro de la red, donde actúa como firewall perimetral de la organización, y está conectado a dos redes: la red interna y la red externa (normalmente, Internet).
Perímetro de 3 secciones: esta topología implementa una red perimetral. Forefront TMG está conectado por lo menos a tres redes físicas: la red interna, una o más redes perimetrales, y la red externa.
Para obtener más información, vea Planeación de la topología de red de Forefront TMG (https://go.microsoft.com/fwlink/?LinkId=179309).
Nota
Se entiende por red de Forefront TMG la red física o lógica en la que se instala Forefront TMG.
Planeación para el filtrado URL
El filtrado de URL está basado en la suscripción y forma parte de la licencia de Forefront TMG Web Security Service. Para obtener información sobre las licencias, vea How to Buy (https://go.microsoft.com/fwlink/?LinkId=179848).
Planeación para la inspección de HTTPS
Para inspeccionar el tráfico HTTPS, debe haber un certificado de una entidad de certificación (CA) en el servidor Forefront TMG, que se debe implementar además en todos los equipos cliente.
Puede obtener el certificado de una de estas dos maneras:
Generar un certificado autofirmado en el servidor de Forefront TMG.
Importar un certificado emitido por una entidad de certificación raíz de su organización o por una entidad de certificación pública de confianza, es decir, creado por una entidad externa como VeriSign. El certificado debe ser un archivo de intercambio de información personal (.pfx), y debe ser de confianza para el servidor de Forefront TMG.
Si piensa importar un certificado, colóquelo en el servidor de Forefront TMG antes de configurar la inspección de HTTPS. Para obtener más información, vea Administrar los certificados de inspección de HTTPS.
En implementaciones de varias matrices, el certificado de inspección de HTTPS se genera o se importa para cada una de las matrices.
Planeación de las actualizaciones de definiciones de protección
La inspección de malware y el Sistema de inspección de red (NIS) usan las actualizaciones de productos de Microsoft para mantener las definiciones de protección actualizadas en todo momento.
Nota
Microsoft Update proporciona los archivos de definición actualizados y están sujetos a licencias. Para obtener información sobre las licencias, vea How to Buy (https://go.microsoft.com/fwlink/?LinkId=157421).
Puede optar por actualizar los archivos de definición mediante uno de los dos métodos siguientes:
Microsoft Update: las actualizaciones que se publican a través de Microsoft Update se instalan en el equipo de Forefront TMG.
Windows Server Update Services (WSUS): para las matrices de Forefront TMG, puede implementar WSUS en la red en la que se implemente Forefront TMG. Un solo servidor descarga las actualizaciones que se publican a través de Microsoft Update y distribuye las actualizaciones a todos los equipos con Forefront TMG de la red. Este es el método de actualización recomendado para las matrices de Forefront TMG, ya que, además de posibilitar la administración centralizada, ahorra tiempo y ancho de banda de red. Para obtener más información, vea Introducción a Microsoft Windows Server Update Services 3.0 (https://go.microsoft.com/fwlink/?LinkId=108173).
Nota
- Puede seleccionar usar Microsoft Update si se produce un error en la actualización desde WSUS.
- Si va a unir un servidor de Forefront TMG de producción a una matriz, descargue las actualizaciones en el servidor antes de unirlo a la matriz.
- Puede seleccionar usar Microsoft Update si se produce un error en la actualización desde WSUS.
Para obtener información sobre cómo seleccionar el método de actualización, vea Administrar las actualizaciones de definiciones para la inspección de malware y NIS.
Forefront TMG permite de forma predeterminada la entrada y salida de tráfico desde los distintos sitios de actualización de Microsoft. Sin embargo, si experimenta problemas de conexión con el sitio de Microsoft Update, consulte la sección sobre cómo solucionar los problemas de conectividad con los sitios de actualización en Configurar la conectividad para actualizar los sitios (https://go.microsoft.com/fwlink/?LinkId=179312).
Plan para generar informes de Forefront TMG
Los informes de Forefront TMG permiten resumir y analizar las actividades de Forefront TMG, incluidos el uso de la Web y las actividades de los mecanismos de protección de Forefront TMG. Las categorías de informes de la puerta de enlace web segura de Forefront TMG incluyen las siguientes:
Uso de web
Protección contra código malintencionado
Filtrado de URL
Sistema de inspección de red
Para obtener información general sobre los informes de Forefront TMG, así como instrucciones para configurarlos y consultarlos, vea Configurar los informes de Forefront TMG (https://go.microsoft.com/fwlink/?LinkId=179492).
Temas relacionados
Conceptos
Guía de solución de puerta de enlace web segura de Forefront TMG