Instalacja Forefront TMG 2010 – część 5

  • Artykuł

Udostępnij na: Facebook

Kreator Getting Started Wizard

Autor: Jacek Światowiak

Opublikowano: 2011-03-24

Wprowadzenie

W poprzedniej części tej serii artykułów omówiono kreatora wstępnej konfiguracji serwera TMG 2010 – GettingStartedWizard. W tej części omówimy ogólnie konsolę zarządzania serwerem TMG 2010.

Konsola zarządzania – Microsoft Forefront Threat Management Gateway

Konsola zarządzania Microsoft Forefront Threat Management Gateway jest podstawowym narzędziem w zarządzaniu serwerem TMG 2010. Bazuje ona na standardowej konsoli mmc (Microsoft Management Console) w wersji 3 i można ją podzielić na 12 poziomów, z których każdy odpowiada za konfigurację innych aspektów funkcjonalnych serwera TMG 2010. Na rysunku 5.1 przedstawiono ogólny widok konsoli zarządzania Forefront TMG 2010. W zależności od wyboru poziomu w lewej kolumnie okna konsoli, w części środkowej i prawej dostępne będą różne opcje konfiguracyjne związane tematycznie z danym poziomem.

Przy wyborze najwyższego poziomu w środkowym oknie wyświetlane są ogólne informacje o rolach, które może pełnić serwer TMG 2010. Dostępne są też linki internetowe do witryn tematycznie związanych z TMG. Jeżeli jesteśmy połączeni z serwerem TMG 2010, np. konsola została uruchomiona bezpośrednio na serwerze TG 2010, jedynym zadaniem konfiguracyjnym dostępnym w prawym oknie jest możliwość odłączenie konsoli od serwera, z którym aktualnie jest połączona. Jeżeli konsola uruchomiona zostanie na innym serwerze lub na stacji roboczej po instalacji narzędzi administracyjnych serwera TMG 2010, wówczas na tym poziomie możemy się połączyć ze zdalnym serwerem TMG 2010.

Rysunek 5.1. Poziom Microsoft Forefront Threat management Gateway.

 

Po wyborze poziomu niżej – Poziom Forefront TMG (…) przedstawiony na rysunku 5.2 – dostępnych jest już więcej opcji konfiguracyjnych. Ten poziom pełni dość ogólną rolę konfiguracyjną. W środkowym oknie pod ikonami 1, 2, 3, 4 i 5 kryją się linki do innych poziomów konfiguracyjnych serwera TMG 2010. W prawym oknie w zakładce Tasks dostępne są specyficzne zadania konfiguracyjne:

  • możliwość ponownego uruchomienia kreatora Getting Started Wizard, który był omówiony w poprzedniej części,
  • możliwość podłączenia serwera do macierzy serwerów TMG celem scentralizowanego zarządzania – Join Array,
  • możliwość modyfikacji parametrów macierzy – Configure Array Properties,
  • nadawanie uprawnień administracyjnych na poziomie danej macierzy serwerów TMG – Assign Administrative Rights
    oraz
  • możliwość wykonania archiwizacji lub odtworzenia konfiguracji danej macierzy serwerów TMG 2010.

Rysunek 5.2. Poziom Forefront TMG (…).

 

Poziom Dashboard (przedstawiony poniżej na rysunku 5.3) jest pewnego rodzaju miejscem gromadzenia informacji i zdarzeń dziejących się w obrębie serwera TMG. Te zdarzenia to:

  • Alerty – Alerts,
  • Stan sieci – Network Status,
  • Stan usług – Services,
  • Aktualne sesje – Session,
  • Status technologii ochronnych (NIS, Web protection, URL filtering…) – Protection Technology,
  • Stan aktualizacji definicji (antimalware, NIS) – Definition updates,
  • Wykorzystanie pamięci buforowej dla serwera Proxy – Cache Utilization,
  • Aktualne obciążenie systemu (wydajność) – System Performance.

Rysunek 5.3. Poziom Dashboard.

 

Na poziomie Monitoring (przedstawionym na rysunku 5.4) w pięciu zakładkach:

  • Alerts – alerty,
  • Sessions – sesje,
  • Cennectivity Verifiers – weryfikator połączeń,
  • Services – stan usług,
  • Configuration – stan konfiguracji (spójność) pomiędzy centralnym serwerem konfiguracji a konfiguracja lokalną,

wyświetlane są informacje mające krytyczne znacznie dla poprawności działania (funkcjonowania) serwera TMG 2010, jak: stan usług, zdarzenia o statusie krytycznym generujące alerty, stan sesji przechodzących przez lub dochodzących do serwera TMG, czy też dostępność usług zewnętrznych dzięki mechanizmowi Cennectivity Verifiers.

W ramach zmian konfiguracji na tym poziomie możemy skonfigurować nowe definicje alertów mające informować administratorów o zdarzeniach na serwerze TMG 2010.

Rysunek 5.4. Poziom Monitoring.

 

Najważniejszy poziom to Firewall Policy (przedstawiony poniżej na rysunku 5.5). To na tym poziomie tworzone są wszystkie reguły zapory – tak zwane reguły dostępu ( Access Rule) oraz reguły publikacji (Publishing Rule). Reguły zapory tworzone są dzięki kreatorom dostępnym w prawym oknie w zakładce Tasks.

I tak, dostępne są kreatory publikacji:

  • Publish Exchange Web Client Access – publikacja dostępu klienckiego do infrastruktury, serwerów Exchange (OWA, EAS, Outlook Anywhere, POP3, IMAP4, SMTP klient - Server),
  • Publish Mail Servers (SMTP klient - Server, SMTPS, NNTP pomiędzy serwerami),
  • Publish SharePoint Sites – publikacja dostępu do serwerów SharePoint,
  • Publish Web Sites – publikacja witryn Web zarówno dla protokołu http, jak i szyfrowanego HTTPS,
  • Publish Non-Web Server Protocols – Publikacja innych protokołów – praktycznie jest to reguła przekierowania portów.

Kreator reguły dostępu:

  • Create Access Rule – reguła dostępu z sieci do sieci wykorzystywana w przypadku, gdy pomiędzy dwoma sieciami jest zdefiniowana tzw. reguła sieciowa ROUTING lub gdy realizujemy transmisję spoza sieci objętej regułą NAT.

A także kreatory opcji specjalnych:

  • Configure VoIP – konfiguracja ruchu sieciowego dla protokołu SIP,
  • Configure Client Access – przekierowuje do konfiguracji sieci (ustawień związanych z realizacją komunikacji od klientów z określonej sieci).

Reguły tworzone są z wykorzystaniem komponentów i obiektów sieciowych, które definiowane są w zakładce Toolbox. W skład tych komponentów wchodzą: sieci, zbiory (grupy) sieci, zakresy adresów IP, podsieci, pojedyncze komputery, zbiory (grupy) komputerów, poddomeny, zbiory adresów URL, farmy serwerów i specjalne obiekty nazywane Listener (wykorzystywane przy regułach publikacji).

Rysunek 5.5. Poziom Firewall Policy.

 

Poziom Web Access Policy (przedstawiony na rysunku 5.6) związany jest z tworzeniem reguł dostępu z wnętrza sieci, określanych jako sieci INTERNAL (sieci LAN), do innych sieci, np. do Internetu, dla protokołów rodziny Web (HTTP, HTTPS, FTP, FTP over HTTP). Na tym poziomie w środkowym oknie włącza się funkcjonalności:

  • serwera Web Proxy, w tym mechanizmy uwierzytelniania – Web Proxy & Authenication,
  • kompresję dla protokołu http – HTTP Compression,
  • buforowanie (caching) dla funkcjonalności Web Proxy – Web Caching,
  • inspekcję mającą chronić przed szkodliwym oprogramowaniem – Malware Inspection,
  • inspekcję ruchu HTTPS – HTTPS inspection.

Dodatkowo w prawym oknie dostępne są opcje konfiguracji:

  • inspekcji ruchu HTTPS,
  • inspekcji mającej chronić przed szkodliwym oprogramowaniem,
  • mechanizmu URL filtering  (opcja dostępna od Service Pack 1 do Forefront TMG),
  • Web Proxy, w tym mechanizmów uwierzytelniania,
  • kompresji ruchu http,
  • buforowania – Web caching.

Rysunek 5.6. Poziom Web Access Policy.

 

Na poziomie E-Mail Policy (przedstawionym na rysunku 5.7) tworzy się zaawansowane reguły komunikacyjne związane z protokołem SMTP (poczta elektroniczna). Poziom jest wykorzystywany w przypadku integracji serwera TMG 2010 z rolą Edge serwera Exchange 2010 oraz oprogramowaniem Forefront Protection 2010 for Exchange Server. Dla tego typu konfiguracji zarządzanie mechanizmami antywirusowymi oraz antyspamowymi jest realizowane bezpośrednio z konsoli TMG – w zakładkach Spam Filtering oraz Virus and Content Filtering. Z tego poziomu jesteśmy w stanie zarządzać również tzw. subskrypcją konfiguracji dla roli EdgeServera Exchange 2010.

Rysunek 5.7. Poziom E-mail Policy.

 

Na poziomie Intrusion Prevension System – przedstawionym na rysunku 5.8 – w dwóch zakładkach:

  • Network Inspection System (NIS)
  • Behavioral Intrusion Detection

zarządzamy mechanizmami wykrywania i inspekcji niestandardowego zachowania się ruchu sieciowego, który może być powodowany np. próbami włamania do systemu. Na poziomie w oknie środkowym wyświetlane są zainstalowane w systemie sygnatury służące do wykrywania różnych prób ataku oraz do blokowania ruchu sieciowego w momencie wykrycia potencjalnego zagrożenia.

W zakładce Behavioral Intrusion Detection definiuje się proste mechanizmy wykrywania i przeciwdziałania próbom ataków sieciowych, znane z poprzednich wersji produktu, czyli ISA 2006, oraz specjalne opcje konfiguracyjne protokołu IP, czyli:

  • Common Attacks and DNS Attacks (np. Winnuke, UDP Bomb czy skanowanie portów),
  • elementy filtracji opcji protokołu IP oraz włączenie blokady pofragmentowanych datagramów IP,
  • konfiguracja mechanizmu Flood Mitigation:

Rysunek 5.8. Poziom Intrusion Prevension System.

 

Poziom Remote Access Policy (VPN) – przedstawiony na rysunku 5.9 – wiąże się z konfiguracją funkcjonalności serwera VPN w ramach serwera TMG 2010. Do dyspozycji, analogicznie jak w wersjach poprzednich produktu, mamy:

  • Client VPN – konfigurację serwera VPN do obsługi klientów indywidualnych,
  • Remote Site – konfigurację w trybie Site-to-Site VPN,

Oba tryby pracy są od siebie niezależne.

Udostępnione mamy również następujące mechanizmy protokolarne budowy tuneli:

  • PPTP – Point to Point Tunneling Protocol,
  • L2TP/IPSEC – Layer 2 Tunneling Protocol,
  • SSTP - Secure Socket Tunneling Protocol oraz
  • czysty IPSec – dostępny dla konfiguracji w trybie Site-to-Site VPN.

Rysunek 5.9. Poziom Remote Access Policy (VPN).

 

Poziom Networking (przedstawiony na rysunku 5.10) to drugi z ważnych poziomów konfiguracyjnych serwera TMG 2010. Na tym poziomie w zakładkach:

  • Networks – sieci,
  • Network Sets – zbiory sieci,
  • Network Rules – reguły sieciowe,
  • Routing
  • Web Chaining – łańcuch serwerów Web Proxy,
  • ISP Redundancy – obsługa łączy do dwóch ISP (Internet Service Provider) – dostawców usług internetowych (łączy do Internetu)

definiuje się obiekty sieciowe, przez które przepływa ruch sieciowy w obrębie TMG. Poziom ten odpowiada również za zarządzanie routingiem statycznym i obsługę redundancji łącz (tylko dwóch, niestety) do ISP w trybie load-balancing lub fail-over.

Rysunek 5.10. Poziom Networking.

 

Na poziomie System (patrz rysunek 5.11) można podejrzeć ustawienia konfiguracji serwera TMG 2010, w tym również dokonać aktualizacji z wersji Standard na Enterprise. W zakładkach Application Filters oraz Web Filters można włączyć lub wyłączać filtry aplikacyjne oraz skonfigurować ich podstawowe właściwości, np. dla filtra FTP, H.323, SMTP czy SOCKS.

Rysunek 5.11. Poziom System.

 

Poziom Logs & Report (przedstawiony na rysunku 5.12) odpowiada za wyświetlanie ruchu sieciowego przepływającego przez serwer TMG na bieżąco, oraz konfigurację logowania. Na tym poziomie, w gałęzi Reporting, istnieje możliwość generowania raportów z zalogowanego ruchu sieciowego na żądanie lub w sposób określony harmonogramem.

 

Poziom Logs Reports

Rysunek 5.12. Poziom Log &Reports.

 

Na poziomie Update Center (poniżej rysunek 5.13) można podejrzeć stan aktualizacji mechanizmów wymagających subskrypcji, czyli:

  • MalwareInspection,
  • Networking Inspection System.

Z tego poziomu można również dokonać konfiguracji mechanizmów aktualizacji definicji oraz sprawdzić dostępność i wymusić pobranie najświeższych wersji aktualizacji czy subskrypcji definicji.

Rysunek 5.13. Poziom Update Center.

 

Na ostatnim poziomie – Troubleshooting (patrz poniżej rysunek 5.14) – umieszczono zbiorczo wiele komponentów mających pomóc w rozwiązywaniu problemów z działaniem serwera TMG oraz mechanizmów konfigurowanych w obrębie TMG. Do dyspozycji mamy takie mechanizmy, jak:

  • włączenie opcji zmian konfiguracji – ChangeTracking,
  • symulator ruchu sieciowego – Traffic Simulator,
  • zaawansowane logowanie – Diagnostic Logging,
  • weryfikatory „dostępności sieci  lub usług sieciowych” – Connectivity Test.

Rysunek 5.14. Poziom Troubleshooting.

 

Z tego poziomu można uruchomić również komponenty Best Practices Analyzer Tool, o ile został zainstalowany.

Podsumowanie

W tym artykule przedstawiliśmy ogólnie konsolę zarządzania serwerem  TMG 2010 Standard Edition. W kolejnej części omówimy zagadnienia konfiguracji sieci w obrębie TMG, w tym tzw. reguły sieciowe – Network Rules.