Установка Threat Management Gateway 2010 RTM Enterprise Edition (часть 2)

В первой части этого цикла статей мы начали рассмотрение процесса установки TMG Enterprise Edition в простой «чистой установке». Большинство из того, что мы рассмотрели, очень похоже на то, с чем вы сталкивались во время установки ISA Server за последние десять лет. В этой части цикла мы рассмотрим некоторые новые компоненты процесса установки; если говорить точнее, мы рассмотрим нового мастера Getting Started Wizard.

Итак, давайте начнем с того места, на котором мы остановились в прошлой части. На данный момент мы уже видели страницу мастера Getting Started Wizard, и первой частью этого процесса будет настройка сетевых параметров. Нажимаем на ссылку Настроить сетевые параметры (Configure network settings).

Примечание: Обратите внимание на нижнюю часть страницы, если вам нужно импортировать конфигурацию ISA 2006 в TMG, вам нужно сделать это прежде чем вы запустите мастера Getting Started Wizard. Мы рассмотрим перенос настроек конфигурации брандмауэра ISA в TMG в одной из следующих статей, поэтому здесь не будем углубляться в эту тему.

Также обратите внимание, что у вас есть возможность воспользоваться справкой по Getting Started Wizard, если вы нажмете на ссылку Help about the Getting Started Wizard в нижней части страницы.

Нажимаем Далее на приветственной странице мастера Welcome to the Network Setup Wizard.

На странице Выбор сетевого шаблона (Network Template Selection) у вас есть до четырех опций на выбор:

• Edge Firewall - это опция по умолчанию, которая используется чаще всего. Эта опция создает стандартную Внутреннюю Сеть (Internal Network) и стандартную Внешнюю Сеть (External Network).
• 3-Leg perimeter - Эта опция позволяет вам настроить трехсетевой сегмент демилитаризованной зоны (trihomed DMZ segment). Причина, по которой эта опция не отображена на рисунке, заключается в том, что вам нужно как минимум три сетевых карты, чтобы эта опция была доступна. Когда вы выбираете эту опцию, сеть брандмауэра TMG будет создана сегментом DMZ, а сетевые правила будут созданы автоматически.
• Back firewall - эта опция используется, когда у вас есть еще один брандмауэр, например, еще один TMG, ISA или брандмауэр стороннего производителя перед вашим брандмауэром TMG. Демилитаризованная зона сети брандмауэра TMG будет создана автоматически, равно как и основная внутренняя сеть.
• Single network adapter - эта опция используется, если на вашем брандмауэре TMG установлена одна сетевая карта. Она используется только в том случае, если брандмауэр будет использоваться в качестве веб-прокси сервера. Эта конфигурация не поддерживает никакие протоколы за исключением HTTP, HTTPS и FTP. Она поддерживает удаленный доступ VPN.

В этом примере мы выберем опцию пограничного брандмауэра Edge firewall и нажмем Далее.

На странице Настройки локальной сети (Local Area Network (LAN) Settings) настраивается конфигурация IP адресации для внутреннего интерфейса. Если вы уже настроили этот интерфейс, вы сможете увидеть выбранные вами настройки на этой странице. На этой странице вы также можете изменить настройки. В разделе Укажите дополнительные маршруты сетевой топологии (Specify additional network topology routes) вы можете нажать на кнопку Добавить (Add) и добавить записи таблицы маршрутизации (не знаю, почему записи таблицы маршрутизации назвали 'маршрутами топологии сети (network topology routes)', но я пропустила семинар по этому продукту).

После настройки параметров внутреннего интерфейса нажимаем Далее.

На странице Настройки интернета (Internet Settings) вы настраиваете параметры IP адреса внешнего интерфейса. Обратите внимание, что здесь вы можете указать статические адреса или использовать DHCP. Выберите соответствующую сетевую карту и затем выберите настройки, которые вам подойдут. Нажимаем Далее.

На этом работа мастера сетевых настроек Network Setup Wizard завершена. Проверьте свои настройки на последней странице мастера Completing the Network Setup Wizard и нажмите Готово (Finish).

Следующим шагом будет мастер настройки системных параметров Configure system settings. Нажмите на ссылку Настроить системные параметры (Configure system settings), чтобы перейти к настройке.

Нажмите Далее на приветственной странице мастера Welcome to the System Configuration Wizard.

На странице идентификации хоста Host Identification есть несколько настраиваемых опций:

• Имя компьютера (Computer name) - здесь вы можете нажать на кнопку Изменить (Change), чтобы изменить имя компьютера. Для этого потребуется перезагрузка машины.
• Участник (Member of) - здесь вы можете выбрать, будет ли ваш брандмауэр TMG участником домена Windows или Рабочей группы. В большинстве случаев брандмауэр TMG должен быть участником домена, чтобы вы имели наивысший уровень безопасности брандмауэра. После изменения этого параметра вам также нужно будет перезагрузить машину.
• Основной DNS суффикс (Primary DNS Suffix) - здесь вы можете изменить основной DNS суффикс, используемый брандмауэром TMG. Он используется брандмауэром для присвоения суффикса запросам с однокомпонентными именами, выполнение которых может потребоваться брандмауэру. Если брандмауэр TMG является участником домена, он автоматически выбирает имя домена Active Directory в качестве основного суффикса DNS.

В нижней части страницы вы увидите полное имя компьютера брандмауэра TMG после внесения всех изменений. Я выполнила все эти настройки прежде чем начинать установку брандмауэра TMG. Однако если вы забыли это сделать заранее, приятно осознавать, что у вас есть возможность позаботиться об этом в мастере системных настроек.

Нажмите Далее.

О! Это был весьма «короткий» мастер. Прочтите информацию на последней странице мастера Completing the System Configuration Wizard, чтобы убедиться, что все настройки верны, и нажмите Готово. Обратите внимание, что если вы изменили домен, рабочую группу или имя компьютера, машина перезагрузится, прежде чем вы сможете продолжить.

Третьим шагом будет мастер определения опций установки Define deployment options. Нажмите на ссылку Определить опции установки (Define deployment options).

Нажмите Далее на приветственной странице мастера Welcome to the Deployment Wizard.

Первым моментом, который от вас потребует мастер установки, будет выбор опции Настроек обновления (Microsoft Upd ate Setup). Здесь у вас есть следующие варианты:

• Использовать службу обновлений Microsoft для проверки обновлений (рекомендуется) (Use the Microsoft Upd ate service to check for updates (recommended)) - эта опция заставляет брандмауэр TMG использовать систему обновлений Microsoft в интернете, чтобы обновлять брандмауэр, ОС, и сигнатуры механизмов защиты от вредоносного кода и NIS. Поскольку у Microsoft есть больше шансов включить максимальное количество сигнатур, чем у вашей внутренней конфигурации WSUS или SCCM, это будет самая подходящая опция в большинстве случаев.
• Я не хочу использовать службу обновлений Microsoft (I do not want to use the Microsoft Upd ate service) - используйте эту опцию, если в вашей компании есть политика, запрещающая вам использовать службу Microsoft Update для автоматического обновления брандмауэра. Эта опция будет полезна в том случае, если вас беспокоят обновления, и вы хотите проверить их перед установкой на свой брандмауэр или массив брандмауэров.

Обратите внимание, что если ваш компьютер не подключен к интернету, этот шаг может занять несколько минут в попытке брандмауэра подключиться к Internet Microsoft Update Services. Это может вносить некую неясность, поскольку ваш брандмауэр может быть подключен к интернету, но если вы не настроили брандмауэр TMG на использование внешнего DNS сервера (что не рекомендуется ' вам следует избегать настройки внешнего DNS сервера на любом интерфейсе брандмауэра), то TMG не сможет преобразовать имена серверов Internet Microsoft Update.

Вы, возможно, настроили внутренний интерфейс на использование внутреннего DNS сервера, но брандмауэр TMG не сможет использовать и этот DNS сервер, поскольку у вас еще не настроено правило доступа, которое бы разрешало исходящий доступ для внутренних DNS серверов к внешним DNS серверам. В этом и состоит загвоздка ' вам нужно разрешить имена интернет узлов, но вы не можете попасть в интерфейс настройки, чтобы сделать эти DNS серверы доступными.

Возможно в последующих пакетах обновления они создадут временное DNS правило во время установки, которое будет разрешать внутренним DNS серверам преобразовывать имена публичных хостов. А пока нам придется немного подождать.

На странице Настройки функций защиты Forefront TMG (Forefront TMG Protection Features Se ttings) у вас есть следующие опции:

• Система осмотра сети - Network Inspection System (NIS) - здесь вы можете активировать лицензию или не активировать ее. Если вам не нужно лицензировать NIS сигнатуры ' все копии брандмауэров TMG позволяют вам пользоваться NIS.
• Веб защита (Web Protection) - здесь у вас есть возможность активировать оценочную лицензию и включить веб защиту. Вы также можете ввести свои лицензионные данные, если у вас есть лицензия. На данном этапе подробности о лицензировании обновлений Web защиты пока неясны.
• Включить осмотр на вредоносный код (Enable Malware Inspection) - если вы включите эту опцию, брандмауэр TMG сможет осуществлять проверку веб (HTTP/HTTPS) подключений на предмет вредоносного кода. Обратите внимание, что осмотр производиться только для веб подключений ' эта функция не осуществляет проверку других протоколов, таких как NNTP, SSH и т.д.
• Включить фильтрацию адресов (Enable URL Filtering) - эта опция включает возможности фильтрации URL адресов в брандмауэре TMG и позволяет вам в дальнейшем настраивать сайты или категории сайтов, которые вам нужно блокировать, используя Привала доступа.

Обратите внимание на то, как работает служба фильтрации URL адресов. Брандмауэр TMG не загружает всю базу данных. Вместо этого TMG отправляет строку адреса URL в службу репутации Microsoft Reputation Service по SSL каналу, чтобы получить результаты принадлежности адреса к категории, после чего брандмауэр использует полученный результат для оценки запроса подключения.

На странице Настройки обновления сигнатур системы осмотра сети (NIS Signature Update Se ttings) у вас есть еще несколько опций:

• Выбрать действие автоматического обновления дефиниций (Select automatic definition update action) ' можно выбрать следующие опции: поиск и установка, поиск и загрузка, не искать. В большинстве случаев вам нужно выбрать автоматический поиск NIS сигнатур и их автоматическую установку.
• Автоматическая частота опроса (Automatic polling frequency) - сотрудники компании Microsoft работают круглосуточно над сбором сигнатур для защиты вашей сети. Чтобы воспользоваться этим, вам нужно опрашивать серверы Microsoft так часто, чтобы у вас была максимально обновленная защита. Интервал по умолчанию составляет 15 минут, но при желании вы можете изменить его в большую или в меньшую сторону.
• Генерировать оповещение, если обновления не установлены в течение этого количества дней (Trigger an alert if no updates are installed after this number of days) - эта настройка позволяет вам получать уведомление о том, что обновление не проводилось в течение 'x' количества дней.
• Конфигурация нового набора сигнатур (New Signature Se t Configuration) - эта опция позволяет вам задавать стандартную политику ответа для новых сигнатур. Параметры по умолчанию, как правило, являются самыми лучшими, в данном случае это Стандартная политика от Microsoft (рекомендуется) (Microsoft default policy (recommended)). Я напишу статью о NIS в будущем, в которой будет более подробно рассказано о сигнатурах NIS и политиках ответа.

Нажмите Далее.

На странице обратной связи с потребителями Customer Feedback у вас есть возможность присоединиться к программе по улучшению качества программного обеспечения (Microsoft Customer Experience Improvement Program). Я настоятельно рекомендую вам принять участие в этой программе. Она позволяет специалистам компании Microsoft узнавать, как вы используете TMG брандмауэр, и помогает им концентрировать свои силы на создании продуктов более хорошего качества, основываясь на практике использования брандмауэра потребителями. В этом примере я выберу опцию Да, я хочу анонимно участвовать в программе по улучшению качества ПО (Yes, I am willing to participate anonymously in the Customer Experience Improvement Program) и нажму Далее.

На странице Служба отчетов телеметрии (Microsoft Telemetry Reporting Service) вы можете помочь компании Microsoft и другим владельцам брандмауэров TMG путем предоставления информации о вредоносных программах и прочих атаках на вашу сеть компании Microsoft. Если у вас нет веских причин отказаться от участия, настоятельно рекомендую вам выбрать опцию Подробная информация (Advanced). Это делает компонент защиты от вредоносного ПО более эффективным и делает сети всех прочих компаний более надежными. Однако когда вы выбираете опцию «Подробная информация», помимо основной информации, отправляемой в Microsoft, информация о потенциальных угрозах отправляется в более подробной форме, включая примеры трафика и полные строки URL адресов. Дополнительная информация позволяет специалистам компании Microsoft более тщательно анализировать угрозы и принимать меры по их устранению.

В этом примере мы выберем опцию Подробная информация и нажмем Далее.

Это был «долгий» мастер! На последней странице мастера Completing the Deployment Wizard прочтите информацию о выборе конфигураций, сделанных вами, и убедитесь, что все правильно, а затем нажмите Далее.

На данном этапе мы, кажется, зашли в тупик. Как говорилось ранее, мне кажется, что проблема заключается в том, что брандмауэр TMG не может разрешать имена, которые ему нужны для подключения к узлам в интернете, необходимым для загрузки обновлений для компонентов защиты от вредоносного кода и сервисов NIS. Это проблема, связанная с тем, что вам нельзя включать адрес внешнего DNS сервера ни в один из интерфейсов брандмауэра TMG ' но во время установки, это может потребоваться. Однако это также может вызывать проблемы с взаимодействиями с Active Directory. Проблему можно решить позже, создав правило доступа, которое будет разрешать внутренним серверам DNS доступ к интернету, тип доступа зависит от того, как вы настроите свои внутренние DNS серверы на разрешение имен узлов интернета ' либо через рекурсию, либо через пересылки.

Итак, мы завершили работу с мастером Getting Started Wizard. В нижней части страницы будет сказано, что Вы успешно выполнили все шаги мастера Getting Started Wizard. Теперь вы можете определить политику веб доступа для своей организации. (You have successfully completed all the steps of the Getting Started Wizard. You are now ready to define Web Access policy for your organization). Для администраторов брандмауэра ISA функция политики веб доступа может быть немного запутанной, поскольку эта политика создает правила доступа и группирует их в политику веб доступа.

Так как же все прошло? Думаю, что после установки брандмауэра закладка Оповещения (Alerts) будет пустой и приятной, и скажет мне лишь о том, что службы запущены и что жизнь прекрасна ' у меня еще будет масса времени, чтобы повозиться с настройками. Каков результат?

Ой. Что это? Нет сопоставителей конечных точек, но я еще и не пыталась сопоставлять конечную точку, даже если бы я и пыталась, я бы все равно не знала, какую конечную точку нужно сопоставлять. Я иногда сталкиваюсь с проблемами, связанными с разрешением имен, поэтому, возможно, проблема DNS, о которой говорилось выше, как раз связана с этим. Проблема с проверкой на вредоносное ПО почти наверняка связана с проблемой DNS, поэтому она меня не слишком беспокоит. Давайте перезагрузим брандмауэр и посмотрим, что произойдет.

Так немного лучше. Уведомление Обнаружен конфликт фильтра WFP (WFP Filter Conflict Detected) является «нормальным» уведомлением, то есть его можно игнорировать. Не знаю, почему уведомление Компонент проверки на вредоносный код в настоящий момент недоступен (Malware Inspection Currently Unavailable) все еще отображается, возможно, это связано с тем, что машина не работала достаточно долго, чтобы загрузить обновления.

Заключение

В предыдущих двух частях этого цикла мы рассмотрели процесс установки брандмауэра TMG. В первой части цикла мы видели процесс, очень схожий с процессом установки брандмауэра ISA. Однако во второй части мы познакомились с мастером Getting Started Wizard, который является новым компонентом TMG. Мы рассмотрели три дополнительных мастера, которые включены в Getting Started Wizard, и успешно завершили процесс установки брандмауэра TMG.

Это было весело! Что делать дальше? Думаю, будет интересно установить компонент защиты электронной почты, поскольку защита электронной почты является основным сценарием использования TMG. Конечно, это означает, что мне нужно будет установить и запустить Exchange 2010, но мне сказали, что установка сервера Exchange 2010 немного проще, чем установка и настройка Exchange 2007, поэтому, думаю, стоит попробовать.