Установка и настройка решений почтовой гигиены на брандмауэре TMG 2010 Firewall – часть 1: Установка

Вы, возможно, не знали, но брандмауэр TMG был создан в качестве полномасштабного решения пограничной гигиены почты в вашей сети. Можно установить пограничный сервер Exchange Edge на брандмауэр TMG, чтобы получить функции управления электронной почтой, включенные в решение Exchange Edge, или же вы можете установить Microsoft Forefront Protection для Exchange на TMG. Сочетание Exchange Edge и Forefront Protection для Exchange является мощным средством защиты от спама, вредоносного кода и утечки информации для вашей организации.

В ранние дни бета версии брандмауэра TMG, когда он был всего искоркой в глазах сервера ISA Server, функции Exchange и Forefront Protection были встроены непосредственно в установщик. Со временем все меняется – особенно для бета версий – и теперь мы видим, что уже не так просто установить решение почтовой гигиены, как во времена бета версии продукта. Не то чтобы это было крайне сложно сделать, но все же не так просто.

Некоторые стараются быть готовыми, другие же предпочитают начинать установку без предварительного тщательного ознакомления с документами. Конечно, можно сначала прочитать документы и заставить все работать, но, на мой взгляд, опыт установки должен иметь некий элемент приключений. Многие ИТ специалисты также считают, что при приобретении продукта с ним в комплекте должен идти полный и интуитивно понятный установщик. В любом случае, дружественный для пользователя и специалиста установщик является одним из преимуществ, которое выделяет решения компании Microsoft среди решений прочих производителей.

Итак, в защиту тех, кто предпочитает подход RTFMLIAA ('read the freaking manual later, if at all – да, прочту эту треклятую инструкцию позже, если вообще прочту), давайте начнем и посмотрим, получиться ли у нас продолжить с того места, на котором мы остановились в предыдущей статье. В той статье мы завершили установку TMG Enterprise Edition на сервер Windows Server 2008 R2, оснащенный двумя сетевыми картами. Теперь нашей следующей задачей будет заставить функции защиты электронной почты работать.

Сначала я хотела снова запустить программу установщика TMG и посмотреть, сработает ли это. Как видно из рисунка 1, внизу под разделом 'Дополнительные опции (Additional Options)', есть опция Установить Install Microsoft Forefront Protection 2010 для Exchange Server (Install Microsoft Forefront Protection 2010 for Exchange Server). Отличное начало, давайте выберем эту опцию (да, вы конечно можете игнорировать, в целях идеального приключения, те рекомендации к прочтению руководства по установке и примечания к выпуску).

Далее открывается страница Лицензионное соглашение (License Agreement). Вы знаете, что здесь от вас требуется, если вы не хотите, чтобы процесс установки завис навсегда, поэтому отмечаем опцию Я принимаю условия лицензионного соглашения и нажимаем Далее.

Да, похоже, что установка все равно затянется. На странице требуемых системных обновлений System updates required у нас появляется следующее сообщение, как показано на рисунке 3:

Никаких серверных приложений, нуждающихся в защите, не обнаружено. Чистая клиентская установка в настоящее время не поддерживается ('No protectable server applications were detected. Client-only installation is not currently supported')

Что это значит? 'Никаких серверных приложений, нуждающихся в защите не обнаружено'? Хм-м-м. Может это значит Exchange Server? Я знаю, что это «серверное приложение», и оно связано с тем, что я хочу сделать. Я подумала о том, чтобы перейти по ссылке, имеющейся в информационном окне, но поскольку я еще не установила брандмауэр для разрешения интернет-доступа, мне пришлось пойти к другой машине, чтобы перейти по этому адресу URL.

После нажатия Далее диалоговое окно говорит мне Обновить систему, чтобы она отвечала требованиям установки (Upd ate your system so that it meets the installation prerequisites) (рисунок 4). OK, мальчики и/или девочки, писавшие этот диалог: как на счет того, чтобы просто сказать нам, что нам нужно установить службы Exchange Edge вместо того, чтобы использовать эти зашифрованные намеки?

Я поискала свой установочный диск с Exchange 2010 и наконец, нашла его в большой куче дисков DVD, которые все собираюсь разложить в алфавитном порядке. Не имея опыта установки Exchange 2010, мне было интересно, насколько сложен будет этот процесс. Открылось диалоговое окно установщика и показало мне ряд опций. Кажется, первая опция, с которой нам нужно разобраться, это Шаг 3: Выбор языка Exchange (Step 3: Choose Exchange language), рисунок 5. Нажатие на списке разворачивает его и спрашивает, хочу ли я установить языки с диска или дополнительные языки. Поскольку я не собираюсь использовать другие языки, я сказала мастеру установить языки, уже имеющиеся на DVD.

После выбора опций ничего не произошло. Я не уверена, должна ли я увидеть какую-то активность или нет, однако ничего не произошло, кажется, нужно просто нажать Шаг 4: Установить Microsoft Exchange (Step 4: Install Microsoft Exchange), как показано на рисунке 6, что я собственно и сделала.

Хорошо! На этот раз что-то начало происходить: появилась страница Exchange Server 2010 Setup Introduction, как показано на рисунке 7. После прочтения небольшого блока рекламы и списка предстоящих шагов в левой панели (утешенная мыслью о том, что ни один из этих шагов не представляет особых трудностей), я нажала Далее.

На странице Лицензионное соглашение , рисунок 8, я выбрала опцию Я принимаю условия лицензионного соглашения и нажала Далее.

На странице Отчеты об ошибках (Error Reporting), показанной на рисунке 9, мастер задает вопрос о том, хотим ли мы сделать продукт лучше, разрешив приложениям отправлять отчеты об ошибках компании Microsoft. Это неплохая мысль, поскольку, чем лучше продукт, тем легче моя жизнь. Идем далее и выбираем опцию Да (Рекомендуется), затем нажимаем Далее.

На странице выбора типа установки Installation Type, рисунок 10, у нас есть две опции:

• Типичная установка - Typical Exchange Server Installation ' эта опция устанавливает несколько ролей сервера Exchange Server на одну машину. К этим ролям относится Hub Transport, Client access, Mailbox и Exchange Management Tools. Это самая распространенная опция, но нам она не подходит.
• Выборочная установка - Custom Exchange Server Installation ' эта опция позволяет вам выбирать, какие роли сервера Exchange Server установить на эту машину. Поскольку нам нужна лишь роль Exchange Edge на брандмауэре TMG, мы выберем эту опцию.

Выбираем опцию пользовательской установки Custom Exchange Server Installation и нажимаем Далее.

На странице Выбор роли сервера (Server Role Selection), показанной на рисунке 11, отмечаем флаг Роль пограничного транспортного сервера - Edge Transport Role. Итак, пока что все было очень просто. Будем надеяться, что и дальше так пойдет. Нажимаем Далее.

На странице Программа по улучшению качества ПО (Customer Experience Improvement Program), рисунок 12, нас спросят, хотим ли мы участвовать в этой программе. А кто не хочет более качественное ПО? Это не вызывает вопросов. Я выбрала опцию Участвовать в программе по улучшению качества ПО (Join the Exchange Customer Experience Improvement Program (CEIP)). Обратите внимание на то, что если вы в будущем по каким-то причинам не захотите участвовать в этой программе, вы всегда сможете из нее выйти.

На странице проверки готовности Readiness Checks, как показано на рисунке 13, вам ничего не остается кроме как наблюдать за тем, как машина проверяет готовность к установке роли сервера Exchange Edge. Здесь от вас не требуется никаких решений.

После проверки системы кнопка Установить (Install) станет активной, как показано на рисунке 14, и вы можете нажать на нее для начала процесса установки.

Далее идет шкала прогресса, рисунок 15, которая показывает вам список шагов, выполняемых по мере установки Exchange. Кажется, для установки нужно многое сделать, и хотя это, на первый взгляд, довольно длинный список, процесс установки занимает всего пару минут.

Возможно, вам интересно, сколько точно времени у меня занял процесс установки. Он занял всего 4 минуты и 34 секунды. Конечно, это время может варьироваться в зависимости от вашего аппаратного оборудования и выбранных компонентов установки. В моем случае установка была успешной и появилась опция с флагом Завершить установку с помощью консоли управления ЕМС (Finalize this installation using the Exchange Management Console), как показано на рисунке 16. Я не была уверена, что мне с этим делать; из того, что я поняла, весь процесс настройки и управления ролью сервера Exchange Edge должен осуществляться из консоли брандмауэра TMG. Однако, будучи человеком, любящим приключения во время установки, я решила оставить флажок для этой опции и посмотреть, как выглядит консоль.

Вот она, на рисунке 17: консоль управления Exchange 2010 Management Console. Выглядит довольно интересно (и, возможно, более интересна администраторам Exchange). Однако я администратор брандмауэра TMG, и я не собираюсь возиться с ней слишком долго, если на то нет необходимости. Итак, я закрываю консоль управления Exchange Management Console и возвращаюсь обратно к установщику TMG.

После закрытия консоли я заметила, что установщик Exchange все еще продолжал работать, поэтому я снова просмотрела все опции и заметила, что опция Шаг 5: Получите критические обновления для Microsoft Exchange (Step 5: Get critical updates for Microsoft Exchange) все еще была доступна (рисунок 18). Критические обновления всегда полезны, поэтому давайте выберем эту опцию.

Ой. Жуткое красное сообщение об ошибке (рисунок 19) выскочило и сообщило мне, что Windows не может искать обновления (Windows could not search for new updates). Для возникновения такой ошибки может быть много причин. Самой вероятной причиной в моем случае было то, что исходящий доступ еще не был настроен на моем брандмауэре, а это относится и к исходящему доступу с самого брандмауэра. Не проблема; мы позаботимся об этом позже. А сейчас нам нужно установить компонент гигиены электронной почты, поэтому продолжим установку без этих обновлений (но не забудьте сделать это позже).

Теперь вернемся к установщику TMG. Нажимаем на ссылку Install Microsoft Forefront Protection 2010 for Exchange Server, показанную на рисунке 20.

На странице Лицензионное соглашение, рисунок 21, ставим флажок для опции Я принимаю условия лицензионного соглашения и нажимаем Далее. На данном этапе вас может охватить странное чувство дэжавю. Кажется, мы уже были здесь?

Далее идет страница перезапуска служб Service Restart, рисунок 22. Обратите внимание, что установщику нужно будет остановить и перезапустить службу Microsoft Exchange Transport. Никаких проблем, мы ведь ее еще не используем. Нажимаем Далее.

На странице папки установки Installation Folders, как показано на рисунке 23, вы можете выбрать место для Программной папки (Program folder) и Папки с данными (Data folder). Папка с данными будет содержать такие вещи, как файлы, помещенные в карантин и архивные файлы. Лучшие методики, скорее всего, порекомендуют располагать файлы данных на отдельном разделе физического диска, но я не знаю ни о каких жестких и строгих правилах на этот счет. Я оставлю умолчания и нажму Далее.

Механизм защиты от спама для Forefront Protection for Exchange загружает обновления дефиниций независимо от остальных механизмов и обновлений дефиниций, используемых брандмауэром TMG. Эти обновления осуществляются по HTTPS, поэтому если у вас есть прокси-сервер перед брандмауэром TMG, вам нужно будет ввести информацию по нему в диалоговом окне, показанное на рисунке 24. В данном примере у нас нет прокси-сервера перед брандмауэром, поэтому мы нажимаем Далее.

На странице Настройка антиспама (Antispam Configuration), рисунок 25, можно включить эту функцию сейчас или позже. Это слегка вводит в заблуждение, так как если мы скажем установщику включить защиту от спама сейчас, она не будет включена автоматически в консоли брандмауэра TMG, как мы увидим позже. Однако полагаю, что если мы не включим ее сейчас в этом диалоге, нам придется ее включить позже в другом месте ' а это означает, что нам придется сначала найти эту опцию! Давайте лучше включим ее здесь. Нажимаем Далее.

Примечание: только FYI, функции FPE защиты от спама работает совместно с функциями антиспама Exchange Edge ' и использует технологию Cloudmarkantispam в своей работе.

Просто на тот случай, если вы ранее приняли неверное решение, здесь у нас снова появляется возможность принять участие в программе по улучшению качества ПО. Отмечаем опцию Join the Customer Experience Improvement Program, как показано на рисунке 26, и нажимаем Далее.

Подтверждаем выбранные опции на странице подтверждения параметров Confirm Se ttings. Советую просмотреть эту информацию, поскольку она содержит некоторые интересные моменты ' а некоторая ее часть довольно запутанная. Например, если вы посмотрите на рисунок 27 ниже, вы увидите подробные инструкции, как немедленно включить обновления механизмов защиты. Это немного запутанно, поскольку не совсем ясно, предназначены ли эти инструкции только для пользователей FPE, или и для пользователей TMG+FPE. На данном этапе, думаю, мы преспокойно можем дождаться окончания установки и затем перейти в консоль брандмауэра TMG, и посмотреть, есть ли там какие-то намеки на то, что нам делать далее.

Жмем Далее.

Во время установки брандмауэра откроется диалоговое окно, как показано на рисунке 28.

На странице результатов установки Installation results, рисунок 29, мы видим, что процесс установки прошел успешно. Здесь есть опция запуска программы установки Launch the Forefront Online Protection for Exchange Gateway installation program. Это интересная опция, поскольку она относится к FOPE продукту. Если вы не слышали о FOPE, это решение на основе компьютерного облака по обеспечению защиты от спама, вредоносного ПО и соответствия требованиям политики электронной почты. Том работал с этим решением довольно долго и рассказывал мне о нем замечательные вещи. Неясным здесь является то, зачем нам использовать FOPE вместе с решением почтовой гигиены на базе TMG, так как они практически дублируют друг друга. Хотя FOPE – это отличное решение, мы уже вложили средства в брандмауэр TMG, и поэтому нас не особо интересует возможность дополнительного вложения денег в дублирующие решения ' однако, я рассмотрю это более подробно и сообщу вам результаты своих исследований, в каких сценариях можно параллельно использовать эти решения.

А пока, нажимаем Готово.

Теперь давайте посмотрим результаты наших усилий. Открываем консоль TMG Firewall console и выбираем узел E-Mail Policy в левой панели консоли, как показано на рисунке 30. В средней панели переходим в закладку E-Mail Policy. Здесь мы видим примечание, предлагающее включить защиту от угроз электронной почты; нажимаем Настроить политику электронной почты (Configure E-mail Policy). Это мне говорит о том, что с нажатием кнопки 'Finish' наша работа не закончена. Установка завершена, однако нам еще предстоят некоторые задачи настройки. Итак, двигаемся далее.

Переходим в закладку Фильтрация спама (Spam Filtering) в средней панели, чтобы вызвать диалоговое окно, как показано на рисунке 31. Здесь мы видим ряд опций фильтрации спама, многие из которых выглядят так, как будто они непосредственно связаны с тем, что предлагает Exchange Edge. Очень мило! Однако оказывается, что параметры фильтрации спама еще Отключены (Disabled). Не беспокойтесь; мы включим их - в следующей части.

А пока, в закладке Фильтрация вирусов и содержимого (Virus and Content Filtering) в средней панели консоли, рисунок 32, мы видим ряд опций, связанных с FPE компонентом решения гигиены электронной почты. Обратите внимание, что на данном этапе опции Фильтрация содержимого (Content Filtering) и Фильтрация вирусов (Virus Filtering) Отключены (Disabled). С этим мы будем работать тоже в следующей части.

Заключение

В этой статье, а точнее в первой части нашего цикла статей об установке и настройке решения почтовой гигиены на базе брандмауэра TMG, мы установили Exchange Edge Server на TMG. После установки роли сервера Edge Server на брандмауэр мы воспользовались установщиком TMG для установки FPE. Установка прошла успешно и заняла немного времени. Однако нам еще предстоит выполнить ряд задач по настройке, прежде чем мы сможем воспользоваться решением. Во второй части мы настроим параметры в консоли управления TMG, а затем протестируем входящий и исходящий почтовый доступ, чтобы убедиться, что решение действительно работает.