Пару дней назад компания Microsoft выпустила версию Beta 2 продукта Microsoft Forefront TMG (Threat Management Gateway), который имеет множество новых замечательных функций.
В этой статье я покажу вам, как устанавливать необходимые компоненты перед установкой Forefront TMG. После успешной установки я покажу вам некоторые базовые задачи конфигурации.
Системные требования
Одним из наиболее важных изменений в Microsoft Forefront TMG является то, что его нужно устанавливать на Windows Server 2008 64-разрядной версии.
Другие изменения включают:
- 2 гигабайта (ГБ) или более памяти
- 2.5 ГБ свободного места на жестком диске. Это не включает место жесткого диска, который будет использоваться для кэширования или временного хранения файлов во время осмотра на наличие вредоносного ПО.
- Один сетевой адаптер, совместимый с ОС компьютера, для работы во внутренней сети.
- Дополнительный сетевой адаптер для каждой сети, подключенной к серверу Forefront TMG.
- Один раздел локального диска с файловой системой NTFS.
Компания Microsoft разбила новые функции на шесть разделов:
- Управление политикой сетевого доступа на внешней границе сети (брандмауэр)
- Защита пользователей от угроз веб обзора (защита веб клиента)
- Защита пользователей от угроз электронной почты (Защита Email)
- Защита компьютеров и серверов от попыток вторжения (NIS)
- Обеспечение удаленного доступа для пользователей к корпоративным ресурсам (VPN, Защищенная веб публикация)
- Упрощенное управление (Установка)
Установка
После загрузки исходных файлов установки, запустите процесс установки TMG путем нажатия кнопки Установить Forefront TMG.
Рисунок 1: Установка Forefront Threat Management Gateway
Прочтите и примите условия лицензионного соглашения и при необходимости предоставьте дополнительную информацию потребителя. Forefront TMG Beta 2 не требует ввода инсталляционного ключа продукта.
Следующим шагом будет выбор сценария установки. Для этой статьи мы выбрали кнопку Установить службы Install Forefront Threat Management Gateway. Если вы хотите установить только консоль управления TMG, выберите вторую кнопку. Третья опция предназначена для установки сервера управления (Management Server), который централизованно управляет несколькими TМG серверами в массиве.
Рисунок 2: Выбор сценария установки
Выберите компоненты установки и каталог, в который буду установлены исполняемые файлы TMG.
Рисунок 3: Выбор компонентов
Далее выберите диапазон IP адресов для внутренней сети. Лучшей методикой будет выбор диапазонов IP адресов с адаптера внутренней сети.
Рисунок 4: Указание диапазона адресов внутренней сети
Выберите внутренний сетевой адаптер. В качестве лучшей методики я бы порекомендовал дать адаптерам в Network и Sharing Center на сервере Windows Server 2008 имена, отражающие функцию каждого сетевого адаптера.
Рисунок 5: Выбор сетевых адаптеров
Если следующие службы установлены на сервере, процесс установки TMG перезапустит эти службы во время установки.
Рисунок 6: Службы остановлены на время установки
В этой бета версии продукта TMG вам необходимо установить роль Microsoft Exchange Server 2007 Edge Server, прежде чем устанавливать TMG. Роль сервера Edge Server требуется серверу TMG Server для функций антиспама и SMTP маршрутизации.
Рисунок 7: Ошибка ‘ Exchange Edge не установлен
Отмените процесс установки TMG Server и запустите установку Exchange Server 2007 Edge с диска Exchange Server 2007 DVD.
Рисунок 8: Установка Exchange Server 2007 SP1
Выберите пользовательскую установку (Custom Exchange Server) и укажите путь к файлам установки Exchange Server 2007.
Рисунок 9: Пользовательская установка Exchange
Выберите роль Edge Transport Server Role.
Рисунок 10: Выбор роли Edge Server
Поскольку предыдущая установка находится в ожидании, нам нужно перезагрузить систему и перезапустить установку. Второе предупреждение можно пропустить, поскольку оно относится исключительно к моей тестовой среде.
Рисунок 11: Требуется перезапуск перед продолжением установки
Установка Exchange устанавливает файлы и роль Edge Transport Server.
Рисунок 12: Прогресс установки
Установка TMG займет некоторое время.
Рисунок 13: Установка компонентов
По окончании процесса установки TMG, нужно запустить консоль мастера Forefront TMG Management Wizard.
Рисунок 14: Установка завершена
Появится консоль Forefront TMG и запустится мастер Getting Started Wizard.
Рисунок 15: TMG ‘ Getting started Wizard
Начните с настройки сетевых параметров, выбрав сначала сетевой шаблон (Network Template), соответствующий вашей текущей сетевой среде.
Рисунок 16: Выбор топологии сети
Укажите адаптер для LAN интерфейса и при необходимости дополнительные сетевые маршруты.
Рисунок 17: Выбор сетевых адаптеров
Далее выберите WAN адаптер.
По окончании работы мастера настройки сети, запустите мастера настройки системы. Мастер запросит принадлежность к домену или рабочей группе и основной DNS суффикс. На мой взгляд, необходимо выполнить все требуемые настройки перед тем, как запускать мастера установки TMG.
Рисунок 18: Идентификация хоста
Далее мастер установки потребует указать параметры службы Microsoft Update.
Рисунок 19: Настройки обновления Windows
В качестве следующего шага необходимо указать параметры лицензии для системы осмотра сети (Network Inspection System - NIS), защиты Web и защиты E-Mail.
Рисунок 20: Активация лицензии
Для NIS вам нужно настроить такие традиционные параметры, как частота опроса (polling frequency) и политика ответа для новых сигнатур с центра реагирования Microsoft Response Center.
Рисунок 21: Параметры обновления NIS
В следующем диалоговом окне нужно указать параметры обратной связи с потребителями (Customer Feedback) и параметры службы телеметрии Microsoft Telemetry Service.
Мастер политики веб доступа
Политика веб доступа (Web Access Policy) позволяет создавать новые политики брандмауэра. Можно выбрать простую и пользовательскую конфигурацию.
Рисунок 22: Группы политики доступа
Запрещение или разрешение веб запросов.
Выберите группы доступа, которые разрешены в Forefront TMG для интернет доступа и выберите место назначения, к которому группы будут иметь доступ.
Если вы хотите активировать осмотр на вредоносное ПО (Malware inspection) для этого правила брандмауэра, выберите соответствующую кнопку.
Рисунок 23: Параметры осмотра на вредоносное ПО
Новой функцией в Forefront TMG является функция осмотра HTTPS, позволяющая осмотр исходящего HTTPS. Можно включить HTTPS осмотр во время работы мастера настройки политики веб доступа.
Укажите, хотите ли вы включить Веб кэширование (Web Caching). Если хотите записывать веб контент в кэш с помощью TMG, необходимо также указать диск КЭШа и размера КЭШа, а также некоторые другие параметры.
По окончании всех задач установки мастер закроется, и вам нужно будет сохранить все изменения конфигурации. Теперь можно использовать Forefront Threat Management для дополнительных задач.
Заключение
В этой статье я предоставил некоторую информацию о том, как устанавливать Microsoft Forefront TMG Beta 2 на Windows Server 2008. Процесс установки очень простой, однако в этой бета версии обязательным предварительным условием является установленная роль Exchange Server 2007 Edge. В последующих версиях это может измениться Forefront TMG.
Дополнительные ссылки