Nu atât de mult timp în urmă a venit la lumină un Forefront utilitar foarte util TMG Cele mai bune practici Analyzer (TMGBPA). Cu ajutorul vă puteți explora Forefront TMG server pentru vulnerabilități, probleme de performanță, și setările de server. Utilitarul verifică Forefront configurația serverului TMG și produce un raport, care descrie observațiile potențiale probleme.
Am observat că în TMGBPA sunt două utilități:
TMG date Packager - permite pachet de informații de diagnosticare de la Forefront TMG într-un fișier .cab pentru a trimite-l la Microsoft Technical Support
BPA2Visio - MS Visio creează o vedere topologie setichki Forefront TMG server. Cu toate acestea, pentru că acest instrument necesită un Visio instalat, este rezonabil să se utilizeze acest utilitar de pe un alt calculator din rețea, mai degrabă decât instalarea Visio pe Forefront TMG server.
Dacă vrem să vedem de fiecare dată când TMGBPA începe verificarea pentru actualizări care alege Da.
Daleemy poate alege dacă vom participa la Programul de îmbunătățire a experienței clienților polzovatskoy sau nu ...
Așteptați pentru a verifica pentru actualizări
Să ne dea un nume ușor de reținut pentru o nouă scanare, introduceți numele de controler de domeniu și selectați Sarcini «stării de sănătate» (Verificați starea de „sănătate“ a serverului)
Așteptați scanarea de închidere
Scaneaza poate fi programată
În prezent, toate - înainte de întâlnire.
În acest scop (și nu numai pentru acest lucru) există Forefront TMG Client, instalat pe calculatoarele client.
După cum puteți vedea, clientul poate fi configurat, cum să încerce să descopere Forefront TMG server:
Pentru a crea o înregistrare AD este utilizat de utilitate TmgAdConfig
Pentru a elimina designul utilizat ca aceasta
Cu toate acestea, la începutul Forefront TMG server trebuie să fie configurat ca un WPAD (Web Proxy Auto-Discovery Protocol) server. Pentru a face acest lucru, deschideți Forefront consola TMG, selectați fila «Networking», apoi alege rețeaua pe care clienții trebuie să asculte solicitările WPAD (aceasta este rețeaua noastră internă) și specificați portul pe care serverul trebuie să asculte de solicitări din partea clienților.
Rețineți că, dacă ne propunem să utilizeze un server DNS pentru descoperirea Forefront TMG server, este necesar să se utilizeze numai portul 80, pentru că, spre deosebire de detectarea prin intermediul unui server DHCP nu este posibil să specificați portul de ascultare.
Deci, deschideți DNS de completare snap-in și numele autorizația expresă a zonei pentru domeniul nostru va crea un alias pentru Forefront serverul nostru TMG.
Dar, mai flexibilă și detectarea rapidă a unui server TMG Forefront prin serverul DHCP.
Ca urmare a acțiunilor de mai sus au o nouă opțiune apare în opțiunile DHCP standard de
Cu aceasta, și trebuie să configurați zona server DHCP corespunzătoare.
Când configurați clientul trimite un mesaj DHCPINFORM, ca răspuns la care serverul DHCP trimite conținutul opțiunii WPAD.
În cazul în care nici un client utilizează răspuns DNS.
În prezent, asta e tot.
Desigur, dorim să creăm o regulă care va fi responsabil pentru blocarea conținut nesigur!
Putem extinde lista de resurse pentru care doriți să le blocheze accesul.
Aranjați acces la un anumit grup de utilizatori de internet. Noi numim acest set de utilizatori AllowAccess.
Se permite accesul la membrii grupului de utilizatori autentificați.
Mai mult subliniază faptul că este necesar să se verifice datele primite de pe internet. În acest caz, putem specifica dacă pentru a bloca încărcarea de arhive criptate.
Puteți inspecta conexiune securizată HTTPS atunci când este necesar. Avem următoarele opțiuni:
- Controlați traficul HTTPS și validează SSL-certificatul este un web-site-
- Nu inspecta traficul HTTPS, dar validează certificatul-web-site-ul SSL. Bloca accesul la site prin intermediul HTTPS, în cazul în care certificatul nu este valabil.
- Nu inspecta traficul HTTPS, și nu verifică SSL certificat de web-site-ului. Permite accesul la acest site prin HTTPS.
Ei bine, nu vă puteți permite utilizatorilor să stabilească o conexiune HTTPS la toate ...
Atunci când este instalat la utilizator Forefront TMG Clientul are capacitatea de a notifica polzovatley pentru a scana conexiune HTTPS.
Pentru a efectua verificarea conexiune HTTPS poate fi utilizat ca un certificat de Fruntea generat automat TMG, și o alternativă, stabilită de către administrator.
Este posibil de a alege modul în care se instalează certificatul pe calculatoarele client - fie automat, fie manual.
Ei bine, ultima cifră arată cum puteți seta cantitatea de spațiu pe disc alocat pentru caching de pagini web.
Înainte de instalare, executați pregătirea de instalare de utilitate (Instrument de preparare)
În cursul activității sale vor fi instalate rolurile de server sunt necesare pentru funcționarea normală a Forefront TMG:
- Accesul la rețea și servicii de politică
- Rutare și acces la distanță Servicii
- Active Directory Lightweight Directory Services
- Network Load Balancing
De asemenea, este necesar .NET 3.5 SP1 Framework, Microsoft Windows Installer 4.5
Precizați care adaptorul de rețea este conectată la rețeaua locală
Specifică dacă operațiunea de configurare este de așteptat Forefront TMG
Figura prezintă configurația cea mai comună într-un singur firewall care protejează rețelele de întreprindere.
Opțiunea 3-Leg perimetrul este inactiv, deoarece acest server are doar două adaptoare de rețea. Înapoi firewall-ul ar trebui să fie ales în cazul în care rolul de front-end firewall efectuează alt dispozitiv de securitate (de exemplu, Cisco, CheckPoint ...) nu are nici un sens pentru a utiliza un dispozitiv de sursă unică de a organiza și back-end, iar firewall-ul front-end ca în cazul compromiterii un atacator dispozitiv nu va fi dificil sa se crape, iar a doua ... Ei bine, ultima configurație variantă malofunktsionalen foarte discutabilă din punct de vedere al securității.
Specifică configurația adaptorului de rețea, conectat la rețeaua locală. Apoi, puteți specifica rute suplimentare la alte subretele.
Apoi - setarea adaptorului de rețea extern
În această configurație a setărilor de rețea este terminat - continuați cu setările sistemului.
Acum specificați parametrii de implementare TMG Forefront.
Include utilizarea serviciului Windows Update
Conexiuni Turn de verificare serviciu de rețea (NIS), inspecția traficului web și filtrare URL
Specificați cât de des actualizarea va fi pentru semnături NIS
Data viitoare privire la modul în care utilizatorii Enterprise pentru a permite accesul la Internet, configurați filtrare URL, scanare de trafic pentru malware-ului, configurarea web caching și așa mai departe.
Deci, am scris că ISA Server în trecut - el a fost înlocuit de Fruntea Treat Management Gateway (TMG) - poarta de acces integrat la lumea exterioară, care este proiectat pentru a proteja rețeaua corporate împotriva amenințărilor externe.
Luați în considerare ceea ce a adus noul TMG:
Dar novovedeny mai conceptual aș numi apariția de servicii de abonament pentru actualizări de semnături antivirus pentru modulele de scanare HTTP-trafic, URL-filtrare, mesaje e-mail, anti-spam și module de atac de semnături pentru NIS. Aceste servicii plătite, dar fără antivirus, actualizări anti-spam sunt inutile, iar acum Microsoft oferă utilizarea deja 5 motoare antivirus simultan! Același lucru este valabil și pentru MRS - există, de asemenea, utilizat de către mai mulți furnizori.
Rezumând, putem spune că revoluția nu sa întâmplat - dar dacă era necesar? Produsul a devenit mai stabil, productiv, și-a găsit o nouă funcție mult așteptată și dorită, și trebuie să-l folosească numai!