Explicarea modului de blocare a liniei firewall din Microsoft

Deci, să începem

Înainte de a începe citirea acestui articol, rețineți că Microsoft Forefront TMG (amenințare Management Gateway) este încă în versiunea beta, și orice se poate schimba în versiunea finală a Microsoft Forefront TMG.

Următoarea întrebare pe care o puteți pune este: De ce este echipat ISA / TMG cu o funcție de blocare a firewall-ului? Nu împiedică performanța?

Nu, nu. Funcția critică a TMG este de a răspunde atacurilor. Dacă există un atac, jurnalele TMG va fi completat și umplut și umplut, necesită doar o perioadă scurtă de timp după TMG va suprascrie revistele mai vechi, și dacă analizați atac după ce este finalizată, nu veți găsi nici o informație în jurnalul de evenimente (log) din directivă atacuri. Aceasta și alte situații reprezintă motivul pentru care TMG este pornit în modul de blocare a firewall-ului atunci când logarea este întreruptă, cu excepția noii funcții de coadă de jurnal.

Forefront TMG încearcă să combine necesitatea ca un server TMG ne-conectat să se conecteze la Internet în timpul eșecurilor jurnalului, necesitând ca administratorii TMG să administreze de la distanță aparatul pe o rețea locală de încredere (LAN).

Când Forefront TMG intră în modul de blocare, apar următoarele:

  • Evenimentul declanșează un avertisment pentru a dezactiva serviciul de firewall. Puteți specifica alte acțiuni atunci când TMG nu poate scrie jurnalele la destinație.
  • Dezactivarea paravanului de protecție este înregistrată în secțiunea de avertizare din caracteristica de monitorizare Microsoft Forefront TMG.

Când TMG funcționează în modul de blocare, sunt utilizate următoarele funcții:

FWENG.SYS (driverul de filtrare a modului kernel) se aplică politicii firewall-ului.

Traficul de ieșire din rețeaua LOCAL HOST către toate rețelele este permis.

Următoarele reguli de politică de sistem permit traficul de intrare în rețeaua LOCAL HOST dacă administratorul TMG nu a dezactivat-o:

  • Permiteți gestionarea la distanță de la computerele selectate utilizând MMC.
  • Permiteți gestionarea la distanță de la calculatoarele selectate utilizând Terminal Server.
  • Permiteți răspunsurile DHCP de la serverele DHCP la Forefront TMG.
  • Permiteți solicitările ICMP (PING) de la calculatoarele selectate din Forefront TMG.
  • Clienții VPN cu acces de la distanță nu pot accesa Forefront TMG. De asemenea, accesul nu este acordat rețelelor de site-uri de la distanță în scripturile de site-uri către site-ul VPN.

DHCP (Dynamic Host Configuration Protocol) este întotdeauna activat. Solicitările DHCP pentru portul 67 UDP sunt permise din rețeaua LOCAL HOST către toate rețelele, precum și răspunsurile DHCP către portul UDP 68.

Orice modificări la această configurație de rețea efectuate în modul de blocare se aplică numai după ce serviciul de firewall este repornit și Forefront TMG iese din modul de blocare. Forefront TMG nu generează avertismente.

Ieșiți din modul de blocare

Ieșirea din modul de blocare a firewall-ului este simplă. Trebuie doar să reporniți serviciul de firewall. Aceasta elimină automat firewall-ul din modul de blocare și returnează TMG-ul în starea normală de funcționare. Orice modificări la configurația Forefront TMG sunt aplicate după ce iese din modul de blocare.

Cozile mari de exploatare

LLQ (Large Logging Queue) - o caracteristică nouă în Microsoft Forefront TMG, care ajută la reducerea numărului de ori, atunci când TMG intră în modul Lockdown Firewall din cauza eșecurilor de logare. LLQ este un director local pe server jurnalele TMG Server, care este folosit pentru a salva intrările jurnal TMG când TMG nu le poate arde la directorul de destinație „, în versiunea de SQL Server Express în mod implicit.

LLQ conține două componente principale care funcționează în modul Kernel cu TMG (FWENG.SYS) și în modul User (User (Dispatcher)). Procesul în modul de utilizator citește numai date de pe hard disk, iar în modul Kernel procesul Fweng scrie pe unitatea hard disk.

Următoarea diagramă prezintă componentele utilizate de funcția Coadă mare de înregistrare.

Explicarea modului de blocare a liniei firewall din Microsoft

LLG este stocat în memoria RAM și pe hard disk. Dacă dispecerul (componenta de citire) nu vede întârzieri în înregistrările jurnalului, datele jurnalului vor fi înscrise direct în baza de date a jurnalului. Puteți ajusta lungimea și cantitatea de date care pot fi stocate în registrul sistemului. Există două intrări configurabile de registry:

Notă. Microsoft în mod deschis nu recomandă modificarea acestor setări fără a aplica suportul Microsoft PSS!

Aveți posibilitatea să configurați folderul Jurnal de coadă de jurnal în consola TMG Management din fila Jurnale și rapoarte Rapoarte). Puteți utiliza dosarul Standard din directorul de instalare a TMG sau din alt director de pe serverul TMG. Dacă utilizați propriul dosar, acesta trebuie să existe înainte de a schimba directorul LLQ de-a lungul acestei căi.

Explicarea modului de blocare a liniei firewall din Microsoft

Figura 2: Dosarul de stocare a cofrării jurnalului

În aceeași filă a consolei TMG Management, puteți vizualiza starea jurnalelor LLQ. Coada de jurnale trebuie să fie goală atunci când logarea este efectuată corect.

Explicarea modului de blocare a liniei firewall din Microsoft

Figura 3: Afișarea coadă jurnal Forefront TMG

Întreținerea fișierelor jurnal

În timpul unui atac la serverul dvs. TMG sau la o rețea internă, numărul de intrări din jurnale este crescut semnificativ, de aici începe problema. În cazul în care logarea serverului TMG Server nu reușește, se generează un mesaj standard de eroare a jurnalului, care dezactivează serviciul Microsoft TMG firewall și intră în modul de blocare a serverului TMG. Acest comportament este un excelent punct de plecare pentru atacurile de tip Denial of Service (DoS).

Pentru a reduce riscul potențial de încălcare a jurnalului, puteți optimiza sistemul în mai multe locuri:

  • Utilizați Disk Defragmenter pentru a optimiza accesul la citire și pentru a scrie accesul pe hard disk
  • Utilizați un sistem rapid și fiabil
  • Optimizați datele jurnalului
  • Ar trebui să știți pentru ce norme de firewall activați serviciul de logare
  • De asemenea, trebuie să înțelegeți ce câmpuri SQL trebuie să vă înregistrați în jurnale. Puteți configura câmpurile de jurnalizare în proprietățile de înregistrare din paravanul de protecție (vedeți Figura 4 pentru mai multe informații)
  • Creați o regulă negativă cu dezactivarea înregistrării, care elimină traficul inutil, cum ar fi NetBIOS și DHCP, care populare fișierele jurnal cu această informație inutilă
  • Configurați folderele firewall și Web proxy server pe discuri diferite.
  • Dacă utilizați serviciul SQL Logging, schimbați dimensiunea creșterii fișierului sau procentul creșterii fișierului pentru baza de date a jurnalului.

Următoarea ilustrație arată proprietățile serviciului de autentificare firewall:

Explicarea modului de blocare a liniei firewall din Microsoft

Figura 4: Serviciul de logare SQL Express

Reducerea riscului de susceptibilitate la atacuri de avalanșă

Notificări jurnal TMG

În fila Monitorizare din Consola de administrare TMG, puteți configura setările de notificare pentru toate notificările TMG și, în acest caz, pentru eșecul jurnalului. În fila acțiuni de notificare, puteți opri serviciul de firewall. Aceasta este setarea implicită în Microsoft Forefront TMG.

Explicarea modului de blocare a liniei firewall din Microsoft

Figura 5: Acțiuni de eroare jurnal TMG Forefront

Simularea erorilor jurnalului

Pentru a simula o eroare de jurnal, trebuie doar să opriți serviciul Microsoft SQL Server Express și după ce se oprește, puteți vedea că serviciul de firewall al Microsoft Firewall este încă în desfășurare.

Explicarea modului de blocare a liniei firewall din Microsoft

Figura 6: Logarea SQL Server Express sa oprit

Dacă mergeți la filele jurnalelor și rapoartelor pentru a vedea starea LLQ, veți vedea care dintre jurnalele sunt completate în mod continuu.

Explicarea modului de blocare a liniei firewall din Microsoft

Figura 7: Starea cozii de coadă de jurnal este completă

Opțiunea de notificare standard, care inițiază utilizarea Jurnalului de coadă, este de a înregistra un raport despre acest lucru în jurnalul de evenimente Windows. Trebuie să creați un trigger de eveniment sau ceva similar care vă va trimite o notificare despre utilizarea LLQ.

Explicarea modului de blocare a liniei firewall din Microsoft

Figura 8: Notificări pentru coada jurnalului

concluzie

În acest articol, am încercat să vă dau o prezentare generală a noilor caracteristici coadă Microsoft Forefront TMG busteni, astfel încât să puteți evita sau cel puțin a minimiza situațiile în care firewall-ul intră în modul de blocare în timpul întreruperii exploatării forestiere. De asemenea, v-am prezentat o imagine de ansamblu a mecanismului de înregistrare în Forefront TMG și cum să configurați și să lucrați cu coada de jurnal în Microsoft Forefront TMG.

Articole similare