Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение. Для списка причин, по которым стоит использовать TMG клиент, читайте статью Тома Шиндера на www.ISAserver.org:
Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:
- уведомления HTTPS осмотра
- поддержку AD Marker
Стандартные функции TMG клиента
- Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
- Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
- Упрощенная настройка маршрутизации в больших организациях
- Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.
Системные требования
TMG клиент имеет некоторые системные требования:
Поддерживаемые ОС
- Windows 7
- Windows Server 2003
- Windows Server 2008
- Windows Vista
- Windows XP
Поддерживаемые версии ISA Server и Forefront TMG
- ISA Server 2004 Standard Edition
- ISA Server 2004 Enterprise Edition
- ISA Server 2006 Standard Edition
- ISA Server 2006 Enterprise Edition
- Forefront TMG MBE (Medium Business Edition)
- Forefront TMG 2010 Standard Edition
- Forefront TMG 2010 Enterprise Edition
Поддержка операционных систем
Клиент /Сервер – совместимость
Настройки TMG клиента на TMG сервере
Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.
Рисунок 1: Параметры TMG клиента на TMG
После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.
В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.
Рисунок 2: Настройки TMG клиента
AD Marker
Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.
Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.
Инструмент TMGADConfig
Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:
Tmgadconfig add 'default 'type winsock 'url http://nameoftmgserver.domain.tld:8080/wspad.dat
Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.
Установка TMG клиента
Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft. В конце статьи я привел ссылки на загрузку.
Начните процесс установки и следуйте указаниям мастера.
Рисунок 3: Установка TMG клиента
Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.
Рисунок 4: Выбор компьютера для установки TMG клиента
Расширенное автоматическое определение
Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.
Рисунок 5: Расширенное автоматическое определение
Уведомления HTTPS осмотра
Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте. Для дополнительной информации о настройке осмотра исходящего HTTPS трафика читайте следующую статью Тома Шиндера
Рисунок 6: Осмотр защищенных подключений
Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.
Рисунок 7: Сообщение об использовании осмотра защищенных подключений
Заключение
В этой статье я предоставил вам обзор процесса установки и настройки нового Microsoft Forefront TMG клиента. Я также показал вам некоторые новые функции этого Forefront TMG клиента. На мой взгляд, вам следует использовать TMG клиента в любой возможной среде, поскольку он предоставляет вам дополнительные функции безопасности. Я намеренно не рассматривал некоторые расширенные настройки TMG клиента, поскольку они остались неизменными по сравнению с предыдущими версиями Firewall клиентов, поэтому если вы хотите получить дополнительную информацию по этим параметрам, читайте следующую статью на www.ISAserver.org.
Дополнительные ссылки