Microsoft Forefront Threat Management Gateway (TMG) 2010 идет в двух версиях: версия Standard и Enterprise. В Enterprise Edition у администраторов есть возможность создавать кластерные массивы брандмауэров TMG, которые работают (и могут управляться) как единый логический брандмауэр. Массивы обеспечивают избыточность, высокую доступность и масштабность. В TMG теперь есть два разных типа массивов ' отдельный массив (это новинка в TMG) и массив, управляемый сервером Enterprise Management Server (EMS). В этой статье мы рассмотрим, как настраивать массивы, управляемые сервером EMS, и отдельные массивы (standalone arrays), поговорим о различиях между этими двумя видами массивов и обсудим сценарии установки обоих видов. Здесь мы также покажем, как управлять TMG Standard версией брандмауэра с помощью TMG Enterprise.
Массивы управляемые сервером EMS
Если вы знакомы с Microsoft ISA Server 2006, то EMS, по сути, представляет собой то же, что и сервер Configuration Storage Server (CSS), с несколькими незначительными отличиями. В TMG EMS у нас теперь есть возможность присоединять массив после установки программного продукта TMG, и подобно этому есть опция последующего удаления массива. Это делает конфигурацию предприятия более гибкой, предоставляя администраторам возможность перемещать брандмауэры TMG с одного массива в другой без необходимости деинсталляции и повторной установки программного продукта TMG. В отличие от сервера ISA Server, где сервер CSS мог находиться на любом члене массива, сервер TMG EMS должен быть установлен на отдельную систему вне массива.
Примечание: В этой статье предполагается, что вы успешно установили службу TMG EMS на одну систему, службу брандмауэра TMG на другую систему, и присоединили их к домену. Для дополнительной информации о том, как устанавливать и настраивать TMG и EMS обратитесь к этой статье Деб Шиндер на ISAserver.org.
Чтобы присоединить TMG Enterprise Edition брандмауэр к EMS, откройте консоль управления на брандмауэре TMG и выделите корневой узел в навигационном древе слева. Затем выберите опцию Присоединить массив (Join Array) в панели Задачи (Tasks) справа.
Рисунок 1
Это запустит мастера Forefront TMG Join Array Wizard.
Рисунок 2
Выберите опцию Присоединить к массиву под управлением EMS сервера (Join an array managed by an EMS server).
Рисунок 3
Введите полное доменное имя (FQDN) системы EMS. Если вы вошли с правами администратора, выберите опцию Подключиться, используя учетные данные этого пользователя ( Connect using the credentials of the logged on user). В противном случае выберите опцию Подключиться, используя эту учетную запись (Connect using this account): и укажите имя пользователя и пароль пользователя с правами администратора.
Рисунок 4
Если вы присоединяете существующий массив, выберите опцию Присоединить существующий массив под управлением EMS (рекомендуется) (Join an existing EMS-managed array (recommended)): и выберите массив, который хотите присоединить, из раскрывающегося списка. Убедитесь, что используете учетную запись с правами администратора в массиве и предприятии, к которому этот массив принадлежит.
Рисунок 5
Хотя рекомендуется сначала создавать массив на EMS перед присоединением членов массива, в целях демонстрации мы выберем опцию Создать новый массив под управлением EMS (Create a new EMS-managed array). Если вы уже настроили правила доступа на брандмауэре TMG, который присоединяете к массиву, выберите опцию Использовать текущую конфигурацию в новом массиве под управлением EMS (Use the current configuration at the new EMS-managed array). Если вы не выберете эту опцию, ваша текущая конфигурация будет замена стандартными настройками нового массива.
Рисунок 6
Введите имя и (необязательно) описание массива. Предоставьте DNS имя массива, желательно в формате FQDN. Выберите политику предприятия, которая будет применена к этому массиву.
Рисунок 7
Просмотрите подробности конфигурации и завершите установку.
Рисунок 8
Отдельные массивы
Отдельные массивы являются новой функцией TMG. Опция установки предприятия позволяет администраторам настраивать массив брандмауэров TMG, который не управляется внешним сервером EMS. В отдельных массивах один член массива выделяется в качестве диспетчера массива (array manager). Остальные члены массива затем получают свою конфигурацию с этого выделенного диспетчера массива.
Для создания отдельного массива откройте консоль управления на системе брандмауэра TMG и выделите корневой узел в навигационном дереве слева. Затем выберите опцию Присоединить массив (Join Array) в панели Задачи (Tasks) справа.
Рисунок 9
Это запустит мастера Forefront TMG Join Array Wizard.
Рисунок 10
Выберите опцию Присоединить отдельный массив, управляемый выделенным членом массива (диспетчером массива) (Join a standalone array mamged by a designated array member (array manager)).
Рисунок 11
Введите IP адрес или полное доменное имя брандмауэра TMG, который будет выделен под диспетчер массива.
Рисунок 12
Просмотрите подробности конфигурации и завершите установку.
Рисунок 13
Отсоединение членов массива
Наличие возможности удалять брандмауэр TMG из массива является очень полезной функцией TMG 2010. Благодаря этой возможности администратор может избирательно перемещать системы брандмауэров TMG между массивами предприятия при необходимости.
Как и в случае с присоединением TMG брандмауэра к EMS, отсоединение массива такое же простое. Откройте консоль управления в системе TMG и выделите корневой узел в навигационном дереве консоли слева. Затем выберите Отсоединить массив (Disjoin Array) в панели Задачи (Tasks) справа.
Рисунок 14
У вас откроется мастер Disjoin Server From Array.
Рисунок 15
При отсоединении массива нет опций для выбора. Нажмите кнопку Готово (Finish), чтобы завершить конфигурацию.
Enterprise Management для TMG Standard Edition
Одной из менее известных функций TMG Enterprise Edition является возможность управлять брандмауэрами TMG Standard Edition. Это значительно упрощает процесс управления в средах, где эти версии программы используются в сочетании.
Процесс присоединения брандмауэра TMG Standard Edition к EMS по сути такой же, как и для Enterprise Edition, за исключением того, что вы не сможете присоединить уже существующий массив. Единственной доступной опцией здесь является опция Создать новый массив под управлением EMS (Create a new EMS-managed array).
Рисунок 17
После присоединения брандмауэра TMG Standard Edition к EMS вы сможете управлять брандмауэром версии Standard Edition так же, как и любым другим массивом версии Enterprise Edition. Единственным ограничением присоединения брандмауэров TMG Standard Edition к EMS является то, что массив может содержать только один брандмауэр TMG Standard Edition.
Отдельные массивы vs. массивы под управлением EMS
Выбор установки отдельного массива или EMS-managed массива зависит от требований реализации вашего проекта. Если в вашей среде есть несколько точек выхода в сеть, настройка TMG с EMS будет оптимальным вариантом. В этом случае EMS-managed массив позволит вам настраивать правила доступа на уровне предприятия. Загрузка администраторов значительно снижается, поскольку одна политика будет применяться для всех массивов предприятия. Отдельные массивы удобны в случаях, когда требуется высокая доступность в сети с одной сетевой точкой выхода, и нет необходимости в управлении другими брандмауэрами TMG из других мест вашей среды.
Заключение
Microsoft Forefront Threat Management Gateway (TMG) 2010 Enterprise Edition включает возможность создания кластерных массивов брандмауэров для обеспечения избыточности и высокой доступности. Добавляя членов массива в Enterprise массив, мы также можем обеспечивать эффективную масштабность. Управление брандмауэрами TMG Standard Edition является новой функцией, которая значительно упростит управление TMG в больших и сложных средах.