Если вы не следите за новостями, то напомню вам, что TMG Beta 2 недавно была выпущена публично! Это основное усовершенствование Beta 1 версии TMG, который был скорее похож на ISA 2006 R2. Когда Beta 1 был выпущен, я говорил, что не следует расстраиваться, поскольку в следующей бета версии должно было появиться гораздо больше новых функций. И компания Microsoft не разочаровала нас! TMG Beta 2 включает множество новых функций и параметров, которые вам обязательно понравятся.
В этой серии статей я предоставляю подробный обзор некоторых основных функций брандмауэра TMG Beta 2. Чтобы по максимуму использовать этот цикл статьей, вы должны быть относительно неплохо знакомы с ISA 2006. Если вы не эксперты по ISA 2006, вы все равно сможете многое узнать из этого обзора, однако следует учитывать, что в этом обзоре я буду ориентироваться на улучшениях не всех функций, включенных в TMG. Для получения этой информации вам понадобиться наша книга. Прогресс написания книги можно отслеживать на http://www.mstmgbook.org/.
Когда мы закончим этот подробный обзор, я начну писать цикл подробных статей о каждой новой функции, описанной здесь. Учтите, что данная серия посвящена бета версиям брандмауэра TMG, и она поможет вам в его тестировании. Мы будем обновлять статьи после выпуска продукта, а также выпустим книгу о нем, поэтому у вас будет много информации о брандмауэре TMG и обо всех его функциях, а не только о тех, которые будут описаны здесь.
Прежде чем начать, следует упомянуть об основном требовании брандмауэра TMG. Данная версия должна быть установлена на 64-разрядную версию Windows Server 2008. Нельзя недооценивать тот факт, что TMG будет работать под управлением 64-битной ОС. 64-битная ОС позволяет вам использовать массовое увеличение числа поддерживаемого аппаратного оборудования. Только представьте те преимущества скорости, которым будет обладать 8-канальный брандмауэр TMG с 16 ГБ памяти и 10Gbps сетевыми адаптерами, использующими сетевые улучшения, которые есть в TCP/IP стеке нового поколения в Windows Server 2008. Простое увеличение объема памяти не выгружаемого пула (non-paged pool memory) означает, что истощение ресурсов теперь может канут в лету. Поддержка 64-разрядной Windows означает, что спецификации производительности брандмауэра TMG идут вперед и теперь имеют возможность значительно превзойти все прочие брандмауэры с возможностями осмотра прикладного уровня и состояния пакетов.
Чтобы посмотреть всю мощь 64-разрядной технологии Windows, просто взгляните на спецификацию в таблице ниже.
Рисунок 1
Подход, используемый в этом цикле статей (который будет состоять из 3 – 4 частей) будет представлять собой рассмотрение новых и улучшенных элементов в каждом узле консоли брандмауэра TMG. Все узлы левой панели консоли брандмауэра TMG представлены на рисунке ниже.
Рисунок 2
Вы заметите, что левая панель консоли брандмауэра была модернизирована. Теперь есть только один уровень вкладок во вкладке сервера или массива. Вы также заметите, что названия некоторых вкладок были изменены, а также были добавлены некоторые подкаталоги. Вкладка Virtual Private Networks теперь называется Политика удаленного доступа (Remote Access Policy (VPN)). Новые вкладки включают:
- Политику веб доступа (Web Access Policy)
- Политику электронной почты (E-mail Policy)
- Систему предотвращения вторжений (Intrusion Prevention System)
- Систему (System)
- Логи и отчеты (Logs & Reports)
- Центр обновлений (Update Center)
В ходе статьи мы рассмотрим все новое в этих вкладках. Итак, давайте начнем с вкладки массив/сервер.
Вкладка массива (Array Node)
Если нажать на вкладке массива в левой панели консоли брандмауэра TMG, вы увидите некоторые новые объекты в закладке Задачи панели действий в правой части консоли. Эти опции включают:
- Запуск мастера Getting Started
- Присоединение к массиву (Join Array)
- Подключение к Forefront с кодовым названием Stirling
Эти новые опции показаны на рисунке ниже.
Рисунок 3
Мастер Getting Started Wizard представляет собой новую функцию, включенную в TMG Beta 2. Этот мастер запускается во время установки. Однако у вас есть возможность при желании запустить его еще раз, нажав на ссылку Запустить мастера Getting Started в закладке Задачи. Здесь вы можете настраивать параметры сети, системные параметры и опции установки. Мастер Getting Started Wizard значительно упрощает работу, необходимую для установки и запуска брандмауэра TMG Beta 2.
Рисунок 4
Основным изменением в брандмауэре TMG по сравнению с ISA является то, что все процессы установок используют хранилище на базе ADAM, теперь называемое Active Directory Lightweight Directories Services в Windows Server 2008. ISA 2006 использовал хранилище на базе реестра для конфигурации в версии Standard Edition брандмауэра ISA, а ADAM использовалось в ISA 2006 Enterprise версии. Для брандмауэра TMG не будет версий Standard Edition и Enterprise. Будет одна версия с одинаковыми возможностями и функциями, однако будет дополнительный набор функциональности, если вы установите TMG совместно с Enterprise Management Server (EMS). Я расскажу о EMS позже в этом цикле статей.
Когда вы нажимаете по ссылке Присоединиться к массиву (Join Array), у вас запускается мастер присоединения массива Join Array Wizard. Мастер Join Array Wizard значительно упрощает присоединение брандмауэра TMG к массиву. Здесь тоже есть кое-что новое: новый тип массива под названием ‘отдельный (standalone)’ массив. Отдельный массив позволяет вам быстро устанавливать массив брандмауэров TMG без необходимости использовать сервер Enterprise Management Server. Это отличная опция на случай, если вам не нужно управлять несколькими массивами, а нужен лишь один массив в вашей организации. Конечно, если вы хотите получить функциональность, которая была присуща версии ISA 2006 Enterprise, можно установить сервер Enterprise Management Server и развернуть несколько массивов.
Рисунок 5
Когда вы нажимаете на ссылке Подключиться к Forefront Codename Stirling, у вас открывается мастер подключения Forefront codename Stirling Integration Wizard. Конечно, название это мастера измениться, когда Stirling получит свое действительное имя. Этот мастер упростит подключение вашего брандмауэра TMG или массива брандмауэров к системе управления безопасностью Stirling. Если вы ничего не знаете о Stirling, сейчас самое время начинать с ним знакомиться. Stirling позволяет вам подключать все свои продукты безопасности Forefront с тем, чтобы они предоставляли все отчеты на Stirling. Затем Stirling берет всю информацию, полученную с каждого продукта Forefront и позволяет использовать политику проактивного реагирования, основанную на критической информации о безопасности, полученной со всех продуктов Forefront. Поскольку TMG является членом пакета безопасности Forefront, вы сможете настроить политики, которые будут запускать действия реагирования на событие, когда брандмауэр TMG обнаруживает потенциальную угрозу.
Рисунок 6
Вкладка мониторинга
Вкладка Мониторинг тоже была усовершенствована. Первое, что вы заметите, это то, что область Производительность системы (System Performance) теперь работает (она не работала в ISA 2006). Она не только работает, она также предоставляет отчет о новой информации. Теперь вы получаете более полезную информацию, такую как Использование ЦП в процентах (CPU Usage (Percentage)) и Доступная память в мегабайтах (Available Memory (Mbytes)). Хотя это и небольшое изменение, на мой взгляд, оно очень полезное.
Вы также найдете некоторые новые панели в Приборной доске (Dashboard). Новой является панель Обновить службы (Update Services), а также панель Избыточность ISP. Здесь вы найдете новые оповещения, связанные с обновлениями нескольких различных служб, таких как службы защиты от вредоносного ПО для веб защиты и защиты электронной почты, а также обновлений базы данных фильтрации URL (недоступных для Beta 2, но которые будут доступны для последующих выпусков). Панель ISP избыточности будет предоставлять такую ценную информацию, как длительность подключения, статус каждого ISP соединения, и бит/сек для всех соединений.
Рисунок 7
Перейдите к закладке Оповещения (Alerts) во вкладке Мониторинг (Monitoring) и нажмите на ссылке Настроить дефиниции оповещений (Configure Alert Definitions) в панели задач. Здесь вы обнаружите значительное повышение количества оповещений, доступных в TMG по сравнению с ISA 2006. Если просмотреть все эти оповещения, можно найти нечто интересное ‘ природа и полнота этих оповещений соответствует тому, что я называю ‘behavioral IDS’. Просто сами взгляните на них, что вы думаете по этому поводу. Вы будете впечатлены широким спектром условий статуса брандмауэра, которые затронуты улучшенными дефинициями оповещений брандмауэра TMG.
Рисунок 8
Нажмите на закладке Службы (Services). Здесь вы найдете несколько новых служб, которые не использовались в брандмауэре ISA 2006. Обратите внимание на следующее:
- SQL Server (ISARS)
- SQL Server Reporting Services (ISARS)
- World Wide Web Publishing Service
- SQL Server Express
- Forefront TMG Managed Control Service
Обратите внимание на то, что службы удаленного доступа (Remote Access Service) больше нет в списке. Я не знаю, почему ее убрали. Может быть она появится, когда вы включите VPN, который не был включен на этой машине. SQL Server Express замещает базу данных MSDE, которая использовалась в ISA 2006. Вас может заинтересовать вопрос, почему служба публикации (World Wide Publishing Service) установлена на брандмауэре TMG. Она необходима для служб отчетов SQL Reporting Services. Но не беспокойтесь, никто не сможет получить доступ к службе WWW за исключением брандмауэра TMG, она недоступна для пользователей за пределами брандмауэра.
Рисунок 9
Нажмите на вкладку Конфигурация (Configuration). Она не была доступна в ISA 2006 Standard Edition, поскольку информация конфигурации хранилась в системном реестре. Как я говорил ранее, больше нет отдельных версий, а данная версия использует хранилище на базе ADAM. В закладке Конфигурация вы увидите статус синхронизации с ADAM (Active Directory LDS).
Рисунок 10
Заключение
В этой первой части цикла статей об усовершенствованиях и новых элементах в брандмауэре TMG Beta 2 мы рассмотрели новые и усовершенствованные функции, выделенные во вкладах сервера/массива и мониторинга. Во второй части этого цикла мы рассмотрим несколько усовершенствований и новых функций, расположенных во вкладках Политика брандмауэра (Firewall Policy), Политика веб доступа (Web Access Policy) и Политика электронной почты (E-mail Policy).