台灣最大程式設計社群網站
線上人數
988
 
會員總數:245252
討論主題:189111
歡迎您免費加入會員
討論區列表 >> 專欄文章 >> Forefront Threat Management Gateway 2010關鍵應用指引
[]  
[我要回覆]
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
Forefront Threat Management Gateway 2010關鍵應用指引
價值 : 0 QP  點閱數:2033 回應數:0

樓主

顧武雄
門外漢
0 4
16 0
發送站內信

副標:Microsoft網路閘道安全守護神
作者:顧武雄, Microsoft MVP、MCITP與MCTS認證專家、台灣微軟Technet、TechEd、TechDay、Webcast、MVA特約資深顧問講師。

引言:Microsoft最新推出的全新Forefront Threat Management Gateway(簡稱TMG),它的前身就是許多網管人員所熟悉的ISA Server 2006(Internet Security and Acceleration),主要整合了應用層與網路層的防火牆技術,用以保護企業員工上網的安全,提供了許多像是惡意程式的偵測與封鎖、E-mail安全防護、網址篩選器、Web Proxy以及網站快取等功能。

打從Microsoft ISA Server 2000的推出,筆者便已出版了第一版本電腦書籍,一直到前一版許多企業在使用的ISA Server 2006。至於近期最新推出的全新改版Forefront Threat Management Gateway(TMG),事實上筆者早在去年就已經開始注意它的動向,而在國外的許多Blog也已經有許多IT先進在紛紛討論了。

相較於ISA Server 2006,TMG主要提供了四大新的特色分別介紹如下:
安全的網站閘道:TMG藉由整合網站的防毒以及URL篩選器,可以讓企業內部的員工在瀏覽網際網路的過程中,全面自動偵測與防護可能遭受來自惡意網站的攻擊,因為在這一項安全機制中TMG會透過定期的定義檔更新功能,識別任何最新的網站惡意程式以及網站黑名單並且加以封鎖。而對於以HTTPS連線的網站TMG也會加以檢查其流量與網站憑證。
改善的應用層防護:在TMG中新增了一項網路檢查系統(NIS,Network Inspection System),這一項安全措施可以對於任何最新被發現有關於Microsoft產品或通訊協定的安全漏洞問題進行有效保護措施,讓這一些問題在完成修補之前,不會輕易遭受到攻擊而淪陷。
改善連線管理:TMG增強了在NAT網路架構下的支援,它能夠設定E-mail伺服器在1對1的NAT基礎下。另外,TMG也已經能夠識別SIP的網路流量,並且提供相對應的設定方法讓它可以進行穿越防火牆的連線。
簡化管理:提供了更多簡易的精靈設定工具,讓IT人員僅要透過簡單的幾個步驟,就可以輕鬆架設好符合企業資安需求的閘道安全系統。

而在TMG的基礎架構設計部份則可以參考如圖1所示的官方簡報。在此我們可以由下往上來看這張圖。首先它是建構在Windows Server 2008的作業系統(必須是64位元)上,來獲得比以往所有ISA Server版本更多的硬體資源(CPU、RAM、儲存空間)。

接著是在TMG中最重要的兩項新安全防護整合機制,一個是存取網站的防護功能,另一個則是整合Exchange Server 2007或Exchange Server 2010的郵件訊息防護機制。其中前者是您一定會使用到的新安全功能,因為它有兩項極為重要的保護措施,分別是當企業員工連線Internet網站時的病毒偵測,以及網站黑名單的資料庫比對與封鎖機制,而這兩項全新的保護措施,可以讓IT人員彈性的選擇配置在所需要的防火牆規則項目設定上。畢竟無論如何身為IT的我們都非常清楚知道在這危機四伏的Internet與Intranet連接中,許多的資安禍源都是來自用戶端使用者。

針對前面所提到的網站病毒防禦與網址篩選功能,根據筆者在TMG的測試中,確實發現是一項相當棒的安全措施(本文後半段會有Demo),只是先別高興太早,因為它就如同Exchange Server 2007的Forefront防毒軟體一樣,想要持續保持定義檔與掃毒引擎的更新,就必須支付訂閱服務的費用,至於計費的方式可以採用每一位使用者或是每一年的方式來完成。

而在免費訂閱的項目部份,則是針對一項也是新的入侵防禦功能,主要用途在於下載最新的系統安全漏洞定義檔,來自動加以封鎖可能在系統完成修補前的攻擊行為。


圖1 TMG架構整合設計

Forefront Threat Management Gateway 下載網址:
http://technet.microsoft.com/zh-tw/evalcenter/ee423778.aspx

另外在TMG部署的版本上共有三種版本,分別是企業版、標準版以及包含在Windows Essential Business Server中的中型企業版(MBE,Medium Business Edition),其中MBE的版本只提供了主要的幾項安全管理功能,這一些包括了防火牆、VPN網路建置、Web Proxy、網站快取、以及網站惡意程式防範機制。有關於TMG與TMG MBE以及ISA Server 2006的比較,可以參考表1說明即可。

表1 TMG與ISA Server 2006的功能比較



軟硬體系統需求

●必須採用64位元CPU電腦、64位元版本的Windows Server 2008作業系統
●記憶體建議至少2GB以上
●至少2.5GB以上的硬碟空間,這部份還不包括額外需要用來儲存網站快取資料,以及用來存放存當系統進行惡意程式掃描時的暫存檔案。

在預先需要的軟體元件安裝部份,只要如圖2所示透過點選TMG安裝主選單中的[Run Preparation Tool]連結,就可以自動幫我們完成安裝,這一些元件包括了以下幾個項目。

●Active Directory Lightweight Directory Services伺服器角色
●Network Policy and Access Services伺服器角色
●Message Queuing
●Windows PowerShell 1.0
●Microsoft .Net Framework 3.5 SP1
●Windows Web Services API
●Windows Installer 4.5

接著在預先需要的軟體元件安裝類型設定中,您可以選擇僅安裝TMG管理工具,還是要連同TMG服務所需要的元件一併安裝。


TMG快速安裝指引

有關於Forefront TMG的安裝方式和前一版的ISA Server幾乎是一樣的非常容易,並且它在完成安裝之後,就可以立即透過三階段的精靈介面,簡單迅速的完成符合企業TMG防護需求的組態配置。接下來就讓我們一同來了解一下整個快速部署過程吧。

首先您必須在前面所介紹過的TMG安裝主選單中,點選[Install Forefront TMG]連結,執行之後它同樣會進行所有必要元件的檢查,然後再進入安裝設定程序。

如圖2所示接下來便可以在[Installation Path]頁面中設定安裝路徑,接著會來到如圖3所示的[Internal Network]頁面,您必須點選[Change]按鈕來設定進入設定內部網路區段的頁面。


圖2 安裝路徑設定


圖3 設定內部網段

在此筆者以選取如圖4所示TMG本機網路卡的方式來快速完成設定,選取之後在下方便可以該網路卡的相關位址資訊。


圖4 挑選內部網路卡

接下來在整個安裝進行的過程當中,將會自動重新啟動相關網路的服務,這包括了SNMP Service、IIS Admin Service、World Wide Web Publishing Service、Microsoft Operations Manager Service。最後會開始進行SQL Server 2008 Express的安裝,這一項安裝主要用來儲存TMG的記錄檔資訊。

完成TMG主程式與管理工具的安裝之後,接下來將會開啟如圖5所示的[Getting Started Wizard]頁面,我們只要依序完成這三項的精靈組態設定,就可以讓TMG伺服器開始進行基本的運作。首先請點選[Configure network settings]連結繼續。


圖5 快速組態精靈

接下來您必須在如圖6所示的[Network Template Selection]頁面中,選取適用於目前公司網路環境的TMG架構範本,一般而言最常見的通常是Edge firewall。點選[Next]按鈕繼續。接下來必須分別設定內部網路卡與外部網路的TCP/IP組態,並且額外對於內部網路卡來設定其它的路由規則,因為許多企業網路中可能會有建置Core Switch的管理。


圖6 網站範本選取

完成了第一階段的精靈設定之後,接下來請點選[Getting Started Wizard]頁面中的[Configure System settings]連結繼續。接著在如圖7所示的[Host Identification]頁面中您可以決定是否要變更電腦名稱、網域成員設定以及DNS尾碼設定。


圖7 主機識別設定

緊接著又會回到[Getting Started Wizard]頁面中,請點選[Define deployment options]連結繼續。首先在如圖8所示的[Microsoft Update Setup]頁面中,請選擇要透過Microsoft Update來更新惡意程式定義檔。點選[Next]按鈕繼續。


圖8 更新設定

接著將會來到如圖9所示的[Forefront TMG Protect Feature Settings]頁面,在此必須設定網路檢查系統(NIS)與網站保護(Web Protection)的授權組態,其中網站保護部份是需要額外付費授權,不過可以先使用評估版本的授權。接著請將[Enable Malware Inspection]與[Enable URL Filtering]設定勾選。點選[Next]按鈕繼續。


圖9 整合威脅診斷服務

接下來將會來到如圖10所示的[NIS Signature Update Settings]頁面。在此可以設定網路檢查系統(NIS)定義檔的檢查更新頻率等設定(建議採用預設值即可),關於這一部份的組態設定之後仍可以進行修改的。點選[Next]按鈕繼續。

最後在[Microsoft Telemetry Services]頁面中,如圖11所示可以選擇是否要加入Microsoft惡意程式的防護回報計畫,以協助進行辨別更多潛在的惡意程式攻擊行為。在此您可以選擇加入基本或進階的成員。其中基本的成員設定將會自動回報威脅的類型資訊,至於進階的成員則將會自動回報各種潛在的威脅的詳細資訊、包含了流量範例以及完整的URL字串等資訊。


圖10 定義檔更新設定


圖11 惡意程式防護回報計畫

當再一次回到[Getting Started Wizard]頁面中時,如果直接點選[Close]按鈕將會開啟網站存取原則的設定精靈(Web Access Policy Wizard)。接下來首先在[Web Access Policy Rules]頁面中,如圖12所示可以選擇是否要封鎖目前已知的網址類別,點選[下一步]繼續。


圖12 網站存取規則

接下來在[Blocked Web Destinations]頁面中,可以設定封鎖存取的網站類別清單,如圖13所示在此您可以進行新增、編輯或是移除。而針對這一些類別的惡意網站,TMG都將會透過Microsoft線上信譽服務來進行查詢,並且根據最新資訊來封鎖用戶端使用者的連線。點選[Next]按鈕繼續。

接下來在[Blocked Web Destinations Exceptions]頁面中,如圖14所示您可以設定希望排除封鎖的網站清單。接著在如圖15所示的[Malware Inspection Settings]頁面中,可以決定是否要從Internet來檢查用戶端對於Web內容的連線存取要求,以確保其安全性沒有問題,這其中還包含了可以設定封鎖經過加密的壓縮檔案(例如:ZIP、RAR),因為某一些病毒可能會藉此將病毒程式潛藏在裡頭。


圖13 封鎖網站連線設定


圖14 例外清單設定


圖15 惡意程式診斷設定

接下來在[HTTPS Inspection Settings]頁面中,如圖16所示可以決定是否要針對用戶端在HTTPS存取連線流量上與憑證進行安全性檢查,或是乾脆設定不允許用戶端建立HTTPS的網站連線。緊接著在[HTTPS Inspection Preferences]頁面中,如圖17所示可以設定是否要通知防火牆用戶端有關於HTTPS的流量檢查,以及設定如何產生HTTPS檢查的憑證。


圖16 HTTPS安全連線檢查


圖17 HTTPS安全檢查通知

接著在[Certificate Deployment Preferences]頁面中,如圖18所示可以設定部署HTTPS檢查憑證的方式,您可以選擇經由Active Directory來部署(必須設定網域管理員帳戶密碼),或是以手動方式匯出憑證來進行部署。


圖18 憑證部署設定

最後在[Web Cache Configuration]頁面中,如圖19所示可以設定是否要啟用網站快取功能,如果啟用此功能請先將[Enable Web caching]項目勾選之後,再點選[Cache Drives]按鈕來設定快取檔案的大小以及儲存位置。


圖19 網站快取組態

在完成以上所有初步的精靈組態設定之後,將會開啟如圖20所示的[Forefront TMG ]主控台。在這個直覺化的管理介面中,我們可以很清楚的從不同的項目節點上,找到我們需要檢視的資訊或是進行設定。舉例來說,如果您進行有關於網站存取的原則設定,請點選至[Web Access Policy],如果想進行有關於E-mail安全原則的設定請點選至[E-mail Policy],如果想要設定有關於網站惡意程式與網站黑名單定義檔的更新組態,請點選至[Update Center]項目節點來設定即可。


圖20 全新Forefront TMG主控台

接下來我們可以先來進行一項有關於網站惡意程式連線存取的測試。首先請在Forefront TMG主控台中的[Logs & Reports]項目節點上,加入一項有關於惡意程式的記錄查詢,緊接著請在用戶端的瀏覽器中連線至任意可以下載病毒測試程式的網站,並且點選下載測試用的惡意測試程式, 這時候您便可以在如圖21所示的頁面中看到這一支惡意程式被及時封鎖的相關資訊。


圖21 即時惡意程式診斷記錄

至於在用戶端的瀏覽器部份則可以看到如圖22所示的存取封鎖訊息。如此一來用戶端便不會不經意的下載到不明的惡意程式了,當然啦!這包括了目前在網際網路上許多人都會去使用的免費網頁信箱中的Email附件檔案下載,也一樣會自動進行安全檢測。


圖22 封鎖惡意程式下載

至於在黑名單的網站連線上,一旦用戶端主動進行這一些網站的連線,或是經由別人所寄送的E-mail內容中的超連結來進行連線時,都會出現如圖23所示的拒絕存取的顯示頁面。然而如果使用者或IT人員確認這個網站目前已經沒有問題,則可以將這個網址加入到TMG管理組態中的例外清單即可恢復正常連線。


圖23 拒絕存取惡意網站

至於在報告工作的產生部份,如圖24所示我們可以根據實際需求分別選取網站的存取分析、應用程式的使用分析、流量與資源使用分析、安全分析、惡意程式保護分析、網址篩選分析以及網路檢測系統分析報告等等。至於如果想要更進一步設定不同報告項目的進階呈現設定可以點選[Edit Report Details]繼續。


圖24 報告內容設定

如圖25所示在此我們以[Web Usage]報告項目為例,所能夠設定的進階組態有排序方式與包含的使用者數量設定。


圖25 報告進階設定

其它TMG管理工具的下載與使用

在目前Forefront TMG的下載中,除了預設的管理主控台可以使用,筆者還有發現其它輔助管理的工具可以下載,請參考以下網址與工具用途說明。

TMG附屬管理工具下載網址:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=82027864-4abd-4896-8255-55f6ea775489

Cache Directory Tool for Forefront TMG(CacheDir.exe)
執行這個快取目錄工具可以去檢視到TMG主機上即時的快取內容,以及儲存快取內容資訊到一個檔案中,並且可以標記過時的快取項目,如此一來這一些項目將不會繼續保存在快取中。
DNS Cache Tool for Forefront TMG(Dnstools.exe)
當執行此DNS快取工具在TMG主機上時,將可以顯示目前在DNS中的快取內容,並且可以進行整個DNS快取內容的清除。
MSDEToText Tool for Forefront TMG(MSDEToText.exe)
執行此工具可以轉換TMG的記錄檔到一個文字檔案中,或是顯示它們的內容在螢幕上。
Remote Access Quarantine Tool for Forefront TMG(RQSUtils.exe)
執行此工具可以讓TMG具備接聽RQS連線的能力,主要是應用在隔離控管的整合部份,筆者在過去的ISA Server 2004與ISA Server 2006中曾有這部份實作的探討專欄。
RSA Test Authentication Utility for Forefront TMG(SdTestPack.exe)
使用這項RSA測試驗證工具,可以讓管理人員知道TMG在整合另一部執行RSA驗證管理員主機的連線運作上是否正常
Best Practices Analyzer Tool (BPA。IsaBPA.msi)
透過BPA工具可以幫您檢查出目前TMG整體運作的健康狀態,並且會幫您診斷出目前所遭遇的問題。此外BPA工具也會掃描目前TMG本機的組態設定並且報告相關問題。
ADAM Sites Tool for Forefront TMG Enterprise Edition(AdamSites.exe)
執行此ADAM站台工具可以去設定TMG企業版架構中,那一些已使用ADAM(Active Directory Application Mode)的組態儲存伺服器(Configuration Storage)。
Auto Discovery Configuration Tool for Forefront TMG(AdConfigPack.exe)
此項全新的自動探索設定工具,可以去設定在Active Directory網域中的TMG伺服器連線的標記,讓TMG防火牆用戶端可以找到這部伺服器的位置並且進行連線。

設定的方法很簡單,只要在完成此工具的安裝並且在命令提示列中切換到此AdConfig路徑下之後,如圖26所示執行TmgAdConfig add -default -type winsock -url http://TMG伺服器位址:8080/wspad.dat。至於刪除標記的方法,只要下達TmgAdConfig.exe del -default -type winsock即可,如果想要知道其它更詳細的用法可以輸入TmgAdConfig.exe /?。

緊接著您還必須在TMG的主控台中,先點選至[Web Access Policy]項目節點,接著點選位在[Tasks]窗格中的[Configure Web Proxy]連結,來開啟[Internal Properties]頁面中,並且切換到[Auto Discovery]頁面中將[Publish automatic discovery information for this network]項目勾選,以及將預設的80通訊埠變更為8080即可。


圖26 TMG用戶端連線註記設定

只要完成了以上設定,那麼只要是位在Active Directory網域中的TMG防火牆用戶端,預設便會自動探索到並且與TMG主機進行連線。如圖27所示便是TMG防火牆用戶端在進階自動偵測的組態設定,可以看到預設的[Use Active Directory]設定是在勾選狀態的。

另外值得注意的是過去ISA Server版本中所採用DHCP與DNS的自動探機制,在TMG的部署架構中仍然可以使用,只是在安全性的運作上並不被建議使用,不過呢?如果說企業內有一些用戶端電腦並未加入網域中,則採用舊有DHCP與DNS的自動探機制仍是必須的。


圖27 防火牆用戶端自動偵測設定

Forefront TMG SDK
針對此軟體開發套件,它包含了開發程式庫、工具、範例程式碼以及相關參考文件,可以協助研發人員以及系統管理人員,去進行對於TMG延伸功能的設計,讓TMG的安全防護能力更加強大。


結 論
對於已經熟悉ISA Server 2004與ISA Server 2006的網管人員來說,對於全新版本的Forefront TMG管理來說想必會非常得心應手,因為操作介面的設計幾乎一樣,並且提供了絕佳的惡意網站與惡意程式的防護功能,讓各種來自Internet世界中的威脅在第一線的閘道端就被封鎖掉,在此強烈建議所有IT先進們,不仿在它正是繁體中文版上市之前,先自行下載評估試用版本來體驗一下全新TMG的強大防護魅力!

搜尋相關Tags的文章: [ 顧武雄 ] , [ TMG ] ,
本篇文章發表於2015-01-13 11:10
別忘捐VP感謝幫助你的人 新手會員瞧一瞧
目前尚無任何回覆
   

回覆
如要回應,請先登入.