Аудит начальной конфигурации брандмауэра EBS TMG (часть 1)

Опубликовано: 9 Апреля, 2023

Продукт Microsoft Essential Business Server (EBS) — это новая версия Microsoft, предназначенная для компаний среднего размера. EBS позволяет развернуть многосерверное решение, включающее службы электронной почты, службы управления системами и сетевой брандмауэр на трех отдельных серверных платформах. В отличие от Small Business Server (SBS), где все роли сервера находятся на одном компьютере, в решении EBS роли сервера разбиваются таким образом, что каждая основная роль развертывается на отдельном компьютере.

Одним из основных преимуществ решения EBS является то, что теперь у вас есть сетевой брандмауэр на выделенном устройстве. В предыдущей версии SBS сетевой брандмауэр находился в блоке «все в одном», а блок «все в одном» был разработан как пограничное устройство. Это поставило сервер SBS в опасное положение и ограничило ваши возможности по настройке сетевой инфраструктуры, чтобы приблизить конфигурацию безопасности к тому, что может пройти аудит безопасности.

EBS — это трехсерверное решение, которое включает в себя:

  • Сервер управления. Эта машина является контроллером домена и также запускает System Center Essentials.
  • Сервер обмена сообщениями. На этом сервере работает Exchange 2007, а также он настроен как контроллер домена.
  • Сервер безопасности. На этом сервере работает Threat Management Gateway Medium Business Edition.

В этой серии статей мы сосредоточимся на брандмауэре TMG MBE. TMG, или Forefront Threat Management Gateway, представляет последнюю версию брандмауэра ISA. В то время как торговая марка ISA исчезает, технология ISA, которую мы знали и любили в течение последнего десятилетия, не исчезнет и, по сути, станет еще лучше.

В целом, я считаю хорошей идеей изменить название брандмауэра ISA, поскольку официальное название ISA — «Сервер Internet Security and Acceleration». Есть две вещи, которые плохо сочетаются с этим названием: во-первых, акцент делается на «ускорении», то есть компоненте веб-кэширования. В TMG и будущих версиях брандмауэра ISA/TMG не будет никаких изменений или вложений в функцию веб-кэширования, которая является той частью, которая «ускоряет» Интернет; во-вторых, включение термина «сервер» не способствует продвижению брандмауэра. Никто не хочет размещать «сервер» на границе своей сети.

Threat Management Gateway более четко представляет функцию брандмауэра TMG. Он управляет угрозами, исходящими как из Интернета, так и из сетей, защищенных TMG. И TMG оснащен для этого лучше, чем брандмауэр ISA, потому что он включает в себя дополнительные функции проверки уровня приложений, которые позволяют защитить вас от современных угроз, ориентированных на приложения.

Имейте в виду, что версия TMG, включенная в EBS, не является «полностью испеченной» версией TMG, которую вы, вероятно, увидите в следующем году. Хотя версия брандмауэра TMG Medium Business Edition (MBE) представляет собой серьезную внутреннюю переработку ядра брандмауэра ISA и вносит некоторые существенные улучшения в производительность и безопасность, она предоставляет лишь часть функций и возможностей, которые будут включены в полная версия брандмауэра TMG.

Из многих различий, которые вы найдете между полным брандмауэром TMG и версией брандмауэра TMG для MBE, одно из наиболее существенных заключается в том, что брандмауэр TMG MBE полностью настраивается для вас во время установки. Команда EBS собрала набор рекомендаций по настройке, основанных на конфигурации EBS вашей сети, и внедрила эти рекомендации в первоначальную настройку брандмауэра TMG MBE. Напротив, с полной версией брандмауэра TMG, которую вы увидите в будущем, первоначальная конфигурация будет зависеть от вас, и вам нужно будет знать, как работает брандмауэр и как лучше всего настроить его для поддержки ваших потребностей. уникальные сетевые требования.

Причина, по которой брандмауэр TMG MBE может быть настроен для вас, заключается в том, что команда EBS знает подробности вашей сети EBS. Они могут использовать эту информацию для настройки брандмауэра TMG MBE с использованием лучших практик, основанных на имеющихся у них знаниях о конфигурации EBS. Это то, что полная версия брандмауэра TMG не сможет сделать, поскольку она не знает о серверах и службах вашей сети и о том, как применять лучшие методы для их защиты (по крайней мере, она не сможет это сделать). что без вашей помощи).

Итак, что это за конфигурация с лучшими практиками? Каковы детали начальной конфигурации TMG MBE? Действительно ли настройки, развернутые командой EBS для брандмауэра TMG MBE, соответствуют передовым практикам или, возможно, являются разновидностью передовых практик?

На эти вопросы я надеюсь ответить в этой серии статей о проверке исходной конфигурации брандмауэра TMG MBE.

В течение следующих нескольких недель мы рассмотрим конфигурацию брандмауэра TMG MBE сверху вниз. Мы задокументируем эти параметры, и я обсужу с вами, что эти параметры делают, как они сочетаются с конфигурацией EBS и как вы можете настроить их для повышения безопасности или функциональности.

Тестовая сеть EBS

Прежде чем мы начнем, давайте взглянем на пример сети EBS, с которой я работаю. Все машины установлены на сервере с одним четырехъядерным процессором Xeon с 8 ГБ оперативной памяти. Машина работает под управлением Windows Server 2008 Enterprise, и установлена роль сервера Hyper-V.

В Hyper-V мы будем работать с двумя виртуальными сетями:

  • Внешняя виртуальная сеть, привязанная к физическому интерфейсу на сервере Hyper-V.
  • Внутренняя виртуальная сеть, к которой подключен внутренний интерфейс брандмауэра TMG, а также интерфейсы серверов управления и обмена сообщениями.

Вы можете спросить: «Почему вы решили создать внутреннюю виртуальную сеть вместо частной виртуальной сети», и это будет хороший вопрос. У меня нет хорошего ответа для вас, потому что я, честно говоря, не понимаю, в чем разница между частными и внутренними сетями, поскольку следующие определения этих сетей не имеют большого смысла с точки зрения развертывания:


Если вы можете сказать мне, каковы практические различия между внутренней и частной сетями, я буду у вас в долгу и укажу на ваш щедрый дух в моем блоге.

На рисунках ниже показана конфигурация виртуальных сетей.


фигура 1


фигура 2

В пример сети EBS включены три машины. Это:

  • EBSMGMT — это сервер управления EBS.
  • EBSEXCH — это сервер обмена EBS.
  • EBSTMG — это брандмауэр EBS TMG.

На рисунке ниже показана топология сети и настройки IP-адресации:


Рисунок 3

Обратите внимание, что внутренние серверы используют внутренний интерфейс брандмауэра TMG в качестве шлюза по умолчанию в Интернет. Брандмауэр TMG использует производственный брандмауэр ISA в действующей физической сети в качестве шлюза по умолчанию в Интернет. Я изменил настройки DNS-сервера на сервере EBSMGMT, чтобы использовать свой внутренний преобразователь DNS в качестве переадресатора DNS для ускорения разрешения имен.

Резюме

В этой части, состоящей из нескольких статей, посвященных начальным настройкам конфигурации брандмауэра EBS TMG MBE, я представил общий обзор решения EBS, а затем обсудил философию проектирования брандмауэра TMG MBE и конфигурацию его развертывания. Затем я закончил обсуждение тестовой сети, в которой установлена EBS. На следующей неделе мы начнем вдаваться в подробности конфигурации брандмауэра TMG и посмотрим, что означают эти параметры и есть ли какие-либо возможности для улучшения. Тогда увидимся! -Том.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023