Определение эффективности Advanced Web Protection в Forefront Threat Management Gateway (TMG) 2010

Опубликовано: 8 Апреля, 2023
Определение эффективности Advanced Web Protection в Forefront Threat Management Gateway (TMG) 2010

Введение

Forefront Threat Management Gateway (TMG) 2010 — это высокоэффективный безопасный веб-шлюз, который включает в себя расширенные возможности веб-защиты, предназначенные для улучшения общей стратегии защиты конечных точек вашей организации. Он имеет интегрированную в шлюз фильтрацию URL-адресов для предотвращения доступа к веб-сайтам на основе их категоризации. TMG также включает сканирование вирусов и вредоносного программного обеспечения, которое защищает от атак на основе файлов, а также улучшенное обнаружение и предотвращение вторжений в сеть для защиты от атак на основе протоколов и предотвращения удаленного использования определенных уязвимостей приложений и операционных систем. Кроме того, TMG включает проверку HTTPS, что делает все эти функции безопасности более эффективными. TMG — это брандмауэр корпоративного класса, сертифицированный Common Criteria, который обеспечивает непревзойденную защиту от изощренных атак, которые сегодня распространены в Интернете.

Мониторинг расширенной веб-защиты TMG

Мониторинг производительности и эффективности расширенной веб-защиты TMG имеет важное значение. TMG предлагает три способа измерения этого показателя. Они есть:

  • Ведение журнала — Forefront TMG 2010 по своей сути представляет собой брандмауэр, который регистрирует весь входящий и проходящий через систему трафик. Каждый без исключения пакет подробно регистрируется. С помощью встроенного средства просмотра журналов администратор безопасности может в режиме реального времени наблюдать за эффективностью различных механизмов веб-защиты, предоставляемых TMG.
  • Отчетность. Для анализа исторических данных встроенные в Forefront TMG 2010 собственные инструменты отчетности позволяют администраторам безопасности создавать настраиваемые отчеты, которые можно использовать для анализа долгосрочных тенденций и выявления шаблонов потенциальных угроз.
  • Монитор производительности — Forefront TMG 2010 обладает широким набором инструментов, что позволяет администратору безопасности использовать монитор производительности Windows для получения очень подробной и детализированной информации об эффективности и производительности расширенных функций веб-защиты TMG.

Журналы доступа

Первым инструментом, который администратор безопасности может использовать для оценки эффективности возможностей веб-защиты Forefront TMG, являются журналы доступа к брандмауэру и веб-прокси. Чтобы просмотреть эти журналы, откройте консоль управления TMG, выделите узел «Журналы и отчеты» в дереве навигации, затем щелкните ссылку «Ведение журнала », расположенную в верхней части центральной панели. Вы можете сразу просмотреть данные журнала в реальном времени, щелкнув ссылку «Начать запрос» на панели «Задачи».

Изображение 23166
фигура 1

Это покажет весь трафик, проходящий через брандмауэр, который вы вряд ли найдете полезным. Чтобы найти более значимые данные, нажмите «Изменить фильтр» на панели «Задачи». Например, если вы хотите знать, посещают ли какие-либо пользователи веб-сайты азартных игр, выберите «Категория URL» в раскрывающемся списке «Фильтровать по», затем выберите « Равно» в раскрывающемся списке « Условие » и, наконец, выберите « Азартные игры» в раскрывающемся списке « Значение».. Нажмите кнопку «Добавить в список», а затем нажмите «Начать запрос».

Изображение 23167
фигура 2

Изображение 23168
Рисунок 3

Если пользователь попытается получить доступ к игровому сайту, он будет отображаться в главном окне.

Изображение 23169
Рисунок 4

Прокручивая окно по горизонтали, вы можете просмотреть дополнительные сведения об отклоненном запросе. Особый интерес при просмотре отклоненных веб-запросов представляют поля Время журнала, IP-адрес клиента, Действие, Правило, Код состояния HTTPS, Имя пользователя клиента, URL-адрес и Категория URL-адреса.

Кончик:
Вы можете щелкнуть правой кнопкой мыши в любом месте заголовков столбцов, чтобы добавить или удалить столбцы. Здесь вы можете выбрать, какие именно данные вы хотите видеть на панели просмотра журнала.

Средство просмотра журнала также можно использовать для определения того, насколько хорошо работает модуль сканирования вирусов и вредоносных программ. Нажмите «Изменить фильтр» на панели «Задачи» и выберите «Действие проверки вредоносных программ» в раскрывающемся списке « Фильтровать по», затем выберите «Одно из» в раскрывающемся списке «Условие», а затем выберите «Заблокировано и очищено» в списке «Значение ». Нажмите кнопку «Добавить в список», а затем нажмите «Начать запрос». Если пользователь попытается загрузить вредоносное ПО, оно будет отображено в главном окне.

Изображение 23170
Рисунок 5

Чтобы использовать средство просмотра журнала для просмотра сведений об обнаружении и предотвращении вторжений, нажмите «Изменить фильтр» на панели «Задачи» и выберите « Результат сканирования NIS » в раскрывающемся списке « Фильтровать по », затем выберите «Одно из» в раскрывающемся списке «Условие», а затем выберите « Заблокировано и обнаружено». из списка значений. Нажмите кнопку «Добавить в список», а затем нажмите «Начать запрос». Если пользователь посещает веб-сайт, который пытается использовать уязвимость, для которой Network Inspection System (NIS) идентифицирует сигнатуру, она будет отображаться в главном окне.

Изображение 23171
Рисунок 6

Инструменты отчетности

Просмотр журналов доступа отлично подходит для получения актуальной информации о производительности брандмауэра, но часто администраторам безопасности нужны подробные отчеты, чтобы поделиться с руководством, чтобы продемонстрировать, что механизмы защиты функционируют должным образом. Чтобы создать отчет, перейдите на вкладку «Отчетность» и нажмите «Создать одноразовый отчет». Когда откроется мастер отчетов, дайте отчету описательное имя, а затем выберите подходящий период отчета и диапазон дат. Категории отчетов «Защита от вредоносных программ», «Фильтрация URL-адресов » и «Система проверки сети» предоставят наиболее подробную информацию.

Изображение 23172
Рисунок 7

Выберите параметр Отправлять уведомление по электронной почте о завершенных отчетах, если это необходимо, и, при необходимости, выберите каталог, в котором должны быть опубликованы отчеты. После завершения примените конфигурацию. Затем щелкните отчет правой кнопкой мыши и выберите «Создать и просмотреть отчет».

Изображение 23173
Рисунок 8

Отчет представлен в формате HTML и будет включать статистику по заблокированным пользователям, веб-сайтам с ограниченным доступом, угрозам, времени проверки и многому другому. Дополнительную информацию о деталях, содержащихся в отчетах TMG, можно найти здесь.

Изображение 23174
Рисунок 9

Монитор производительности Windows

Forefront TMG 2010 обладает широким набором инструментов, и использование монитора производительности Windows позволяет администратору безопасности заглянуть вглубь внутренней работы TMG, чтобы собрать подробную информацию о производительности компонентов веб-защиты TMG. Только для функции проверки вредоносных программ имеется 52 счетчика! Соответствующие объекты и счетчики системного монитора можно найти здесь:

  • Счетчики производительности защиты от вредоносного ПО
  • Счетчики эффективности фильтрации URL-адресов

Резюме

Forefront Threat Management Gateway (TMG) 2010 включает расширенные возможности веб-защиты, которые обеспечивают необходимую безопасность для современных корпоративных сетей. Для оценки производительности веб-защиты администратору Forefront TMG доступно множество информации. Просмотр журналов доступа обеспечивает представление в реальном времени действий, предпринятых брандмауэром. Собственные инструменты отчетности TMG позволяют администратору настраивать подробные отчеты, которые могут быть предоставлены руководству, чтобы продемонстрировать, что веб-защита TMG работает должным образом. Кроме того, Windows Performance Monitor предоставляет подробную информацию о различных компонентах веб-защиты. Имея все эти инструменты, администратор безопасности никогда не останется без информации об эффективности расширенных функций веб-защиты TMG.