tmg délelőtt / 1 forefront threat management gateway 2010 alapozzunk!

TMG délelőtt / 1Forefront Threat Management Gateway 2010Alapozzunk!

Gál Tamásv-tagal@microsoft.comIT üzemeltetési szakértőMicrosoft Magyarország

Informatika Tisztán sorozat – 2011http://technetklub.hu/InformatikaTisztan

- Áttekintés- Szerepkörök- Felhasználási területek- Építkezzünk!

TMG délelőtt - 1. előadás

A TMG elődei

Proxy Server 1.0, 2.0Internet Security and Acceleration Server

20002004 2006

A kakukktojás: TMG Medium Business Edition

Forefront TMG 2010 újdonságok• Malware szűrés• URL szűrés• Kétirányú HTTPS forgalom szűrés

Secure Web Access

• VoIP traversal (SIP)• Kibővített NAT• Több ISP kapcsolat kezelése • Új TMG kliens

Firewall

• Exchange Edge / FPE integráció

• Anti-virus• Anti-spam

E-mail Protection

• Network Inspection System (NIS)

• Protocol Anomalies

Intrusion Prevention

• NAP integráció >VPN

• Beépített SSTP publikálás

• DirectAccess támogatás

Remote Access

• W2K8 / R2, 64-bit• AD LDS storage• WFP integráció• Kibővített jelentések (SSRS)

Deployment & Management

• Update Center• HTTP: AV + URL szűrés

• Email: AV + spam• NIS szignatúrák

Subscription Services

4

- Áttekintés- Szerepkörök- Felhasználási területek- Építkezzünk!

TMG délelőtt - 1. előadás

Forefront Threat Management Gateway 2010

TűzfalProxy kiszolgálóSzerver publikálásVPN kiszolgálóGyorsítótár

Standard / Enterprise kiadás

250000 ISA + 150000 TMGTöbb mint 150 millió user

Mit csinál a tűzfal?

Háromszintű szűrésCsomag

Forrás, cél, protokoll, irány, port, ingress/ egress filter, stb.

Állapottartó - minden forgalomban, pl. VPN is3-way handshake

Alkalmazás rétegbeli – ritka és hasznospl. HTTP/S filter, Malware Inspection, stb.

Részletek később

Mit csinál a web proxy?

Hozzáférés és biztonságBelső hálózat elrejtéseFelhasználók hitelesítése Kérések szűrése, naplózásTartalom-vizsgálat

Forward és reverse proxy

Részletek később

11

33

6655

44 WebszerverTMG

LAN

22

11

Szűrés

33

55

44

22

66

11

Távoli user

DNS

TMG

Szűrés

Webszerver

Mit csinál a VPN kiszolgáló?

Részben az RRAS-ra támaszkodikDe az TMG MMC-ből intézünk mindent

Szimpla VPN Immár SSTP isHitelesítés különböző névterekbőlKülön hálózat, külön tűzfalszabályokVPN karantén

Site-to-Site VPNIPSec alapon is, hardverrel is

Mit csinál a gyorsítótár?

Teljesítmény növelés, sávszélesség megtakarítás

Tárolás a memóriában / háttértárakonForward / reverse cachingCache rules

Milyet? Honnan? Mit ne?HTTP fejlécek figyelése

De felülbírálása is

Content Download JobsWeb proxy chaining

Szerver

HDD

www.technetklub.hu

www.technetklub.hu

Szerver

RAM

66

TMG

11 5533

2244

Mit csinál a szerver publikálás?

PublikálásA kiszolgálóink szolgáltatásaink biztonságos közzétételeKomoly rizikófaktorNagyon sok és részletes segítség az TMG-ben

Részletek később

- Áttekintés- Szerepkörök- Felhasználási területek- Építkezzünk!

TMG délelőtt - 1. előadás

Felhasználási területekEdge Firewall

Mindent blokkol, amit nem engedünkBelső szerverek publikálásaWeb proxy és gyorsítótár funkcióVPN szerver funkció

Belső user Exchange kiszolgáló

Webszerver

TMG

Belső szerver

LAN

Webszerver

VPN

InternetTávoli user

Felhasználási területek3-leg Perimeter

Egy tűzfal, 3 NICBelső hálózat <> Perimeter

Belső user Exchange

Webszerver

TMGBelső szerver

LAN

Webszerver

Internet

Távoli user

Webszerver Exchange

Felhasználási területekBack-end firewall

Biztonságosabb Exchange publikálásBiztonságosabb web szerver publikálásWeb proxy és gyorsítótár funkció

Belső user Exchange

Webszerver

TMG

Belső szerver

LAN

Webszerver

Internet

Távoli user

Webszerver

Tűzfal

Exchange

Felhasználási területekIntegrált működés

Proxy és gyorsítótár szolgáltatásDial-up/VPN szerver funkcióMinden befelé érkező forgalom blokkolása

TMG

ISP szerver

VPN

InternetTávoli user

Belső user

Belső szerver

LAN

Webszerver

Felhasználási területekEgy hálózati kártyás működés

Nincs tűzfal, VPN szerver, szerver publikálás, csomagszűrés funkcióCsak gyorsítótár és web proxy

Belső user

TMG

Belső szerver

LAN

Webszerver

InternetTűzfal

Felhasználási területekBranch office firewall

IPSec v. PPTP/L2TP VPN tunnel (S2S)A telephelyi forgalom figyelése és szűréseBiztonságos internet hozzáférés a telephelyi gépek számára – akár a központi TMG szerveren át

* vagy más VPN gateway

TMG

Központ

Internet

TMG*

VPN Tunnel

Telephely

Belső szerver

LANLAN

- Áttekintés- Szerepkörök- Felhasználási területek- Építkezzünk!

TMG délelőtt - 1. előadás

TMG demókörnyezet – Edge firewall

DC1192.168.1.40

LAN(adatum.com)

WEBwww.fabrikam.com

131.107.0.2

SP1192.168.1.43

EX1192.168.1.42

EDG192.168.1.50131.107.0.1

CLI1192.168.1.43

Ál-Internet

Internet(csak az URLF-hez)

Az UI

demo

Multinetworking

Tetszőleges számú hálózatot kreálhatunkFizikai / logikai hálózatok vegyesen is

Előre definiált hálózatokLocal Host Internal, ExternalVPN Clients, Quarantined VPN Clients

Mindegyik hálózatra érvényesWeb proxy / firewall kliensek tulajdonságaiWeb browser, domains, addresses opciók

Szabályok

Hálózati szabályok

Testreszabható szabályokHálózatok közötti kapcsolat típusa (route / NAT)Gyári szabályokSorrend

Szabályok

TűzfalszabályokKliens / gép hozzáférés, bentről, kintrőlAlapesetben tiltás mindenreSorrend

AllowDenyAllowDeny UserUser

Destination NetworkDestination IPDestination Site

Destination NetworkDestination IPDestination Site

ProtocolIP Port/TypeProtocolIP Port/Type

Source networkSource IPSource networkSource IP

ScheduleContent TypeScheduleContent Type

action on traffic from user from source to destination with conditions

Szabályok

System PolicyElőre gyártott tűzfalszabályokMinimális változtathatóságTípusok:

AktívAutomatikusManuális

Tűzfalszabályok

demo

Kezelés, felügyelet

Távolból: MMC, Remote Desktop Alapértelmezésben mindkettő letiltva

Ellenőrzés: Dashboard, riasztások, kapcsolatok, szervizek, CV, Trobleshooting ToolsJelentések, időzítés, statisztika, ...Naplózás

Szöveg, MSDE, SQL + online naplóSaját Performance Monitor és BPA

Hitelesítéssel is(HTTP/S és FTP) több platformra, telepítés

nélkül

A legmélyebb kapcsolat, telepítéssel, teljeskörű

hitelesítéssel, titkosítva, automata észleléssel,

üzenetkezeléssel

Konfigurálás és telepítés nélkül, több platformra

TMG

Internet

Web Proxy kliensTMG kliens

SecureNAT kliens

TMG ügyfél típusok

Mit szeretnénk? Melyik passzol?

Kliens beállítás / telepítés nélkül SecureNAT

Csak gyorsítótár használat SecureNAT / Web Proxy kliens

Kizárólag hitelesítéssel TMG / Web Proxy kliens

Kiszolgáló publikálás (csak) SecureNAT

Böngészők használata nem Windows platformon

SecureNAT / Web Proxy kliens

TMG kliens típusok