tmg délelőtt / 1 forefront threat management gateway 2010 alapozzunk!
DESCRIPTION
Informatika Tisztán sorozat – 2011 http://technetklub.hu/InformatikaTisztan. TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!. Gál Tamás [email protected] IT üzemeltetési szakértő Microsoft Magyarország. TMG délelőtt - 1. előadás. - PowerPoint PPT PresentationTRANSCRIPT
TMG délelőtt / 1Forefront Threat Management Gateway 2010Alapozzunk!
Gál Tamá[email protected] üzemeltetési szakértőMicrosoft Magyarország
Informatika Tisztán sorozat – 2011http://technetklub.hu/InformatikaTisztan
- Áttekintés- Szerepkörök- Felhasználási területek- Építkezzünk!
TMG délelőtt - 1. előadás
A TMG elődei
Proxy Server 1.0, 2.0Internet Security and Acceleration Server
20002004 2006
A kakukktojás: TMG Medium Business Edition
Forefront TMG 2010 újdonságok• Malware szűrés• URL szűrés• Kétirányú HTTPS forgalom szűrés
Secure Web Access
• VoIP traversal (SIP)• Kibővített NAT• Több ISP kapcsolat kezelése • Új TMG kliens
Firewall
• Exchange Edge / FPE integráció
• Anti-virus• Anti-spam
E-mail Protection
• Network Inspection System (NIS)
• Protocol Anomalies
Intrusion Prevention
• NAP integráció >VPN
• Beépített SSTP publikálás
• DirectAccess támogatás
Remote Access
• W2K8 / R2, 64-bit• AD LDS storage• WFP integráció• Kibővített jelentések (SSRS)
Deployment & Management
• Update Center• HTTP: AV + URL szűrés
• Email: AV + spam• NIS szignatúrák
Subscription Services
4
- Áttekintés- Szerepkörök- Felhasználási területek- Építkezzünk!
TMG délelőtt - 1. előadás
Forefront Threat Management Gateway 2010
TűzfalProxy kiszolgálóSzerver publikálásVPN kiszolgálóGyorsítótár
Standard / Enterprise kiadás
250000 ISA + 150000 TMGTöbb mint 150 millió user
Mit csinál a tűzfal?
Háromszintű szűrésCsomag
Forrás, cél, protokoll, irány, port, ingress/ egress filter, stb.
Állapottartó - minden forgalomban, pl. VPN is3-way handshake
Alkalmazás rétegbeli – ritka és hasznospl. HTTP/S filter, Malware Inspection, stb.
Részletek később
Mit csinál a web proxy?
Hozzáférés és biztonságBelső hálózat elrejtéseFelhasználók hitelesítése Kérések szűrése, naplózásTartalom-vizsgálat
Forward és reverse proxy
Részletek később
11
33
6655
44 WebszerverTMG
LAN
22
11
Szűrés
33
55
44
22
66
11
Távoli user
DNS
TMG
Szűrés
Webszerver
Mit csinál a VPN kiszolgáló?
Részben az RRAS-ra támaszkodikDe az TMG MMC-ből intézünk mindent
Szimpla VPN Immár SSTP isHitelesítés különböző névterekbőlKülön hálózat, külön tűzfalszabályokVPN karantén
Site-to-Site VPNIPSec alapon is, hardverrel is
Mit csinál a gyorsítótár?
Teljesítmény növelés, sávszélesség megtakarítás
Tárolás a memóriában / háttértárakonForward / reverse cachingCache rules
Milyet? Honnan? Mit ne?HTTP fejlécek figyelése
De felülbírálása is
Content Download JobsWeb proxy chaining
Szerver
HDD
www.technetklub.hu
www.technetklub.hu
Szerver
RAM
66
TMG
11 5533
2244
Mit csinál a szerver publikálás?
PublikálásA kiszolgálóink szolgáltatásaink biztonságos közzétételeKomoly rizikófaktorNagyon sok és részletes segítség az TMG-ben
Részletek később
- Áttekintés- Szerepkörök- Felhasználási területek- Építkezzünk!
TMG délelőtt - 1. előadás
Felhasználási területekEdge Firewall
Mindent blokkol, amit nem engedünkBelső szerverek publikálásaWeb proxy és gyorsítótár funkcióVPN szerver funkció
Belső user Exchange kiszolgáló
Webszerver
TMG
Belső szerver
LAN
Webszerver
VPN
InternetTávoli user
Felhasználási területek3-leg Perimeter
Egy tűzfal, 3 NICBelső hálózat <> Perimeter
Belső user Exchange
Webszerver
TMGBelső szerver
LAN
Webszerver
Internet
Távoli user
Webszerver Exchange
Felhasználási területekBack-end firewall
Biztonságosabb Exchange publikálásBiztonságosabb web szerver publikálásWeb proxy és gyorsítótár funkció
Belső user Exchange
Webszerver
TMG
Belső szerver
LAN
Webszerver
Internet
Távoli user
Webszerver
Tűzfal
Exchange
Felhasználási területekIntegrált működés
Proxy és gyorsítótár szolgáltatásDial-up/VPN szerver funkcióMinden befelé érkező forgalom blokkolása
TMG
ISP szerver
VPN
InternetTávoli user
Belső user
Belső szerver
LAN
Webszerver
Felhasználási területekEgy hálózati kártyás működés
Nincs tűzfal, VPN szerver, szerver publikálás, csomagszűrés funkcióCsak gyorsítótár és web proxy
Belső user
TMG
Belső szerver
LAN
Webszerver
InternetTűzfal
Felhasználási területekBranch office firewall
IPSec v. PPTP/L2TP VPN tunnel (S2S)A telephelyi forgalom figyelése és szűréseBiztonságos internet hozzáférés a telephelyi gépek számára – akár a központi TMG szerveren át
* vagy más VPN gateway
TMG
Központ
Internet
TMG*
VPN Tunnel
Telephely
Belső szerver
LANLAN
- Áttekintés- Szerepkörök- Felhasználási területek- Építkezzünk!
TMG délelőtt - 1. előadás
TMG demókörnyezet – Edge firewall
DC1192.168.1.40
LAN(adatum.com)
WEBwww.fabrikam.com
131.107.0.2
SP1192.168.1.43
EX1192.168.1.42
EDG192.168.1.50131.107.0.1
CLI1192.168.1.43
Ál-Internet
Internet(csak az URLF-hez)
Az UI
demo
Multinetworking
Tetszőleges számú hálózatot kreálhatunkFizikai / logikai hálózatok vegyesen is
Előre definiált hálózatokLocal Host Internal, ExternalVPN Clients, Quarantined VPN Clients
Mindegyik hálózatra érvényesWeb proxy / firewall kliensek tulajdonságaiWeb browser, domains, addresses opciók
Szabályok
Hálózati szabályok
Testreszabható szabályokHálózatok közötti kapcsolat típusa (route / NAT)Gyári szabályokSorrend
Szabályok
TűzfalszabályokKliens / gép hozzáférés, bentről, kintrőlAlapesetben tiltás mindenreSorrend
AllowDenyAllowDeny UserUser
Destination NetworkDestination IPDestination Site
Destination NetworkDestination IPDestination Site
ProtocolIP Port/TypeProtocolIP Port/Type
Source networkSource IPSource networkSource IP
ScheduleContent TypeScheduleContent Type
action on traffic from user from source to destination with conditions
Szabályok
System PolicyElőre gyártott tűzfalszabályokMinimális változtathatóságTípusok:
AktívAutomatikusManuális
Tűzfalszabályok
demo
Kezelés, felügyelet
Távolból: MMC, Remote Desktop Alapértelmezésben mindkettő letiltva
Ellenőrzés: Dashboard, riasztások, kapcsolatok, szervizek, CV, Trobleshooting ToolsJelentések, időzítés, statisztika, ...Naplózás
Szöveg, MSDE, SQL + online naplóSaját Performance Monitor és BPA
Hitelesítéssel is(HTTP/S és FTP) több platformra, telepítés
nélkül
A legmélyebb kapcsolat, telepítéssel, teljeskörű
hitelesítéssel, titkosítva, automata észleléssel,
üzenetkezeléssel
Konfigurálás és telepítés nélkül, több platformra
TMG
Internet
Web Proxy kliensTMG kliens
SecureNAT kliens
TMG ügyfél típusok
Mit szeretnénk? Melyik passzol?
Kliens beállítás / telepítés nélkül SecureNAT
Csak gyorsítótár használat SecureNAT / Web Proxy kliens
Kizárólag hitelesítéssel TMG / Web Proxy kliens
Kiszolgáló publikálás (csak) SecureNAT
Böngészők használata nem Windows platformon
SecureNAT / Web Proxy kliens
TMG kliens típusok