TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk! 4/4/2017 7:09 PM Informatika Tisztán sorozat – 2011 http://technetklub.hu/InformatikaTisztan TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk! Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
- Áttekintés - Szerepkörök - Felhasználási területek - Építkezzünk! 4/4/2017 7:09 PM TMG délelőtt - 1. előadás - Áttekintés - Szerepkörök - Felhasználási területek - Építkezzünk! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
A TMG elődei Proxy Server 1.0, 2.0 Internet Security and Acceleration Server 2000 2004 2006 A kakukktojás: TMG Medium Business Edition
Forefront TMG 2010 újdonságok Malware szűrés URL szűrés Kétirányú HTTPS forgalom szűrés Secure Web Access VoIP traversal (SIP) Kibővített NAT Több ISP kapcsolat kezelése Új TMG kliens Firewall Exchange Edge / FPE integráció Anti-virus Anti-spam E-mail Protection Network Inspection System (NIS) Protocol Anomalies Intrusion Prevention NAP integráció >VPN Beépített SSTP publikálás DirectAccess támogatás Remote Access W2K8 / R2, 64-bit AD LDS storage WFP integráció Kibővített jelentések (SSRS) Deployment & Management Update Center HTTP: AV + URL szűrés Email: AV + spam NIS szignatúrák Subscription Services
- Áttekintés - Szerepkörök - Felhasználási területek - Építkezzünk! 4/4/2017 7:09 PM TMG délelőtt - 1. előadás - Áttekintés - Szerepkörök - Felhasználási területek - Építkezzünk! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Forefront Threat Management Gateway 2010 Tűzfal Proxy kiszolgáló Szerver publikálás VPN kiszolgáló Gyorsítótár Standard / Enterprise kiadás 250000 ISA + 150000 TMG Több mint 150 millió user
Mit csinál a tűzfal? Háromszintű szűrés Részletek később Csomag Forrás, cél, protokoll, irány, port, ingress/ egress filter, stb. Állapottartó - minden forgalomban, pl. VPN is 3-way handshake Alkalmazás rétegbeli – ritka és hasznos pl. HTTP/S filter, Malware Inspection, stb. Részletek később
Mit csinál a web proxy? Hozzáférés és biztonság Belső hálózat elrejtése Felhasználók hitelesítése Kérések szűrése, naplózás Tartalom-vizsgálat Forward és reverse proxy Részletek később Szűrés 3 LAN 6 5 1 1 2 4 Webszerver TMG 3 Szűrés DNS 4 Webszerver 5 2 1 TMG 6 Távoli user
Mit csinál a VPN kiszolgáló? Részben az RRAS-ra támaszkodik De az TMG MMC-ből intézünk mindent Szimpla VPN Immár SSTP is Hitelesítés különböző névterekből Külön hálózat, külön tűzfalszabályok VPN karantén Site-to-Site VPN IPSec alapon is, hardverrel is
Mit csinál a gyorsítótár? Teljesítmény növelés, sávszélesség megtakarítás Tárolás a memóriában / háttértárakon Forward / reverse caching Cache rules Milyet? Honnan? Mit ne? HTTP fejlécek figyelése De felülbírálása is Content Download Jobs Web proxy chaining Szerver RAM Szerver HDD 6 4 2 3 1 5 www.technetklub.hu TMG www.technetklub.hu
Mit csinál a szerver publikálás? A kiszolgálóink szolgáltatásaink biztonságos közzététele Komoly rizikófaktor Nagyon sok és részletes segítség az TMG-ben Részletek később
- Áttekintés - Szerepkörök - Felhasználási területek - Építkezzünk! 4/4/2017 7:09 PM TMG délelőtt - 1. előadás - Áttekintés - Szerepkörök - Felhasználási területek - Építkezzünk! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Felhasználási területek Edge Firewall Mindent blokkol, amit nem engedünk Belső szerverek publikálása Web proxy és gyorsítótár funkció VPN szerver funkció Webszerver LAN TMG Webszerver VPN Távoli user Internet Belső szerver Exchange kiszolgáló Belső user
Felhasználási területek 3-leg Perimeter Egy tűzfal, 3 NIC Belső hálózat <> Perimeter Webszerver Exchange Webszerver LAN Webszerver Távoli user Belső szerver Internet TMG Belső user Exchange
Felhasználási területek Back-end firewall Biztonságosabb Exchange publikálás Biztonságosabb web szerver publikálás Web proxy és gyorsítótár funkció Webszerver Webszerver LAN TMG Webszerver Távoli user Internet Belső szerver Tűzfal Belső user Exchange Exchange
Felhasználási területek Integrált működés Proxy és gyorsítótár szolgáltatás Dial-up/VPN szerver funkció Minden befelé érkező forgalom blokkolása Belső user Belső szerver LAN ISP szerver Webszerver VPN Távoli user Internet TMG
Felhasználási területek Egy hálózati kártyás működés Nincs tűzfal, VPN szerver, szerver publikálás, csomagszűrés funkció Csak gyorsítótár és web proxy TMG LAN Webszerver Belső szerver Internet Tűzfal Belső user
Felhasználási területek Branch office firewall IPSec v. PPTP/L2TP VPN tunnel (S2S) A telephelyi forgalom figyelése és szűrése Biztonságos internet hozzáférés a telephelyi gépek számára – akár a központi TMG szerveren át LAN Központ LAN TMG* TMG Internet Telephely VPN Tunnel Belső szerver * vagy más VPN gateway
- Áttekintés - Szerepkörök - Felhasználási területek - Építkezzünk! 4/4/2017 7:09 PM TMG délelőtt - 1. előadás - Áttekintés - Szerepkörök - Felhasználási területek - Építkezzünk! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
TMG demókörnyezet – Edge firewall Internet (csak az URLF-hez) SP1 192.168.1.43 CLI1 192.168.1.43 Ál-Internet WEB www.fabrikam.com 131.107.0.2 DC1 192.168.1.40 EDG 192.168.1.50 131.107.0.1 LAN (adatum.com) EX1 192.168.1.42
4/4/2017 7:09 PM Az UI demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Multinetworking Tetszőleges számú hálózatot kreálhatunk Fizikai / logikai hálózatok vegyesen is Előre definiált hálózatok Local Host Internal, External VPN Clients, Quarantined VPN Clients Mindegyik hálózatra érvényes Web proxy / firewall kliensek tulajdonságai Web browser, domains, addresses opciók
Szabályok Hálózati szabályok Testreszabható szabályok Hálózatok közötti kapcsolat típusa (route / NAT) Gyári szabályok Sorrend
Szabályok Tűzfalszabályok Kliens / gép hozzáférés, bentről, kintről Alapesetben tiltás mindenre Sorrend Destination Network Destination IP Destination Site action on traffic from user from source to destination with conditions Allow Deny User Protocol IP Port/Type Source network Source IP Schedule Content Type
Szabályok System Policy Előre gyártott tűzfalszabályok Minimális változtathatóság Típusok: Aktív Automatikus Manuális
demo Tűzfalszabályok 4/4/2017 7:09 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Kezelés, felügyelet Távolból: MMC, Remote Desktop Alapértelmezésben mindkettő letiltva Ellenőrzés: Dashboard, riasztások, kapcsolatok, szervizek, CV, Trobleshooting Tools Jelentések, időzítés, statisztika, ... Naplózás Szöveg, MSDE, SQL + online napló Saját Performance Monitor és BPA
TMG ügyfél típusok SecureNAT kliens Konfigurálás és telepítés nélkül, több platformra Internet TMG TMG kliens Web Proxy kliens A legmélyebb kapcsolat, telepítéssel, teljeskörű hitelesítéssel, titkosítva, automata észleléssel, üzenetkezeléssel Hitelesítéssel is (HTTP/S és FTP) több platformra, telepítés nélkül
TMG kliens típusok Mit szeretnénk? Melyik passzol? Kliens beállítás / telepítés nélkül SecureNAT Csak gyorsítótár használat SecureNAT / Web Proxy kliens Kizárólag hitelesítéssel TMG / Web Proxy kliens Kiszolgáló publikálás (csak) SecureNAT Böngészők használata nem Windows platformon
Windows 7 | Presenter Mode Tuesday, April 04, 2017 Microsoft Confidential