forefront tmg 2010 - راهکارهای جامع دیتاسنتر · 2017-08-28 · iag 2007...
TRANSCRIPT
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
1
يكيالكترون از كتاب يينمونه ا
آموزش
Forefront TMG 2010
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
2
TMG ،UAG ،IAG مقايسه و
هاآن قابليتهاي بين
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
3
قابل Enterpriseو Standard، در دو نسخه TMGسرويس نصب مي باشد كه مي توانيد سناريوهاي قابل پياده سازي توسط
شوند، قابليت هايي كه پشتيباني مي CPUهر نسخه، تعداد در هر نسخه ،را ديگر موارد بسياري از، وArrayپشتيباني از :مشاهده كنيد
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
4
در اختيار خواهيد Enterprise Editionنسخه با قابليتهايي كه داشت عبارتند از :
• Multi-server array • More than four processors
به باال) CPU 4(پشتيباني از
• Support for CSS configuration storage
)، آشنا خواهيد شد7با اين قابليت در فصل (
• Enterprise management console
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
5
)آشنا مي شويد EMSو Enterprise(با نصب نسخه
• Stirling integration • NLB support
)Network Load Balancing(قابليت پشتيباني از
• CARP support
)Cache Array Resource Protocol(پشتيباني از
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
6
TMG MBE (Medium Business Edition)نسخه Windowsهمراه بامي باشد كه Server ISAنسخه بعدي
Essential Business Server اين نسخه فقط نصب مي شود .اجرا مي شود و Windows Server 2008 ،64-bitروي نسخه
، مانند قابليت پشتيباني از TMG Enterpriseگيهاي نسخه ژاز ويبر روي تمامي Policy(اعمال Enterprise Policyآرايه و يا
.، پشتيباني نمي كند) EMSاعضاي آرايه با استفاده از
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
7
سه نصب امكان EE (Enterprise Edition)نسخه
Feature زير را به شما مي دهد:
• TMG Services and management
Featureو ساير TMGبا انتخاب اين گزينه كنسول مديريتي هاي آن براي شما نصب خواهد شد از طريق اين كنسول مديريتي
را نيز مديريت نمود. TMGمي توان ساير
نيز نصب كنيد اما به RODCرا مي توانيد بر روي Featureاين در را Readقابليت مي توان ها فقط RODCدليل اينكه بر روي
از ،آنها در يا تغيير TMGامكان انجام تنظيمات ،داشت اختيار وجود ندارد. RODCطريق
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
8
، Standardبر روي نسخه هاي را Featureمي توان اين Enterprise وData Center هاي از سيستم عاملWindows
Server 2008 R2 و Windows Server 2008 R2 SP2- 64 bit نصب نمود.
• TMG Management only
براي مديريت نصب خواهد شد كه TMGفقط كنسول مديريتي .استفاده مي شوداز طريق ريموت TMGسرويسهاي
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
9
• Enterprise Management Server (EMS) for centralized array management
طريقاز ها TMGبر روي آرايه اي از به منظور مديريت متمركز RAMيك كامپيوتر، اين گزينه را انتخاب مي كنيم. و حداقل به
1 GB .نياز دارد
Featureو Enterpriseنسخه TMGنوع سيستم عاملهايي كه از هاي آن پشتيباني مي كنند طبق جدول زير مي باشد كه در هنگام
با توجه به نوع سناريو مورد نياز، مي توانيد TMGنصب سرويس از اين سيستم عاملها استفاده كنيد.
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
10
IAG 2007
IAG 2007 يك ،Server Application مي باشد كه به Internet Server Application) ،فيلتر ISAPIعنوان
Programing Interface) وISAPI Extension روي ،IIS V6 .اجرا مي شود ،IAG 2007 به ،IIS V6 وWindows
Server 2003 .نياز دارد
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
11
از حمالتي كه از شبكه هاي IAG 2007ت از برنامه ظبراي محاف ISA Serverسرچشمه بگيرد،ممكن است داخلي و خارجي
اضافه شده بود، يعني IAG 2007به Standardنسخه 2006نيز IAG 2007 ،ISA Server 2006همراه با خريداري برنامه
بر روي همان كامپيوتر نصب مي شد.
را مي توانيد در شكل زير مالحظه IAG 2007معماري هسته :نماييد
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
12
User:در دو مود عملياتي IAGهمانطور كه مشاهده مي كنيد mode وKernel modeفعاليت مي كند ، ، IAG 2007 جهت
وابسته مي باشد. IISشديدا به عملكرد صحيح،
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
13
ISAPI Filter وISAPI Extension ،فرايند تحتInetinfo.exe در ،User Mode فقط پردازش .اجرا مي شود
HTTP.SYS (HTTP protocol stack) ،از Kernel Mode .در ارتباط مي باشد IISمستقيما با
Userاگر اين سوال مطرح شود كه با وجود اجراي هر چيزي در
Mode، مزيت داشتنHTTP.SYS در مودKernel ،چيست و شامل موثر بودهبهبود عملكرد آن مواردي است كه در پاسخ
د:نموارد زير مي باش شده اند، به سرعت پاسخ داده Cacheكه IISدرخواستهاي •
User Modeمجبور نيست به IISبه دليل اينكه ،مي شوند
سوئيچ كند.
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
14
درخواستها را در صف قرار مي دهد، اين IISزماني كه •
مود هستند، اگر هيچ پردازشي براي Kernelدرخواستها در
پذيرفتن اين درخواست در حال فعاليت نباشد، ارسال آن به
مود كاربر با تآخير مواجه نمي شود.
Forefront UAG نسل بعديIAG 2007 Forefront Unified Access Gateway (UAG)، يك گام
بزرگ در يكپارچه سازي و امنيت برنامه هاي كاربردي و بهبود عملكرد كاربران نهايي در هر جايي بوده و شامل پيشرفتهاي
مي باشد. TMGمديريتي و يكپارچگي با
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
15
UAG مي تواند همراه باTMG عمل كند به دليل اينكه ،UAG نيزشود و از مزاياي مي اجرا Windows Server 2008روي
فراهم IIS 6كه بهبودهاي امنيتي بيشتري نسبت به IIS 7معماري بهره مند مي باشد. ،كرده است
، اين است كه IIS 7به عنوان مثال تغيير امنيتي هسته آن بر روي
HTTP.SYS protocol stackدر ، مسئول پردازشهاي امنيتي(مانند احراز هويت ،فيلتر نمودن درخواستها خصوص
.با پروتكل كربروس) مي باشد HTTPدرخواستهاي
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
16
براي ارائه موارد زير طراحي شده است: UAGبه طور كلي دسترسي به برنامه هاي كاربردي از اينترنت •
single sign-on (SSO)پشتيباني از •
اعتماد به كاربران و استفاده از قابليتهاي امنيتي جهت •
مورد استفاده آنهاكامپيوترهاي
بهبود كنترل رفتار برنامه ها •
ارائه دهنده روشهاي گسترده اي از احراز هويت •
• Remote Access با استفاده ازSSL VPN
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
17
TMG نيز به منظور برطرف كردن نيازهاي امنيتي الزم جهت ارائهها طراحي شده است كه اين نيازهاي امنيتي شامل Serverبه
موارد زير مي باشند: و Firewallنياز به برنامه هاي كاربردي عمومي در سطح •
Proxy
، SMTPسادگي دسترسي به سرويسهاي كاربردي مانند •
POP 3 ... و
بررسي قابل اعتماد بودن كامپيوترهاي كالينتها •
مقابل دسترسي از اينترنتمحافظت از شبكه هاي خود در •
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
18
و SSTP ،PPTP، با پروتكلهاي VPNاتصاالت •
L2TP/IPsec
UAGو TMGتفاوتهاي بين
TMG در نقش،Enterprise Edge Firewall مي باشد كه شبكهداخلي را از آسيبهاي اينترنت محافظت كرده و دسترسي منابع
، داخلي به اينترنت را به صورت محافظت شده فراهم مي كندTMG ويژگيهاي ،Publishing قدرتمندي برايPublish نمودن
Outlook Web Access ،Exchangeسرويسهاي داخلي مانند، Active Syncبه اينترنت دارا مي باشد.ر سرويسها ي، و سا
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
19
براي ،اي را كنترل محدود شده Publishing هوشمند گيژاما ويفراهم ميكند. در ،شده داخلي Publishكالينتها به منابع دسترسي
، به عنوان فايروالي براي كنترل Forefront TMGحقيقت .درخواستهاي ورودي و خروجي عمل ميكند
براي گسترش و بهبود ويژگيهاي ، Forefront UAGاما Publishing مورد استفاده قرار مي گيرد. از جمله اين ويژگيهاي ،
، ( توجه داشته باشيد Portal ،SSL VPNتوسعه يافته، مي توان به )، كند پشتيباني مي SSTPبه صورت SSL VPN، از TMGكه
Direct Accessو ويژگي قدرتمند ،Endpoint Access Policy براي كنترلDevice براي دسترسي به هاي كالينتهاUAG، اشاره نمود.
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
20
نصب UAGفقط براي محافظت از را TMG مي توانيد همچنين Application Layer، به عنوان UAGر حقيقت كنيد، د
Gateway راه كاري براي دسترسي هاي ورودي ، عمل كرده و .از اينترنت به منابع داخلي مي باشد
جدول تصميم گيري زير به صورت خالصه براي پاسخ به اين ها و TMG .Featureاستفاده شود يا UAGسوال است كه از
قابليتهاي مشترك بين هر دو محصول حذف شده اند به دليل مفيد واقع شوند:اينكه نمي توانند در اين تصميم گيري
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
22
TMGو UAGمثالي از طراحي شبكه با
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
23
UAG Forefrontو Forefront TMG 2010جدول مقايسه قابليتهاي
Feature or Capability Forefront
Threat Management Gateway 2010
Forefront Unified Access Gateway 2010
Scale Out Using Arrays
Arrays enable you to apply the same configuration setting to multiple machines participating in the same array
X X
Network load balancing of the publishing array
Network Load Balancing (NLB) enables high availability and transparent failover for participants in the NLB array
X X
Load Balancing of Back-End Servers
Integrated Web Farm load balancing enables you to load balance connections
X X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
24
to back-end web servers, removing the need for a hardware load balancer behind the web gateway Single network interface deployment
The web gateway can be deployed in a single NIC configuration, so that NICs do not span multiple networks
X
Enterprise Management (multiple nodes in one array)
Enterprise Management enables the administrator to manage multiple arrays located throughout the organization from a single management interface; in addition, configuration for all arrays is stored in a centralized location which located off any of the array members
X
Integrated Windows Authentication
Integrated Windows
X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
25
Authentication enables SPNEGO, Kerberos or NTLM authentication with the web gateway Support two-factor authentication for web applications
Two-factor (multi-factor) authentication enables the administrator to require users to present two or more pieces of information to access resources
X X
Certificate Authentication with ActiveSync
Certificate authentication with ActiveSync increases the overall ActiveSync security scenario by requiring the device to present a certificate before allow access to Exchange Server resources
X
Upgrade Path from ISA 2006
While it’s not possible to
X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
26
do an in-place upgrade from ISA to TMG (because ISA was 32bit only and TMG is 64bit only), there is a clear and easy to perform upgrade path. Authorization Using Endpoint Policies
Endpoint detection determines the state of the device connecting to the gateway and enforces access policy based on the results of the endpoint detection
X
SharePoint rich client support (MSOFBA)
MSOFBA is a protocol that provides forms based authentication, instead of basic authentication, when you use Office client applications
X
Federation support with ADFS
Use integration support for ADFS to enable federated identity
X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
27
scenarios Endpoint Session Cleanup
Endpoint session cleanup provides a mechanism to remove information obtained from the server during the course of the session; removal takes place on log off.
X
Port Scalability
Port scalability enables you to publish more resources while using fewer ports on the receiving interface of the web gateway
X
Password Lockout Protection (at a node level)
Password lockout protection protects the user account from being inadvertently locked out by either a friendly or malicious user; user is locked out of the gateway, but not in the Active Directory.
X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
28
Granular access policies
Granular access policies enable the administrator to control access to applications and to components of applications, based on the results of user and device assessments.
X
Support for DirectAccess
DirectAccess is a new remote access technology that enables users to be always connected to the intranet and enables IT to always be connectivity to the users – all done transparently without user intervention
X
Portal functionality to publish multiple line-of-business applications
Portal functionality enables users to connect to a single URL to access a portal page that contains applications and services available to the user,
X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
29
based on the results of user and device assessment. Load balancing support for HTTP-based protocol access from the Internet
Load balancing enables an array of web gateway to handle more requests more efficiently by evenly distributing connections among members of the load balanced array.
X X
Highly Customizable
Customizable according to the support guidelines and the development policies and processes for Microsoft partners
X
Built-in Wizards for Exchange
Built-in wizard for publishing Exchange web services makes it simple to publish these resources using a secure default configuration
X X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
30
Outlook Web Access “Look and Feel”
Both UAG and TMG provide a log on page experience that is similar to the one provided by Exchange Outlook Web Access (OWA).
X X
Publish Microsoft Office Outlook Web App and the Exchange Control Panel (ECP) using forms-based authentication
Forms based authentication enables users to enter credentials in an easy to use form to authenticate with the web gateway
X X
Publish Outlook Anywhere using Basic or NTLM authentication
X X
Publish Microsoft Exchange ActiveSync using Basic authentication
X X
Support two-factor authentication for Exchange ActiveSync
X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
31
Provide certificate-based authentication for Exchange ActiveSync, Outlook Web App, and ECP
X
Perform mail hygiene for Exchange with installation of the Edge Transport server role and Microsoft Forefront Protection 2010 for Exchange Server
Email inspection can be performed on the web gateway to protect against spam and malware
X
Protect and filter Internet access for internal users from malware and other Web-based threats
The web gateway can perform URL filtering to block undesirable web sites and scan and block malware delivered from the web
X
Provide support for scaled up Outlook Anywhere deployments by using
X
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
32
multiple source IP addresses
UAG has a Port Scalability feature that allows UAG to use multiple source IP address on its internal interface to contact the published CAS servers, allowing it to overcome the limit of 60000 ports maximum in a single IP address. Check a client computer accessing Outlook Web App for presence of approved antivirus software, updates, etc.
Endpoint detection can be performed to insure that the client attempting to access the OWA Exchange web service meets corporate security standards before allowing access
X
Built-in features for SharePoint publishing
The web gateway has
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
33
wizards and other technologies that make intelligent decisions on how to best publish
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
34
پشتيباني مي شوند: TMG 2010و MBEنسخه TMG مقايسه قابليتهايي كه در
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
35
و MBEنسخه ISA 2006، TMG مقايسه قابليتهايي كه در
TMG 2010 :پشتيباني مي شوند
www.Modir-Shabake.com فـرزان يآموزشـ گـروه
36
اين مبحث قسمتي از مطالب مختص به
كه توسط TMG 2010كتاب الكترونيكي آموزش
گروه آموزشي فرزان توليد شده است، مي باشد.
WWW.Modir-Shabake.com