В этой статье мы рассмотрим проблемы настройки интерфейса с точки зрения модели развертывания брандмауэра TMG.

Введение

Есть ряд статей, в которых даются советы по настройке интерфейсов на брандмауэрах ISA или TMG. Думаю, это отлично! Чем больше, тем лучше, и именно разнообразие мнений делает этот бизнес интереснее и веселее. Однако это также может вызывать неразбериху, когда какой-либо информации недостает или когда имеет место разногласие между разными источниками информации.

В этой статье мы рассмотрим проблемы конфигурации интерфейса с точки зрения модели развертывания брандмауэра TMG. По большому счету есть три основных модели развертывания брандмауэра TMG:

• Брандмауэр переднего плана
• Tri-homed брандмауэр с поддержкой DMZ
• Unihomed (ограниченный режим) брандмауэр

Для каждой из этих моделей развертывания брандмауэра TMG мы рассмотрим моменты, связанные с интерфейсами. Обратите внимание, что это обсуждение не будет полномасштабным, и будет в определенном смысле ограниченным, поскольку я пишу его в дороге, и поэтому у меня нет прямого доступа к брандмауэру TMG, и я не смогу предоставить снимки экрана в качестве примеров того, о чем буду говорить. Однако я намереваюсь дать достаточно информации, чтобы вы смогли спроектировать план развертывания брандмауэра TMG.

Брандмауэр переднего плана

Конфигурация брандмауэра переднего плана (front-end Firewall) является самой распространенной опцией развертывания TMG. Тому есть веская причина: с самого начала TMG разрабатывался, как пограничный межсетевой экран, предназначенный для предоставления такого же или более высокого уровня безопасности, как и у межсетевых экранов Cisco ASA или Check Point. И в этой степени TMG очень хорошо себя зарекомендовал, показывая превосходство в безопасности над Cisco и Check Point. Если вам нужен один из самых надежных пограничных межсетевых экранов, доступных сегодня, вы не найдете ничего лучше брандмауэра TMG.

Брандмауэр переднего плана будет использовать два интерфейса ‘ один подключен к внешней сети (интернету), а другой – к внутренней сети определенного типа. В большинстве случаев «внутренняя» сеть, к которой подключен внутренний интерфейс, будет представлять собой определенного рода сеть, включающую все внутренние сети. В малых организациях нет такой сети и внутренний интерфейс брандмауэра TMG будет подключен к ‘рабочей’ внутренней сети компании.

Настройка внешнего интерфейса

При настройке внешнего интерфейса в этом сценарии нужно будет настроить IP адреса, которые должны быть заданы внешнему интерфейсу. Одна сетевая карта может принимать несколько IP адресов, поэтому если вы хотите привязать несколько IP адресов к внешнему интерфейсу, вы можете сделать это безо всяких проблем; нужно ввести дополнительные IP адреса в закладке ‘Дополнительно (Advanced)’ в окне настройки IP адресов внутреннего интерфейса. Затем указываете основной шлюз внешнего интерфейса. НЕ вводите DNS сервер для внешнего интерфейса. Брандмауэр TMG необходимо настраивать только на использование внутреннего DNS сервера, и этот DNS сервер должен иметь возможность разрешать имена внутренних и внешних узлов. То, как внутренний DNS сервер будет это делать, не является заботой брандмауэра TMG; нужно просто убедиться, что на сетевых картах TMG не настроен внешний DNS сервер.

Это все, что касается настройки внешнего интерфейса (по крайней мере, в штатной конфигурации). Есть определенные обстоятельства, в которых потребуется дополнительная конфигурация ‘ например, когда вы создаете multi-ISP конфигурацию или разворачиваете Network Load Balancing для массива брандмауэров TMG.

Настройка внутреннего интерфейса

На внутреннем интерфейсе брандмауэра TMG, который является пограничным межсетевым экраном, нужно ввести IP адрес. Да, это очевидно. Я хочу сказать, что нужно добавить IP адрес, действительный для внутренней сети, к которой он подключен ‘ либо набор сетей или активная внутренняя сеть. На внутреннем интерфейсе не указывается основной шлюз. В брандмауэре TMG основной шлюз никогда не указывается на внутреннем интерфейсе. Если вам нужен маршрут к удаленной внутренней сети, вам нужно добавить записи в таблицу маршрутизации на брандмауэре TMG. Примечательным в TMG является то, что можно вводить эти записи таблицы маршрутизации во время установки TMG. Еще одним преимуществом такой возможности в мастере установки TMG является то, что, если записи таблицы маршрутизации известны заранее, брандмауэр TMG может автоматически определить адреса, которые станут частью основной Внутренней сети.

Также нужно указать один или более DNS серверов на внутреннем интерфейсе. Лучше указывать более одного сервера, просто на случай, если основной DNS сервер станет недоступен. Эти DNS серверы должны разрешать публичные и частные имена (частными именами будут имена ресурсов в корпоративной сети). Внутренние DNS серверы должны иметь способ разрешения публичных имен. Есть ряд способов, которыми можно настроить свой внутренний DNS на разрешение публичных имен, и скорее всего, это у вас уже настроено. Если ваши DNS серверы будут иметь доступ к публичным DNS серверам через брандмауэр TMG, обязательно создайте правило доступа, разрешающее DNS серверам исходящий доступ по протоколу DNS к основной Внешней сети.

Порядок интерфейсов

После настройки внутреннего интерфейса нужно обязательно поднять его вверх списка интерфейсов. Это можно сделать из окна сетевых подключений (Network Connections), выбрав меню ‘Дополнительно (Advanced)’. На рисунке ниже показан диалог ‘Дополнительные настройки (Advanced Settings)’ на машине Windows 7, который будет похож на такой же диалог в Windows Server 2008 R2, в котором настраивается данный параметр для компьютера брандмауэра TMG. Просто используйте стрелки для перемещения внутреннего интерфейса на брандмауэре TMG вверх списка интерфейсов. Это ускорит разрешение имен DNS.

Причина, по которой нас должна беспокоить возможность разрешения имен публичных узлов брандмауэром TMG заключается в том, что при настройке внутренних узлов в качестве клиентов брандмауэра или веб-прокси клиентов (TMG клиенты – это клиенты брандмауэра) эти типы клиентов позволяют брандмауэру TMG разрешать имена от своего имени. Если клиенты брандмауэра или веб-прокси клиенты не смогут полагаться на брандмауэр TMG в части разрешения имен от своего имени, то они не смогут разрешать имена, и подключение не будет работать.

Итак, это все, что касается конфигурации пограничного брандмауэра. Есть три момента, которые необходимо помнить постоянно при настройке пограничного брандмауэра:

• Никогда не указывайте внешний DNS сервер на интерфейсах брандмауэра TMG,
• Никогда не указывайте адрес DNS сервера на внешнем интерфейсе брандмауэра TMG, и
• Никогда не задавайте основной шлюз на внутреннем интерфейсе брандмауэра TMG.

Tri-Homed (или Multi-Homed) TMG

Конфигурация tri-homed (или multi-homed) TMG брандмауэра схожа с конфигурацией пограничного брандмауэра в том, что в ней также используется внутренний и внешний интерфейс. Однако помимо этих двух интерфейсов здесь также используются дополнительные интерфейсы. Эти дополнительные интерфейсы могут быть DMZ интерфейсами или интерфейсами дополнительных внутренних сетей.

Когда мы говорим о DMZ интерфейсах, мы обычно воспринимаем их, как интерфейсы, подключенные к сети, обеспечивающей доступ устройствам с выходом в интернет. Интерфейсы дополнительных внутренних сетей могут быть другими сетями, подключенными к брандмауэру TMG и содержащими внутренние узлы, которые не имеют выхода в интернет.

При настройке сетевых карт для интерфейсов DMZ вы задаете им действительные IP адреса сетей, к которым они подключены. На них не указываются записи DNS серверов или основных шлюзов. К тому же, они не должны помещаться вверху списка интерфейсов в отличие от внутреннего интерфейса брандмауэра TMG. Нужно также настроить соответствующую маску подсети, как и для всех интерфейсов, подключенных к брандмауэру TMG.

Эти же критерии действительны для интерфейсов дополнительных внутренних сетей брандмауэра TMG. На интерфейсах дополнительных внутренних сетей настраиваются соответствующие IP адреса и маски посети. Как и в случае с DMZ интерфейсами, здесь не указывается настройка DNS сервера или основного шлюза. Если вам нужно подключение этой сети к удаленной сети, используйте консоль брандмауэра TMG для добавления новых маршрутов на брандмауэр TMG.

Как видите, конфигурация DMZ и интерфейсов дополнительных внутренних сетей очень схожа с настройкой конфигурации пограничного брандмауэра и не является сложной. Для настройки этих интерфейсов не требуется никаких специальных инструментов. Здесь действует принцип: «не стоит все усложнять» .

Режим Unihomed ‘Hork Mode’ TMG

Брандмауэры TMG с одной сетевой картой часто называют брандмауэрами ‘hork mode (в ограниченном режиме)’ (по крайней мере, Том популяризировал этот термин при написании статей о такой конфигурации), поскольку брандмауэр TMG с одной сетевой картой не использует большую часть своего функционала и компонентов безопасности. Это как купить Феррари, а затем снять с нее три колеса, потому что машина «едет слишком быстро». Тем не менее, существует много организаций, которые хотят или которым нужно развернуть брандмауэр TMG в таком режиме, и по этой причине нужно убедиться, что сетевая карта на брандмауэре настроена корректно.

При настройке брандмауэра в режиме unihomed TMG, нужно понимать, что в этой конфигурации нет противопоставления внутренних сетей внешним. В брандмауэре unihomed все сети считаются внутренними. Поскольку TMG не доверяет никаким сетям, все не так плохо, как кажется ‘ TMG не доверяет внутренней сети, так же как и любой другой сети, поэтому не нужно беспокоиться о том, что взломщики могут воспользоваться таким режимом TMG только потому, что он воспринимает все адресное пространство IPv4, как внутреннее.

При настройке сетевой карты брандмауэра TMG в таком режиме вам нужно задать ей действительный IP адрес. Этот адрес будет использоваться для исходящего доступа (прямой прокси) и входящего доступа (обратный прокси). Если вам нужно опубликовать несколько сайтов через unihomed TMG, вы можете настроить несколько IP адресов на сетевой карте. Нужно обязательно обратить один из IP адресов к веб-прокси прослушивателю, если вам нужно, чтобы он слушал на TCP порте 80. Однако по умолчанию используется TCP порт 8080, поэтому если вы воспользуетесь умолчаниями, вы не столкнетесь с проблемами, связанными с вашим сценарием веб публикации.

Также нужно указать основной шлюз и любые маршруты к удаленным внутренним сетям своей внутренней сети. Эти маршруты можно ввести в процессе установки ‘ однако, в случае с unihomed TMG, эти маршруты не будут использоваться для определения адресного пространства основной Внутренней сети, так как все IPv4 адреса считаются внутренними для брандмауэра unihomed TMG.

Внутренний DNS сервер (или серверы) нужно настроить на сетевой карте по тем же причинам, что и для внутреннего интерфейса в конфигурации пограничного брандмауэра. Однако в данном случае брандмауэр TMG не будет разрешать имена клиентов брандмауэра, поскольку брандмауэр в режиме hork mode не поддерживает клиентов брандмауэра; он поддерживает только веб-прокси клиентов.

Это все, что нужно знать о настройке интерфейса брандмауэра TMG в режиме unihomed. Здесь нет проблем с перемещением интерфейса по списку интерфейсов, поскольку здесь он всего один. Но следует помнить, что здесь, как и в других конфигурациях, нельзя указывать адрес публичного DNS сервера в настройках сетевой карты.

Заключение

В этой статье мы обсудили некоторые вопросы, связанные с настройкой сетевых карт (интерфейсов) брандмауэра TMG. Мы разбили настройку интерфейсов на три сценария: пограничный брандмауэр (edge firewall), брандмауэр в режиме multi-homed и брандмауэр в режиме unihomed. Хотя во всех трех сценариях есть сходства, для каждого сценария есть свои специфические моменты.