در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش گام به گام راه اندازی فایروال TMG قسمت 1 : توپولوژی ها

مایکروسافت سالهاست در زمینه تولید و توسعه فایروال در لایه نرم افزار فعالیت دارد و از روزی که بنده خاطرم هست محصول فایروال خود را به نام ISA یا Internet Security and Acceleration به بازار ارائه می کرد. بنده با این محصول از سال 2000 تا کنون آشنایی دارم و در طول این مدت باید بگویم هسته اصلی این نرم افزار چندان تغییر اساسی نداشته است و شاید بگوییم با ارائه شدن ISA Server 2004 محصولات بعدی دیگر تحول اساسی در هسته خود ندیدند و فقط چندین قابلیت و امکانات جدید به این محصول اضافه شد.

هر چند که این محصول را به عنوان یک محصول قابل اطمینان در شبکه نمی توانم مطرح کنم و یک راهکار سازمانی واقعی از نظر بنده نیست ما به هر حال در سطوح SOHO با توجه به دارا بودن رابط کاربری ساده بسیار مناسب است ، مایکروسافت بعد از محصول ISA Server 2006 دیگر محصول خود را به عنوان ISA معرفی نکرد و با انجام دادن یک سری تغییرات اساسی و اضافه کردن امکانات جدید به این محصول نامش را به TMG یا Threat Management Gateway تغییر داد. سرعت بخشیدن و امنیت اینترنتی به دروازه مدیریت تهدیدات تبدیل شد ، این همان تغییری بود که در اسم این محصول ایجاد شد.

اما ساختار کاری و محیط مدیریتی آن چندان تغییری نکرده بود ، افرادی که با ISA Server های قدیمی کار کرده باشند براحتی با کنسول مدیریتی این محصول ارتباط برقرار می کنند . هنوزم هم اگر از بنده بپرسید برای مطالعه این محصول چه کتابی را بخوانم ، به شما می گویم کتاب ISA Server 2004 را از انتشارات MSPress مطالعه کنید که در این خصوص کاملترین کتاب است.


اما چه تغییراتی در اساس کار این محصول ایجاد شده است ؟ ISA Server در سال 2006 حجمی بالغ بر 60 مگابایت داشت اما TMG حداقل 1 گیگابایت فضا می گیرد ! خارج از بحث زیاد شدن حجم نرم افزار چه تغییری در این محصول ایجاد شده است که اینچنین باعث افزایش حجم آن شده است ؟ در واقع مایکروسافت با ارائه کردن TMG یک UTM نرم افزاری به بازار ارائه داد ، با رویکرد اینکه UTM یک سیستم مدیریت یکپارچه تهدیدات است TMG نیز تا حدودی همینکار را انجام می دهد ، بدون شک هسته اصلی TMG همان ISA Server است اما یک محصول کامل برای تهدیدات شبکه به شمار می رود.

ISA Server صرفا یک فایروال بود و شاید قابلیت های تدافعی مناسبی برای کدهای مخرب و تهدیدات داخلی و خارجی شبکه را فراهم نمی کرد اما به عنوان یک فایروال در نوع خود خوب عمل می کرد . TMG می تواند علاوه بر تشخیص کدهای مخرب ، بسیاری از تهدیدات معمول شبکه را نیز شناسایی کند و می تواند از هر دو جنبه داخلی و خارجی از شبکه شما محافظت کند. TMG که در اینجا ما می توانیم به Forefront نیز از آن نام ببریم قابلیت های زیادی در حوزه مدیریت امنیت و حفاظت از شبکه در مقایسه با ISA در خود اضافه کرده است.

این محصول در دو نسخه Standard و Enterprise در دسترس قرار دارد که هر کدام دارای امکانات خاص خود می باشند . در نسخه استاندارد این محصول شما امکاناتی مثل Array ، NLB و CARP را ندارید اما در نسخه Enterprise تمامی این امکانات وجود دارد . توجه کنید که TMG توانایی محافظت از ایمیل سرور شما را دارد که معمولا همان Exchange Server مایکروسافت است اما این محافظت را صرفا برای Exchange server هایی انجام می دهد که دارای لایسنس معتبر هستند. در TMG 2010 امکانات زیر به قابلیت های TMG اضافه شده اند :


  • Malware inspection : امکان واکاوی ترافیک برای تشخیص بدافزارها
  • URL filtering : امکان اعمال فیلترینگ برای آدرس های URL تعریف شده
  • HTTP filtering : امکان اعمال فیلترینگ محتوا بر اساس پروتکل HTTP
  • HTTPS inspection : امکان مانتیورینگ و پایش اطلاعات ترافیک ارسالی رو پروتکل SSL
  • E-mail protection : امکان محافظت از ایمیل های سازمانی و سرورهای ایمیل
  • Network Inspection Systems) NIS ) : امکان تشخیص حملاتی که به حفره های امنیتی نرم افزارهای مایکروسافت انجام می شوند
  • Intrusion detection and prevention : امکان تشخیص نفوذ و جلوگیری از نفوذ بر اساس متدولوژی های متداول حمله و دفاع
  • Secure routing and VPN : امکان ایجاد VPN سرور امن و مسیریابی امن

توپولوژی ها یا همبندی های مختلف در راه اندازی TMG 2010

توپولوژی یا همبندی شیوه متصل شدن اجزای مختلف شبکه را به هم مشخص می کند ، در نرم افزار TMG نیز مشابه محصولات گذشته شما دارای یک سری توپولوژی های پیاده سازی هستید که بر اساس آن تعیین می کنید نرم افزار TMG با چه تعداد کارت شبکه و شبکه و در کجای طراحی شبکه شما قرار می گیرد. بصورت کلی شما در TMG چهار حالت مختلف توپولوژی دارید که هر یک بصورت خلاصه در ادامه تشریح شده اند و شما بر اساس نیاز خود از آنها استفاده می کنید :

1-توپولوژی دیوار آتش لبه شبکه یا Edge Firewall : هر جا اسمی از لبه یا Edge شنیدید یعنی اینکه دستگاه یا نرم افزار مورد نظر در نقطه ای از شبکه قرار می گیرد که بعد از آن قطعا شبکه خارجی یا عمومی یا اینترنت قرار دارد . در این نوع توپولوژی همانطور که در شکل زیر مشاهده می کنید ، Forefront TMG در لایه لبه شبکه یا Edge قرار می گیرد و شبکه داخلی ما یا Internal Network را به شبکه خارجی ما یا External Network که معمولا اینترنت است متصل می کند. در بیشتر مواقع در شبکه های امروزی از همین توپولوژی ساده استفاده می شود و بعد از TMG شبکه اینترنت قرار دارد. توجه کنید که در اینجا به سرور TMG به عنوان Local Host اشاره می شود. در این حالت TMG شما حداقل دارای دو عدد کارت شبکه می باشد ، یکی به شبکه داخلی شما متصل می شود و دیگری به شبکه اینترنت متصل می شود.

توپولوژی Edge یا لبه در فایروال TMG


2-توپولوژی 3 پایه پیرامونی یا 3 Leg Perimeter : هر جا اسمی از 3 Leg یا سه پایه در ساختارهای شبکه و فایروال شنیدید یعنی محیطی ایزوله از شبکه داخلی و شبکه خارجی به نام DMZ در شبکه شما وجود دارد که رابط میان شبکه داخلی شما و شبکه خارجی شما می باشد. در این ساختار فایروال TMG شما دارای سه کارت شبکه می باشد ، یکی از آنها به شبکه داخلی ، یکی از آنها به شبکه خارجی و یکی از آنها به شبکه پیرامونی یا میانی که به عنوان perimeter هم شناخته می شود متصل می شود ، این شبکه باعث بالا رفتن امنیت شبکه داخلی شما می شود زیرا امکان برقراری ارتباط مستقیم شبکه داخلی با شبکه خارجی را ایجاد نمی کند. برای دریافت کردن اطلاعات بیشتر در خصوص ساختار های DMZ می توانید به مقاله خودم در این زمینه در این لینک مراجعه کنید. البته خود ساختار DMZ نیز دارای طراحی های مختلفی می باشد که ساده ترین حالت آن همین حالت سه کارت شبکه بر روی یک TMG فایروال است.

توپولوژی سه پایه یا 3 Leg در فایروال TMG


3-دیواره آتش پشتی یا دیواره آتش جلویی Back Firewall و Front Firewall : این توپولوژی هم به نوعی یکی از طراحی های DMZ می باشد که در آن دو فایروال وجود دارد ، یکی از فایروال های شبکه داخلی را به شبکه perimeter متصل می کند و فایروال بعدی شبکه perimeter را به شبکه اینترنت یا خارجی متصل می کند ، در این حالت به فایروال متصل به شبکه داخلی که در پشت دیواره دفاعی قرار دارد Back Firewall یا دیواره آتش پشتی و به فایروالی که به شبکه اینترنت متصل می شود Front Firewall یا شبکه جلویی گفته می شود.

توپولوژی Back Firewall در TMG


توپولوژی Front Firewall در TMG


4-توپولوژی تک کارت شبکه ای یا Single Network Adapter : در این نوع توپولوژی شما از حداقل امکاناتی که TMG در اختیار شما قرار می دهد می توانید استفاده کنید. در این توپولوژی Forefront TMG فقط یک کارت شبکه دارد که یا به شبکه داخلی متصل شده است و یا به شبکه perimeter ، معمولا چنین توپولوژی زمانی استفاده می شود که Forefront TMG شما یا در شبکه داخلی سازمانی شما قرار دارد و یا در شبکه perimeter و یک فایروال دیگر به عنوان فایروال اصلی سازمان برای ارتباط با بیرون شبکه مورد استفاده قرار می گیرد و در لبه شبکه قرار دارد ، در واقع این فایروال اصلی است که شبکه را از دسترسی غیرمجاز محافظت می کند . برای مثال در یک سازمان Forefront TMG در نقش یک پروکسی سرور کار می کند و آدرس این TMG فقط از طریق مسیریاب یا روتر لبه شبکه اجازه داشتن اینترنت را دارد ، در چنین مواقعی این روتر است که واقعا شبکه شما را محافظت می کند. با نگاه کردن به تصویر زیر متوجه ساختار کلی این توپولوژی خواهید شد.

توپولوژی تک کارت شبکه در فایروال TMG


اما همانطور که عنوان کردیم استفاده از این توپولوژی به ندرت انجام می شود ، در این حالت قابلیت هایی که ما می توانیم از آنها در قالب TMG استفاده کنیم بسیار محدود می شود ، در این حالت شما از قابلیت هایی همچون پروکسی برای پروتکل های HTTP و HTTPS و پروکسی برای دانلود FTP ، قابلیت Cache برای پروکسی های FTP ، قابلیت انتشار وب یا Web Publishing برای نرم افزارهایی مثل شیرپوینت و Outlook Web Access و امثالم و در نهایت VPN سرور را خواهید داشت اما در همین حین شما امکاناتی همچون Server Publishing و VPN از نوع سایت به سایت ، قابلیت Secure NAT و استفاده از Forefront TMG Client را نخواهید داشت ، همچنین در ایجاد Rule های این سرور شما دیگر نمی توانید آدرس های خارجی را تعیین کنید و همانطور که مشاهده می کنید محدودیت های زیادی در آنالیز و گزارش گیری از ترافیک شبکه شما در این توپولوژی وجود دارد .

البته ما یک توپولوژی دیگر نیز داریم که اسم این توپولوژی Unity Fantasy است ، در این حالت شما یک سرور TMG دارید که اصلا کارت شبکه ای ندارد ، نصب نمی شود و هیچ کاری هم انجام نمی دهد ، فقط برای خنده است ، این توپولوژی برای خنده در بسیاری از سازمان های ما قابل پیاده سازی می باشد ، برای مثال شما وارد یک سازمان دولتی می شوید و سئوال می کنید که آیا در شبکه شما فایروال TMG وجود دارد ؟ پاسخ بله است !! اما در کجای شبکه وجود دارد ؟ در اینجاست که شما با یک DVD مواجه می شوید که فایل نصب TMG در آن قرار دارد و این به نظر آنها وجود داشتن TMG در شبکه است !! حرف دروغی هم نیست ... وجود دارد در قالب DVD ...


تا اینجا با امکانات اولیه و توپولوژی های پیاده سازی Forefront TMG 2010 آشنا شدید ، در آموزش بعدی به شما می گوییم که نیازمندی های اولیه نصب و راه اندازی این سرور چیست و چگونه می توانیم این سرور را در مجموعه خود نصب و راه اندازی کنیم ، در آموزش بعدی سناریو یا بهتر بگوییم توپولوژی مورد استفاده ما Edge Firewall خواهد بود . امیدوارم مورد توجه شما دوستان قرار گرفته باشد .ITPRO باشید.

نویسنده : محمد نصیری
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#آموزش_راه_اندازی_tmg #آموزش_نصب_و_پیکربندی_tmg_در_شبکه #توپولوژی_های_استفاده_از_tmg_در_شبکه #آموزش_فایروال_tmg_در_شبکه #آموزش_گام_به_گام_tmg_در_شبکه #آموزش_نصب_و_راه_اندازی_tmg
عنوان
1 آموزش گام به گام راه اندازی فایروال TMG قسمت 1 : توپولوژی ها رایگان
2 آموزش گام به گام راه اندازی فایروال TMG قسمت 2 : نصب TMG رایگان
3 آموزش گام به گام راه اندازی فایروال TMG قسمت 3 : اشتراک اینترنت رایگان
4 آموزش گام به گام راه اندازی فایروال TMG قسمت 4 : تنظیمات اولیه رایگان
5 آموزش گام به گام راه اندازی فایروال TMG قسمت 5 : پروکسی سرور رایگان
6 آموزش گام به گام راه اندازی فایروال TMG قسمت 6 : پروکسی سرور رایگان
7 آموزش گام به گام راه اندازی فایروال TMG قسمت 7 : Web Access Rule رایگان
زمان و قیمت کل 0″ 0
20 نظر
محمد سوزنده

اتفاقا تا دیروز به این فکر بودم که چرا اقای مهندس نصیری در مورد tmg مقاله ای ننوشتن بسیار ممنونم . مهندس اگر میشد مقالات شما ذخیره کرد و بعنوان یک مرجع ازشون استفاده کرد خیلی خوب میشد . من تک تک مقالات شما رو مطالعه می کنم و با تمام وجود لذت می برم . امیدوارم موفق باشید و ما من هم بتونم از شما مطلب یاد بگیرم.

محمد نصیری

طبیعی هست که نمیشه راجع به تمامی مسائل شبکه مطلب نوشت ، نه زمان برای اینکار هست و نه گستردگی مطالب این اجازه رو میده ، بنده تا جاییکه بتونم سعی می کنم مقالات سریالی و منظم بنویسم که بشه ازشون استفاده کرد ، امیدوارم دوستان دیگه هم در این زمینه فعالیت کنند تا بتونیم یک مرجع خوب با همکاری هم ایجاد کنیم ، متشکرم از لطف شما دوست عزیز ، هنوز امکانات سایت بصورت کامل راه اندازی نشده که خروجی گرفتن بصورت فایل PDF قطعا در اون دیده شده ، امیدوارم زودتر به این موارد هم در وب سایت برسیم.

مهدی شجاعی

ممنونم استاد از این مطلب خوبتون فقط ی سوال:

چه جوری یک فایل TMG بر روی یک DVD نصب میشود؟؟؟؟

محمد نصیری

دوست عزیز این یک کنایه طنز بود از دوستانی که ازشون میپرسم تو شبکتون TMG دارین ! میگه آره داریم ! بعد یه DVD نصب TMG به من نشون میدن که اینو داریم !!! واقعا داریم چنین مواردی رو ... جدی نگیر محض خنده گفتم شما TMG رو نمیتونید روی DVD نصب کنید.

مصطفی نورزاده

واقعا ممنون از ارائه علمتون به بقیه.هرکسی این کارو نمیکنه

هومن حیدری

جناب مهندس نصیری،بسیاری از آموزشگاه ها دیگه TMG رو آموزش نمیدن و خیلی از متخصصان و مدرسان شبکه هم بر این باورند که به دلیل اینکه در TMG یک حفره امنیتی بزرگ پیدا شده دیگر تمایل به کار با آن و تدریس اون رو ندارن،به نظر شما این موارد صحت داره؟

محمد نصیری

دوست عزیز ، در وهله اول دقت کنید که این سری آموزشی به بیش از 14 ماه پیش مربوط میشه که حتی خیلی از آموزشگاه ها تازه دوره TMG رو شروع کرده بودن و نمیدونستن چی هست ، بعدشم عزیز من این حرف کاملا بی اساس هست که چون یه حفره امنیتی بزرگ در TMG پیدا شده دیگه استفاده نمیشه ، این محصول تا سال 2020 پشتیبانی داره و هیچ حفره امنیتی وحشتناکی هم نداره هر چند تاییدش نمیکنم از لحاظ عملکرد اما باید با سند و مدرک صحبت کرد نه حرف الکی ، اگر چنین حفره ای در این محصول پیدا می شد با این گستردگی که عنوان میشه من خودم به شخصه سازمان هایی رو میشناسم که هر روز داره بهشون حمله میشه و از TMG استفاده می کنن ... باید دلیل مستند داشت برای این حرف و از یک ITPRO بعید هست با گمانه زنی و حرف های دیگران به این مسئله نگاه کنه ، مایکروسافت کلا ورودش به عرصه فایروال اشتباه بود و خودش این رو در سال 2010 متوجه شد و دیگه تو حوزه امنیت سعی می کنه حرف نزنه ، دلیل این هم که دوستان علاقه ای به تدریس چنین محصولی ندارن طبیعی هست چون شرکت سازندنش دیگه تاییدش نمی کنه چه برسه کارشناسی که باهاش کار می کنه ... من یه زمانی با این محصول خیلی کار می کردم الان طبیعتا هیچ جا پیشنهاد نمی کنم ... اما با سند و دلیل صحبت می کنم ... موفق باشید

هومن حیدری

من هم طبق مسایلی که دیدم و شنیدم عرض کردم،چون کسانی که این حرف هارو زدن از لحاظ علمی خیلی بهشون اعتقاد دارم و یکی از اون ها هم مدیر ارشد یکی از معروف ترین آی اس پی های ایرانه!خب من هم وقتی حرفی از یکی مثله این آقا که در این سطح دانش هست شنیدم با تعجب قبول کردم!که متوجه شدم اشتباه میکردم!ممنونم از راهنماییتون.

محمد نصیری

دوست من جناب مهندس حیدری عزیز حتی بزرگترین کارشناس های امنیتی دنیا هم ممکنه حرف اشتباه بزنن ، حتی بنده در این وب سایت ( البته خودمون جزو قسمت اول این پاسخ قرار نمیدم ) اگر پاسخی به دوستان میدم با سند و دلیل و لینک همیشه کار می کنم ، درسته یک سری چیزها رو میدونیم و تجربه داریم اما بعضی حرفها نیاز به جستجو داره ، من خودم بارها شده از تجربیات دوستانی که در حوزه های مختلف تبهر داشتند سئوال کردم و به جوابی که دادند کفایت نکردم و جستجو کردم و متوجه شدم که دوستمون اشتباه می کرده ، به همین خاطر هیچوقت به حرف کسی گوش نمیدم و جستجو می کنم ... حتما دوستانی که این حرف رو زدند قابل اعتماد و احترام هستند اما همیشه جستجو کنید و مستند صحبت کنیم اینجوری خیالمون راحت تر هست ... موفق و پیروز باشید

این نظر توسط UNITY در تاریخ يكشنبه, 24 خرداد 1394 حذف شده است.

دلیل: هرگونه بحث در خصوص استفاده از کرک ها در این وب سایت ممنوع است

mmajnouni

سوالی داشتم اینکه نرم افزار جایگزین و بهتر الان چی هست؟

محمد نصیری

الان SOPHOS و Kerio رو می تونیم به عنوان جایگزین معرفی کنیم.

مهسا مصلح

ممنون از مطلب مفیدتون

من تا پایانشو مطالعه کردم

واقعا کامل و بی نقض بود

"طبق معمول"

محمد هادی

سلام

پیشنهاد شما بین TMG و Kerio ، به عنوان فایروال توی شبکه کدومه؟!

محمد نصیری

در بین این دو محصول قاعدتا Kerio Control رو پیشنهاد میدم

محمد هادی

در کل بین فایروال های نرم افزاری پیشنهاد شما چیه؟!

محمد نصیری

در حال حاضر Kerio گزینه خوبی هست

محمد هادی

ممنون مهندس

cyberdude

با عرض ادب خدمت مهندس نصیری

چند تا سوال مد نظر بنده هست که ممنون میشوم اگر پاسخ دهید.

اینکه شرکت مایکروسافت سرویس MRS خود را قطع کرده آیا این به این معنی هست که category sets را ما باید به صورت دستی وارد کنیم و سایت هایی که از طریق این سرویس دسته بندی میشدن فیلتر نمی شوند؟

سوال دوم اینکه شکا په فایروالی را برای سازمان های کوچیک معرفی میکنید و میتواد جایگزین خوبی به جای TMG باشد چون TMG سازگاری خوبی با دیگر سرویس های مایکروسافت مثل میل سرور و شیرپوینت داره؟

فایروالی که بتونه با AD ارتباط خوبی برقرار کند. اگر فایروالی دیگر کنار TMG استفاده شود چطور؟ ایا توصیه میکنید؟

با تشکر

محمد نصیری

شما کلا این محصول رو بریزید بیرون Kerio Control نصب کنید هماهنگی با همه محصولات هم داره با تنظیمات ساده ... توصیه نمیشه اصلا TMG دیگه در شبکه داشته باشید ، تا 2020 همه چیش اوکی هست به گفته مایکروسافت

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....