درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
محمد نصیری
امتیاز: 612546
رتبه:1
376
1847
842
11327
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر

آموزش گام به گام نصب و پیکربندی فایروال Forefront TMG 2010 قسمت اول - معرفی توپولوژی ها

تاریخ 64 ماه قبل
نظرات 19
بازدیدها 8595
آموزش نصب و راه اندازی Forefront Threat Management Gateway


مایکروسافت سالهاست در زمینه تولید و توسعه فایروال در لایه نرم افزار فعالیت دارد و از روزی که بنده خاطرم هست محصول فایروال خود را به نام ISA یا Internet Security and Acceleration به بازار ارائه می کرد. بنده با این محصول از سال 2000 تا کنون آشنایی دارم و در طول این مدت باید بگویم هسته اصلی این نرم افزار چندان تغییر اساسی نداشته است و شاید بگوییم با ارائه شدن ISA Server 2004 محصولات بعدی دیگر تحول اساسی در هسته خود ندیدند و فقط چندین قابلیت و امکانات جدید به این محصول اضافه شد. هر چند که این محصول را به عنوان یک محصول قابل اطمینان در شبکه نمی توانم مطرح کنم و یک راهکار سازمانی واقعی از نظر بنده نیست ما به هر حال در سطوح SOHO با توجه به دارا بودن رابط کاربری ساده بسیار مناسب است ، مایکروسافت بعد از محصول ISA Server 2006 دیگر محصول خود را به عنوان ISA معرفی نکرد و با انجام دادن یک سری تغییرات اساسی و اضافه کردن امکانات جدید به این محصول نامش را به TMG یا Threat Management Gateway تغییر داد. سرعت بخشیدن و امنیت اینترنتی به دروازه مدیریت تهدیدات تبدیل شد ، این همان تغییری بود که در اسم این محصول ایجاد شد. اما ساختار کاری و محیط مدیریتی آن چندان تغییری نکرده بود ، افرادی که با ISA Server های قدیمی کار کرده باشند براحتی با کنسول مدیریتی این محصول ارتباط برقرار می کنند . هنوزم هم اگر از بنده بپرسید برای مطالعه این محصول چه کتابی را بخوانم ، به شما می گویم کتاب ISA Server 2004 را از انتشارات MSPress مطالعه کنید که در این خصوص کاملترین کتاب است.

اما چه تغییراتی در اساس کار این محصول ایجاد شده است ؟ ISA Server در سال 2006 حجمی بالغ بر 60 مگابایت داشت اما TMG حداقل 1 گیگابایت فضا می گیرد ! خارج از بحث زیاد شدن حجم نرم افزار چه تغییری در این محصول ایجاد شده است که اینچنین باعث افزایش حجم آن شده است ؟ در واقع مایکروسافت با ارائه کردن TMG یک UTM نرم افزاری به بازار ارائه داد ، با رویکرد اینکه UTM یک سیستم مدیریت یکپارچه تهدیدات است TMG نیز تا حدودی همینکار را انجام می دهد ، بدون شک هسته اصلی TMG همان ISA Server است اما یک محصول کامل برای تهدیدات شبکه به شمار می رود. ISA Server صرفا یک فایروال بود و شاید قابلیت های تدافعی مناسبی برای کدهای مخرب و تهدیدات داخلی و خارجی شبکه را فراهم نمی کرد اما به عنوان یک فایروال در نوع خود خوب عمل می کرد . TMG می تواند علاوه بر تشخیص کدهای مخرب ، بسیاری از تهدیدات معمول شبکه را نیز شناسایی کند و می تواند از هر دو جنبه داخلی و خارجی از شبکه شما محافظت کند. TMG که در اینجا ما می توانیم به Forefront نیز از آن نام ببریم قابلیت های زیادی در حوزه مدیریت امنیت و حفاظت از شبکه در مقایسه با ISA در خود اضافه کرده است. این محصول در دو نسخه Standard و Enterprise در دسترس قرار دارد که هر کدام دارای امکانات خاص خود می باشند . در نسخه استاندارد این محصول شما امکاناتی مثل Array ، NLB و CARP را ندارید اما در نسخه Enterprise تمامی این امکانات وجود دارد . توجه کنید که TMG توانایی محافظت از ایمیل سرور شما را دارد که معمولا همان Exchange Server مایکروسافت است اما این محافظت را صرفا برای Exchange server هایی انجام می دهد که دارای لایسنس معتبر هستند. در TMG 2010 امکانات زیر به قابلیت های TMG اضافه شده اند :

  • Malware inspection : امکان واکاوی ترافیک برای تشخیص بدافزارها
  • URL filtering : امکان اعمال فیلترینگ برای آدرس های URL تعریف شده
  • HTTP filtering : امکان اعمال فیلترینگ محتوا بر اساس پروتکل HTTP
  • HTTPS inspection : امکان مانتیورینگ و پایش اطلاعات ترافیک ارسالی رو پروتکل SSL
  • E-mail protection : امکان محافظت از ایمیل های سازمانی و سرورهای ایمیل
  • Network Inspection Systems) NIS ) : امکان تشخیص حملاتی که به حفره های امنیتی نرم افزارهای مایکروسافت انجام می شوند
  • Intrusion detection and prevention : امکان تشخیص نفوذ و جلوگیری از نفوذ بر اساس متدولوژی های متداول حمله و دفاع
  • Secure routing and VPN : امکان ایجاد VPN سرور امن و مسیریابی امن

توپولوژی ها یا همبندی های مختلف در راه اندازی TMG 2010


توپولوژی یا همبندی شیوه متصل شدن اجزای مختلف شبکه را به هم مشخص می کند ، در نرم افزار TMG نیز مشابه محصولات گذشته شما دارای یک سری توپولوژی های پیاده سازی هستید که بر اساس آن تعیین می کنید نرم افزار TMG با چه تعداد کارت شبکه و شبکه و در کجای طراحی شبکه شما قرار می گیرد. بصورت کلی شما در TMG چهار حالت مختلف توپولوژی دارید که هر یک بصورت خلاصه در ادامه تشریح شده اند و شما بر اساس نیاز خود از آنها استفاده می کنید :

1-توپولوژی دیوار آتش لبه شبکه یا Edge Firewall : هر جا اسمی از لبه یا Edge شنیدید یعنی اینکه دستگاه یا نرم افزار مورد نظر در نقطه ای از شبکه قرار می گیرد که بعد از آن قطعا شبکه خارجی یا عمومی یا اینترنت قرار دارد . در این نوع توپولوژی همانطور که در شکل زیر مشاهده می کنید ، Forefront TMG در لایه لبه شبکه یا Edge قرار می گیرد و شبکه داخلی ما یا Internal Network را به شبکه خارجی ما یا External Network که معمولا اینترنت است متصل می کند. در بیشتر مواقع در شبکه های امروزی از همین توپولوژی ساده استفاده می شود و بعد از TMG شبکه اینترنت قرار دارد. توجه کنید که در اینجا به سرور TMG به عنوان Local Host اشاره می شود. در این حالت TMG شما حداقل دارای دو عدد کارت شبکه می باشد ، یکی به شبکه داخلی شما متصل می شود و دیگری به شبکه اینترنت متصل می شود.

توپولوژی Edge یا لبه در فایروال TMG


2-توپولوژی 3 پایه پیرامونی یا 3 Leg Perimeter : هر جا اسمی از 3 Leg یا سه پایه در ساختارهای شبکه و فایروال شنیدید یعنی محیطی ایزوله از شبکه داخلی و شبکه خارجی به نام DMZ در شبکه شما وجود دارد که رابط میان شبکه داخلی شما و شبکه خارجی شما می باشد. در این ساختار فایروال TMG شما دارای سه کارت شبکه می باشد ، یکی از آنها به شبکه داخلی ، یکی از آنها به شبکه خارجی و یکی از آنها به شبکه پیرامونی یا میانی که به عنوان perimeter هم شناخته می شود متصل می شود ، این شبکه باعث بالا رفتن امنیت شبکه داخلی شما می شود زیرا امکان برقراری ارتباط مستقیم شبکه داخلی با شبکه خارجی را ایجاد نمی کند. برای دریافت کردن اطلاعات بیشتر در خصوص ساختار های DMZ می توانید به مقاله خودم در این زمینه در این لینک مراجعه کنید. البته خود ساختار DMZ نیز دارای طراحی های مختلفی می باشد که ساده ترین حالت آن همین حالت سه کارت شبکه بر روی یک TMG فایروال است.

توپولوژی سه پایه یا 3 Leg در فایروال TMG


3-دیواره آتش پشتی یا دیواره آتش جلویی Back Firewall و Front Firewall : این توپولوژی هم به نوعی یکی از طراحی های DMZ می باشد که در آن دو فایروال وجود دارد ، یکی از فایروال های شبکه داخلی را به شبکه perimeter متصل می کند و فایروال بعدی شبکه perimeter را به شبکه اینترنت یا خارجی متصل می کند ، در این حالت به فایروال متصل به شبکه داخلی که در پشت دیواره دفاعی قرار دارد Back Firewall یا دیواره آتش پشتی و به فایروالی که به شبکه اینترنت متصل می شود Front Firewall یا شبکه جلویی گفته می شود.

توپولوژی Back Firewall در TMG


توپولوژی Front Firewall در TMG


4-توپولوژی تک کارت شبکه ای یا Single Network Adapter : در این نوع توپولوژی شما از حداقل امکاناتی که TMG در اختیار شما قرار می دهد می توانید استفاده کنید. در این توپولوژی Forefront TMG فقط یک کارت شبکه دارد که یا به شبکه داخلی متصل شده است و یا به شبکه perimeter ، معمولا چنین توپولوژی زمانی استفاده می شود که Forefront TMG شما یا در شبکه داخلی سازمانی شما قرار دارد و یا در شبکه perimeter و یک فایروال دیگر به عنوان فایروال اصلی سازمان برای ارتباط با بیرون شبکه مورد استفاده قرار می گیرد و در لبه شبکه قرار دارد ، در واقع این فایروال اصلی است که شبکه را از دسترسی غیرمجاز محافظت می کند . برای مثال در یک سازمان Forefront TMG در نقش یک پروکسی سرور کار می کند و آدرس این TMG فقط از طریق مسیریاب یا روتر لبه شبکه اجازه داشتن اینترنت را دارد ، در چنین مواقعی این روتر است که واقعا شبکه شما را محافظت می کند. با نگاه کردن به تصویر زیر متوجه ساختار کلی این توپولوژی خواهید شد.

توپولوژی تک کارت شبکه در فایروال TMG


اما همانطور که عنوان کردیم استفاده از این توپولوژی به ندرت انجام می شود ، در این حالت قابلیت هایی که ما می توانیم از آنها در قالب TMG استفاده کنیم بسیار محدود می شود ، در این حالت شما از قابلیت هایی همچون پروکسی برای پروتکل های HTTP و HTTPS و پروکسی برای دانلود FTP ، قابلیت Cache برای پروکسی های FTP ، قابلیت انتشار وب یا Web Publishing برای نرم افزارهایی مثل شیرپوینت و Outlook Web Access و امثالم و در نهایت VPN سرور را خواهید داشت اما در همین حین شما امکاناتی همچون Server Publishing و VPN از نوع سایت به سایت ، قابلیت Secure NAT و استفاده از Forefront TMG Client را نخواهید داشت ، همچنین در ایجاد Rule های این سرور شما دیگر نمی توانید آدرس های خارجی را تعیین کنید و همانطور که مشاهده می کنید محدودیت های زیادی در آنالیز و گزارش گیری از ترافیک شبکه شما در این توپولوژی وجود دارد . البته ما یک توپولوژی دیگر نیز داریم که اسم این توپولوژی Unity Fantasy است ، در این حالت شما یک سرور TMG دارید که اصلا کارت شبکه ای ندارد ، نصب نمی شود و هیچ کاری هم انجام نمی دهد ، فقط برای خنده است ، این توپولوژی برای خنده در بسیاری از سازمان های ما قابل پیاده سازی می باشد ، برای مثال شما وارد یک سازمان دولتی می شوید و سئوال می کنید که آیا در شبکه شما فایروال TMG وجود دارد ؟ پاسخ بله است !! اما در کجای شبکه وجود دارد ؟ در اینجاست که شما با یک DVD مواجه می شوید که فایل نصب TMG در آن قرار دارد و این به نظر آنها وجود داشتن TMG در شبکه است !! حرف دروغی هم نیست ... وجود دارد در قالب DVD ...

تا اینجا با امکانات اولیه و توپولوژی های پیاده سازی Forefront TMG 2010 آشنا شدید ، در آموزش بعدی به شما می گوییم که نیازمندی های اولیه نصب و راه اندازی این سرور چیست و چگونه می توانیم این سرور را در مجموعه خود نصب و راه اندازی کنیم ، در آموزش بعدی سناریو یا بهتر بگوییم توپولوژی مورد استفاده ما Edge Firewall خواهد بود . امیدوارم مورد توجه شما دوستان قرار گرفته باشد .ITPRO باشید.

نویسنده : محمد نصیری
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
ردیف عنوان
1 آموزش گام به گام نصب و پیکربندی فایروال Forefront TMG 2010 قسمت اول - معرفی توپولوژی ها
2 آموزش گام به گام نصب و پیکربندی فایروال Forefront TMG 2010 قسمت دوم – نصب TMG
3 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت سوم–انواع اشتراک گذاری اینترنت
4 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت چهارم - پیکربندی اولیه
5 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت پنجم – راه اندازی پروکسی سرور
6 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت ششم – راه اندازی پروکسی سرور
7 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت هفتم – ایجاد کردن یک Web Access Rule
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
  • اتفاقا تا دیروز به این فکر بودم که چرا اقای مهندس نصیری در مورد tmg مقاله ای ننوشتن بسیار ممنونم . مهندس اگر میشد مقالات شما ذخیره کرد و بعنوان یک مرجع ازشون استفاده کرد خیلی خوب میشد . من تک تک مقالات شما رو مطالعه می کنم و با تمام وجود لذت می برم . امیدوارم موفق باشید و ما من هم بتونم از شما مطلب یاد بگیرم.
  • طبیعی هست که نمیشه راجع به تمامی مسائل شبکه مطلب نوشت ، نه زمان برای اینکار هست و نه گستردگی مطالب این اجازه رو میده ، بنده تا جاییکه بتونم سعی می کنم مقالات سریالی و منظم بنویسم که بشه ازشون استفاده کرد ، امیدوارم دوستان دیگه هم در این زمینه فعالیت کنند تا بتونیم یک مرجع خوب با همکاری هم ایجاد کنیم ، متشکرم از لطف شما دوست عزیز ، هنوز امکانات سایت بصورت کامل راه اندازی نشده که خروجی گرفتن بصورت فایل PDF قطعا در اون دیده شده ، امیدوارم زودتر به این موارد هم در وب سایت برسیم.
  • ممنونم استاد از این مطلب خوبتون فقط ی سوال:
    چه جوری یک فایل TMG بر روی یک DVD نصب میشود؟؟؟؟
  • دوست عزیز این یک کنایه طنز بود از دوستانی که ازشون میپرسم تو شبکتون TMG دارین ! میگه آره داریم ! بعد یه DVD نصب TMG به من نشون میدن که اینو داریم !!! واقعا داریم چنین مواردی رو ... جدی نگیر محض خنده گفتم شما TMG رو نمیتونید روی DVD نصب کنید.
  • واقعا ممنون از ارائه علمتون به بقیه.هرکسی این کارو نمیکنه
  • جناب مهندس نصیری،بسیاری از آموزشگاه ها دیگه TMG رو آموزش نمیدن و خیلی از متخصصان و مدرسان شبکه هم بر این باورند که به دلیل اینکه در TMG یک حفره امنیتی بزرگ پیدا شده دیگر تمایل به کار با آن و تدریس اون رو ندارن،به نظر شما این موارد صحت داره؟
  • دوست عزیز ، در وهله اول دقت کنید که این سری آموزشی به بیش از 14 ماه پیش مربوط میشه که حتی خیلی از آموزشگاه ها تازه دوره TMG رو شروع کرده بودن و نمیدونستن چی هست ، بعدشم عزیز من این حرف کاملا بی اساس هست که چون یه حفره امنیتی بزرگ در TMG پیدا شده دیگه استفاده نمیشه ، این محصول تا سال 2020 پشتیبانی داره و هیچ حفره امنیتی وحشتناکی هم نداره هر چند تاییدش نمیکنم از لحاظ عملکرد اما باید با سند و مدرک صحبت کرد نه حرف الکی ، اگر چنین حفره ای در این محصول پیدا می شد با این گستردگی که عنوان میشه من خودم به شخصه سازمان هایی رو میشناسم که هر روز داره بهشون حمله میشه و از TMG استفاده می کنن ... باید دلیل مستند داشت برای این حرف و از یک ITPRO بعید هست با گمانه زنی و حرف های دیگران به این مسئله نگاه کنه ، مایکروسافت کلا ورودش به عرصه فایروال اشتباه بود و خودش این رو در سال 2010 متوجه شد و دیگه تو حوزه امنیت سعی می کنه حرف نزنه ، دلیل این هم که دوستان علاقه ای به تدریس چنین محصولی ندارن طبیعی هست چون شرکت سازندنش دیگه تاییدش نمی کنه چه برسه کارشناسی که باهاش کار می کنه ... من یه زمانی با این محصول خیلی کار می کردم الان طبیعتا هیچ جا پیشنهاد نمی کنم ... اما با سند و دلیل صحبت می کنم ... موفق باشید
  • من هم طبق مسایلی که دیدم و شنیدم عرض کردم،چون کسانی که این حرف هارو زدن از لحاظ علمی خیلی بهشون اعتقاد دارم و یکی از اون ها هم مدیر ارشد یکی از معروف ترین آی اس پی های ایرانه!خب من هم وقتی حرفی از یکی مثله این آقا که در این سطح دانش هست شنیدم با تعجب قبول کردم!که متوجه شدم اشتباه میکردم!ممنونم از راهنماییتون.
  • دوست من جناب مهندس حیدری عزیز حتی بزرگترین کارشناس های امنیتی دنیا هم ممکنه حرف اشتباه بزنن ، حتی بنده در این وب سایت ( البته خودمون جزو قسمت اول این پاسخ قرار نمیدم ) اگر پاسخی به دوستان میدم با سند و دلیل و لینک همیشه کار می کنم ، درسته یک سری چیزها رو میدونیم و تجربه داریم اما بعضی حرفها نیاز به جستجو داره ، من خودم بارها شده از تجربیات دوستانی که در حوزه های مختلف تبهر داشتند سئوال کردم و به جوابی که دادند کفایت نکردم و جستجو کردم و متوجه شدم که دوستمون اشتباه می کرده ، به همین خاطر هیچوقت به حرف کسی گوش نمیدم و جستجو می کنم ... حتما دوستانی که این حرف رو زدند قابل اعتماد و احترام هستند اما همیشه جستجو کنید و مستند صحبت کنیم اینجوری خیالمون راحت تر هست ... موفق و پیروز باشید
  • این پست حذف شده است
    دلیل حذف: هرگونه بحث در خصوص استفاده از کرک ها در این وب سایت ممنوع است

  • سوالی داشتم اینکه نرم افزار جایگزین و بهتر الان چی هست؟
  • الان SOPHOS و Kerio رو می تونیم به عنوان جایگزین معرفی کنیم.
  • ممنون از مطلب مفیدتون
    من تا پایانشو مطالعه کردم
    واقعا کامل و بی نقض بود
    "طبق معمول"

  • سلام
    پیشنهاد شما بین TMG و Kerio ، به عنوان فایروال توی شبکه کدومه؟!
  • در بین این دو محصول قاعدتا Kerio Control رو پیشنهاد میدم
  • در کل بین فایروال های نرم افزاری پیشنهاد شما چیه؟!
  • در حال حاضر Kerio گزینه خوبی هست
  • ممنون مهندس
  • با عرض ادب خدمت مهندس نصیری
    چند تا سوال مد نظر بنده هست که ممنون میشوم اگر پاسخ دهید.
    اینکه شرکت مایکروسافت سرویس MRS خود را قطع کرده آیا این به این معنی هست که category sets را ما باید به صورت دستی وارد کنیم و سایت هایی که از طریق این سرویس دسته بندی میشدن فیلتر نمی شوند؟
    سوال دوم اینکه شکا په فایروالی را برای سازمان های کوچیک معرفی میکنید و میتواد جایگزین خوبی به جای TMG باشد چون TMG سازگاری خوبی با دیگر سرویس های مایکروسافت مثل میل سرور و شیرپوینت داره؟
    فایروالی که بتونه با AD ارتباط خوبی برقرار کند. اگر فایروالی دیگر کنار TMG استفاده شود چطور؟ ایا توصیه میکنید؟
    با تشکر
  • شما کلا این محصول رو بریزید بیرون Kerio Control نصب کنید هماهنگی با همه محصولات هم داره با تنظیمات ساده ... توصیه نمیشه اصلا TMG دیگه در شبکه داشته باشید ، تا 2020 همه چیش اوکی هست به گفته مایکروسافت

برای ارسال نظر ابتدا به سایت وارد شوید