Така че нека да започнем
Преди да започнете да четете тази статия, имайте предвид, че Microsoft Forefront TMG (Threat Management Gateway) все още е в бета версия, и всичко може да се промени в окончателната версия на Microsoft Forefront TMG.
Следващият въпрос, който може да се зададе, е: Какво е ISA / TMG оборудван с блокиране на функцията защитна стена ", освен ако това не пречи на изпълнението?
Не, това не пречи. TMG е жизнено важна функция на отговор на атаки. Ако има атака, дневници, TMG ще се напълни и пълни и пълни, изискват само за кратко време, след като TMG ще презапишат старите списания, а ако се анализира нападението, след като приключи, вие няма да намерите всякаква информация в регистъра на събитията (влезете) от атаки. Това, както и някои други ситуации, са причината, поради която е включена в защитната стена блокира режима на TMG, когато влизате е прекъсната, с изключение на новите функции на опашката за дневник.
Forefront TMG се опитва да съчетае необходимостта от TMG Сървърът не е свързан с интернет по време на прекъсването на сеч с необходимостта TMG администраторите отдалечено администриране доверен машина в локалната мрежа.
Когато Forefront TMG влиза в режим на заключване, се случва следното:
- Събитие задейства предупреждение към деактивирате услугата на защитна стена. Можете да посочите други действия, когато трупите TMG не може да се запише до местоназначението.
- Изключването на защитната стена е написано в раздела за предупреждение в Microsoft Forefront функциите за наблюдение на TMG.
Когато е в режим на TMG при заключени врати се предлагат следните функции:
FWENG.SYS (филтър за пакети шофьор Kernel Mode) се прилага към защитна стена политика.
Изходящ трафик от мрежата локален хост към всички мрежи е позволено.
Следните правила политически системи позволяват входящ трафик мрежа локален хост, ако администраторът не го е забранено TMG:
- Оставя дистанционно управление от избрани компютри с помощта на ММС.
- Оставя дистанционно управление на избрани компютри чрез терминал сървър (Terminal Server).
- Позволете DHCP, попълнен от DHCP сървърите на Forefront TMG.
- Позволете ICMP (пинг) искания от избрани компютри до Forefront TMG.
- VPN клиент за отдалечен достъп не могат да имат достъп Forefront TMG. Също така, е отказан достъп до отдалечени мрежи на мястото на скриптове сайт на сайт VPN.
DHCP (Dynamic Host Configuration Protocol) трафик винаги е позволено. DHCP заявки за UDP порт 67 се допускат от мрежата локален хост всички мрежи, както и DHCP отговори на UDP порт 68.
Промените в тази конфигурация на мрежата, направени в режим на забраните, се прилагат само след рестартиране на защитната стена на услуги и Forefront TMG Изход от режима на Lockdown. Forefront TMG не генерира никакво предупреждение.
режим на заключване Exit
Излезете от режима на блокиране на защитната стена е проста. Трябва само да рестартирате Firewall услугата. Тя автоматично показва защитната стена блокира режим и връща TMG в нормално работно състояние. Всякакви промени в конфигурацията на преден план TMG прилагат след излизане си от режим на заключване.
Дълги опашки записите във файловете
LLQ (Large Logging Queue) - нова функция в Microsoft Forefront TMG, което спомага за намаляване на броя на случаите, когато TMG влиза в режим на защитната стена на забраните, свързани с грешки за дърводобив. LLQ е локална папка на сървъра записва TMG сървър, който се използва, за да запазите TMG записи в регистъра, когато TMG не може да ги изгори до директорията дестинация "във версията на SQL Server Express по подразбиране.
LLQ се състои от два основни компонента, които работят в режим на ядрото TMG (FWENG.SYS) и потребителски режим (User (диспечерски)). Процес в потребителски режим чете само данни от твърдия диск, както и режим Fweng процеса на ядрото пише на твърдия диск.
Следната диаграма показва използваните компоненти функция Голям Logging опашка.
МИГ съхраняват в RAM памет и дисково пространство. Ако управителят (прочетете компоненти) не виждам никакви забавяния в трупите, регистрираните данни ще бъдат записани директно в журналите на базата. Възможно е да се коригира продължителността и количеството данни, които могат да се съдържат в паметта с помощта на системния регистър. Има два конфигурируеми ключ на системния регистър:
Забележка. Microsoft е на открито, не се препоръчва да променяте тези настройки без да се прибягва в подкрепа на Microsoft PSS!
Можете да конфигурирате Вход Queue Папка за съхранение в раздела регистри и отчети на TMG конзола за управление (Logs Доклади). Можете да използвате стандарт папка (Standard) в инсталационната директория на TMG или друга директория на сървъра TMG сървър. Ако използвате папка, тя трябва да съществува, преди да промените директорията LLQ по този път.
Фигура 2: папка съхраняване дневник опашка
В същия раздел TMG Конзола за управление, можете да видите състоянието на LLQ трупи. От всички трупи трябва да бъдат празни, когато сеч се извършва правилно.
Фигура 3: Показва Forefront TMG дневник опашката
лог файлове
По време на атаката на вашия сървър TMG към вътрешната мрежа или броя на регистрационните записи се увеличава значително, а това е мястото, където започва проблема. Ако сървърни регистрационни файлове рекорд TMG сървър не успее, той генерира стандартен съобщение сеч провал, който изключва услугата Microsoft TMG защитна стена и влиза в TMG сървър в режим на заключване. Това поведение е отлична отправна точка за атака, за да наруши нормалното обслужване (отказ на услуга атаки - DoS).
можете да оптимизирате системата на няколко места, за да се намалят нарушенията сеч потенциален риск:
- Използвайте Disk Defragmenter и оптимизира обслужването на четене и писане на твърдия диск достъп
- Използвайте бърза и надеждна система
- Оптимизиране на данните на регистъра
- Трябва да знаете, за какво защитна стена правила включите услугата сеч
- Също така е ясно кои области трябва да бъдат регистрирани в SQL трупи. Можете да конфигурирате полето за сеч в свойствата на дърводобива в защитната стена (виж фигура 4 за повече информация)
- Създаване на отказ от дясната функция с дърводобив инвалиди, което премахва ненужни трафика, като например NetBIOS и DHCP, попълване на регистрационните файлове, които ненужна информация
- Конфигуриране на защитната стена дневник директория и уеб прокси сървър на различни дискове.
- Ако използвате SQL трупи правиш услуга, да промените процент ръст на размера или файл за данни от регистрационните файлове растеж на база данни.
Следващата фигура показва свойствата на услуги трупи запис на защитната стена:
Фигура 4: провеждане Service SQL Express трупи
Намаляване на риска от излагане на лавинните атаки
Alert записва TMG трупи
раздела за наблюдение в конзолата за управление на TMG, можете да конфигурирате сигнали за всички уведомление TMG и в този случай за сеч недостатъчност. Разделът за действие за сигнали, можете да спрете услугата защитна стена. Това е стандартна опция в Microsoft Forefront TMG.
Фигура 5: Forefront TMG "действие в грешката лог
симулирани повреди изгаряне на дървени трупи
За да се симулира неизправност сеч, имате нужда само да спре услугата Microsoft SQL Server Express, и след спирането може да се види, че защитната стена на Microsoft продължава да се изпълнява.
Фигура 6: SQL Server Express Logging спря
Ако отидете до маркер регистри и отчети за да видите състоянието на LLQ, ще видите някои от трупите, непрекъснато се пълни.
Фигура 7: Опашката за дневник състояние "на всички трупи се запълва
параметър Стандарт предупреждение, при която да се изпълнява използването на Log опашка, което е рекорд за него в доклада за Windows Event Log. Трябва да създадете предизвикват съобщение (задействане на събития) или нещо подобно ще ви изпрати известие за използването на LLQ.
Фигура 8: Уведомяване опашката трупи
заключение
В тази статия, аз се опитах да ви даде обща представа за нови функции опашка Microsoft Forefront TMG трупи, така че може да се избегне или поне да се сведат до минимум случаите, в които защитната стена влиза заключване режим по време на прекъсването на дърводобива. Аз също ви направи преглед на механизма за сеч в Forefront TMG, и как да конфигурирате и работа с трупите на опашката в Microsoft Forefront TMG.
Свързани статии