آموزش گام به گام نصب و پیکربندی فایروال Forefront TMG 2010 قسمت اول – معرفی توپولوژی ها

آموزش نصب و راه اندازی Forefront Threat Management Gateway

مایکروسافت سالهاست در زمینه تولید و توسعه فایروال در لایه نرم افزار فعالیت دارد و از روزی که بنده خاطرم هست محصول فایروال خود را به نام ISA یا Internet Security and Acceleration به بازار ارائه می کرد. بنده با این محصول از سال 2000 تا کنون آشنایی دارم و در طول این مدت باید بگویم هسته اصلی این نرم افزار چندان تغییر اساسی نداشته است و شاید بگوییم با ارائه شدن ISA Server 2004 محصولات بعدی دیگر تحول اساسی در هسته خود ندیدند و فقط چندین قابلیت و امکانات جدید به این محصول اضافه شد. هر چند که این محصول را به عنوان یک محصول قابل اطمینان در شبکه نمی توانم مطرح کنم و یک راهکار سازمانی واقعی از نظر بنده نیست ما به هر حال در سطوح SOHO با توجه به دارا بودن رابط کاربری ساده بسیار مناسب است ، مایکروسافت بعد از محصول ISA Server 2006 دیگر محصول خود را به عنوان ISA معرفی نکرد و با انجام دادن یک سری تغییرات اساسی و اضافه کردن امکانات جدید به این محصول نامش را به TMG یا Threat Management Gateway تغییر داد. سرعت بخشیدن و امنیت اینترنتی به دروازه مدیریت تهدیدات تبدیل شد ، این همان تغییری بود که در اسم این محصول ایجاد شد. اما ساختار کاری و محیط مدیریتی آن چندان تغییری نکرده بود ، افرادی که با ISA Server های قدیمی کار کرده باشند براحتی با کنسول مدیریتی این محصول ارتباط برقرار می کنند . هنوزم هم اگر از بنده بپرسید برای مطالعه این محصول چه کتابی را بخوانم ، به شما می گویم کتاب ISA Server 2004 را از انتشارات MSPress مطالعه کنید که در این خصوص کاملترین کتاب است.

اما چه تغییراتی در اساس کار این محصول ایجاد شده است ؟ ISA Server در سال 2006 حجمی بالغ بر 60 مگابایت داشت اما TMG حداقل 1 گیگابایت فضا می گیرد ! خارج از بحث زیاد شدن حجم نرم افزار چه تغییری در این محصول ایجاد شده است که اینچنین باعث افزایش حجم آن شده است ؟ در واقع مایکروسافت با ارائه کردن TMG یک UTM نرم افزاری به بازار ارائه داد ، با رویکرد اینکه UTM یک سیستم مدیریت یکپارچه تهدیدات است TMG نیز تا حدودی همینکار را انجام می دهد ، بدون شک هسته اصلی TMG همان ISA Server است اما یک محصول کامل برای تهدیدات شبکه به شمار می رود. ISA Server صرفا یک فایروال بود و شاید قابلیت های تدافعی مناسبی برای کدهای مخرب و تهدیدات داخلی و خارجی شبکه را فراهم نمی کرد اما به عنوان یک فایروال در نوع خود خوب عمل می کرد . TMG می تواند علاوه بر تشخیص کدهای مخرب ، بسیاری از تهدیدات معمول شبکه را نیز شناسایی کند و می تواند از هر دو جنبه داخلی و خارجی از شبکه شما محافظت کند. TMG که در اینجا ما می توانیم به Forefront نیز از آن نام ببریم قابلیت های زیادی در حوزه مدیریت امنیت و حفاظت از شبکه در مقایسه با ISA در خود اضافه کرده است. این محصول در دو نسخه Standard و Enterprise در دسترس قرار دارد که هر کدام دارای امکانات خاص خود می باشند . در نسخه استاندارد این محصول شما امکاناتی مثل Array ، NLB و CARP را ندارید اما در نسخه Enterprise تمامی این امکانات وجود دارد . توجه کنید که TMG توانایی محافظت از ایمیل سرور شما را دارد که معمولا همان Exchange Server مایکروسافت است اما این محافظت را صرفا برای Exchange server هایی انجام می دهد که دارای لایسنس معتبر هستند. در TMG 2010 امکانات زیر به قابلیت های TMG اضافه شده اند :

  • Malware inspection : امکان واکاوی ترافیک برای تشخیص بدافزارها
  • URL filtering : امکان اعمال فیلترینگ برای آدرس های URL تعریف شده
  • HTTP filtering : امکان اعمال فیلترینگ محتوا بر اساس پروتکل HTTP
  • HTTPS inspection : امکان مانتیورینگ و پایش اطلاعات ترافیک ارسالی رو پروتکل SSL
  • E-mail protection : امکان محافظت از ایمیل های سازمانی و سرورهای ایمیل
  • Network Inspection Systems) NIS ) : امکان تشخیص حملاتی که به حفره های امنیتی نرم افزارهای مایکروسافت انجام می شوند
  • Intrusion detection and prevention : امکان تشخیص نفوذ و جلوگیری از نفوذ بر اساس متدولوژی های متداول حمله و دفاع
  • Secure routing and VPN : امکان ایجاد VPN سرور امن و مسیریابی امن

توپولوژی ها یا همبندی های مختلف در راه اندازی TMG 2010

توپولوژی یا همبندی شیوه متصل شدن اجزای مختلف شبکه را به هم مشخص می کند ، در نرم افزار TMG نیز مشابه محصولات گذشته شما دارای یک سری توپولوژی های پیاده سازی هستید که بر اساس آن تعیین می کنید نرم افزار TMG با چه تعداد کارت شبکه و شبکه و در کجای طراحی شبکه شما قرار می گیرد. بصورت کلی شما در TMG چهار حالت مختلف توپولوژی دارید که هر یک بصورت خلاصه در ادامه تشریح شده اند و شما بر اساس نیاز خود از آنها استفاده می کنید :

1-توپولوژی دیوار آتش لبه شبکه یا Edge Firewall : هر جا اسمی از لبه یا Edge شنیدید یعنی اینکه دستگاه یا نرم افزار مورد نظر در نقطه ای از شبکه قرار می گیرد که بعد از آن قطعا شبکه خارجی یا عمومی یا اینترنت قرار دارد . در این نوع توپولوژی همانطور که در شکل زیر مشاهده می کنید ، Forefront TMG در لایه لبه شبکه یا Edge قرار می گیرد و شبکه داخلی ما یا Internal Network را به شبکه خارجی ما یا External Network که معمولا اینترنت است متصل می کند. در بیشتر مواقع در شبکه های امروزی از همین توپولوژی ساده استفاده می شود و بعد از TMG شبکه اینترنت قرار دارد. توجه کنید که در اینجا به سرور TMG به عنوان Local Host اشاره می شود. در این حالت TMG شما حداقل دارای دو عدد کارت شبکه می باشد ، یکی به شبکه داخلی شما متصل می شود و دیگری به شبکه اینترنت متصل می شود.

توپولوژی Edge یا لبه در فایروال TMG

2-توپولوژی 3 پایه پیرامونی یا 3 Leg Perimeter : هر جا اسمی از 3 Leg یا سه پایه در ساختارهای شبکه و فایروال شنیدید یعنی محیطی ایزوله از شبکه داخلی و شبکه خارجی به نام DMZ در شبکه شما وجود دارد که رابط میان شبکه داخلی شما و شبکه خارجی شما می باشد. در این ساختار فایروال TMG شما دارای سه کارت شبکه می باشد ، یکی از آنها به شبکه داخلی ، یکی از آنها به شبکه خارجی و یکی از آنها به شبکه پیرامونی یا میانی که به عنوان perimeter هم شناخته می شود متصل می شود ، این شبکه باعث بالا رفتن امنیت شبکه داخلی شما می شود زیرا امکان برقراری ارتباط مستقیم شبکه داخلی با شبکه خارجی را ایجاد نمی کند. برای دریافت کردن اطلاعات بیشتر در خصوص ساختار های DMZ می توانید به مقاله خودم در این زمینه در این لینک مراجعه کنید. البته خود ساختار DMZ نیز دارای طراحی های مختلفی می باشد که ساده ترین حالت آن همین حالت سه کارت شبکه بر روی یک TMG فایروال است.

توپولوژی سه پایه یا 3 Leg در فایروال TMG

3-دیواره آتش پشتی یا دیواره آتش جلویی Back Firewall و Front Firewall : این توپولوژی هم به نوعی یکی از طراحی های DMZ می باشد که در آن دو فایروال وجود دارد ، یکی از فایروال های شبکه داخلی را به شبکه perimeter متصل می کند و فایروال بعدی شبکه perimeter را به شبکه اینترنت یا خارجی متصل می کند ، در این حالت به فایروال متصل به شبکه داخلی که در پشت دیواره دفاعی قرار دارد Back Firewall یا دیواره آتش پشتی و به فایروالی که به شبکه اینترنت متصل می شود Front Firewall یا شبکه جلویی گفته می شود.

توپولوژی Back Firewall در TMG
توپولوژی Front Firewall در TMG

4-توپولوژی تک کارت شبکه ای یا Single Network Adapter : در این نوع توپولوژی شما از حداقل امکاناتی که TMG در اختیار شما قرار می دهد می توانید استفاده کنید. در این توپولوژی Forefront TMG فقط یک کارت شبکه دارد که یا به شبکه داخلی متصل شده است و یا به شبکه perimeter ، معمولا چنین توپولوژی زمانی استفاده می شود که Forefront TMG شما یا در شبکه داخلی سازمانی شما قرار دارد و یا در شبکه perimeter و یک فایروال دیگر به عنوان فایروال اصلی سازمان برای ارتباط با بیرون شبکه مورد استفاده قرار می گیرد و در لبه شبکه قرار دارد ، در واقع این فایروال اصلی است که شبکه را از دسترسی غیرمجاز محافظت می کند . برای مثال در یک سازمان Forefront TMG در نقش یک پروکسی سرور کار می کند و آدرس این TMG فقط از طریق مسیریاب یا روتر لبه شبکه اجازه داشتن اینترنت را دارد ، در چنین مواقعی این روتر است که واقعا شبکه شما را محافظت می کند. با نگاه کردن به تصویر زیر متوجه ساختار کلی این توپولوژی خواهید شد.

توپولوژی تک کارت شبکه در فایروال TMG

اما همانطور که عنوان کردیم استفاده از این توپولوژی به ندرت انجام می شود ، در این حالت قابلیت هایی که ما می توانیم از آنها در قالب TMG استفاده کنیم بسیار محدود می شود ، در این حالت شما از قابلیت هایی همچون پروکسی برای پروتکل های HTTP و HTTPS و پروکسی برای دانلود FTP ، قابلیت Cache برای پروکسی های FTP ، قابلیت انتشار وب یا Web Publishing برای نرم افزارهایی مثل شیرپوینت و Outlook Web Access و امثالم و در نهایت VPN سرور را خواهید داشت اما در همین حین شما امکاناتی همچون Server Publishing و VPN از نوع سایت به سایت ، قابلیت Secure NAT و استفاده از Forefront TMG Client را نخواهید داشت ، همچنین در ایجاد Rule های این سرور شما دیگر نمی توانید آدرس های خارجی را تعیین کنید و همانطور که مشاهده می کنید محدودیت های زیادی در آنالیز و گزارش گیری از ترافیک شبکه شما در این توپولوژی وجود دارد . البته ما یک توپولوژی دیگر نیز داریم که اسم این توپولوژی Unity Fantasy است ، در این حالت شما یک سرور TMG دارید که اصلا کارت شبکه ای ندارد ، نصب نمی شود و هیچ کاری هم انجام نمی دهد ، فقط برای خنده است ، این توپولوژی برای خنده در بسیاری از سازمان های ما قابل پیاده سازی می باشد ، برای مثال شما وارد یک سازمان دولتی می شوید و سئوال می کنید که آیا در شبکه شما فایروال TMG وجود دارد ؟ پاسخ بله است !! اما در کجای شبکه وجود دارد ؟ در اینجاست که شما با یک DVD مواجه می شوید که فایل نصب TMG در آن قرار دارد و این به نظر آنها وجود داشتن TMG در شبکه است !! حرف دروغی هم نیست … وجود دارد در قالب DVD …

تا اینجا با امکانات اولیه و توپولوژی های پیاده سازی Forefront TMG 2010 آشنا شدید ، در آموزش بعدی به شما می گوییم که نیازمندی های اولیه نصب و راه اندازی این سرور چیست و چگونه می توانیم این سرور را در مجموعه خود نصب و راه اندازی کنیم ، در آموزش بعدی سناریو یا بهتر بگوییم توپولوژی مورد استفاده ما Edge Firewall خواهد بود . امیدوارم مورد توجه شما دوستان قرار گرفته باشد .ITPRO باشید.

نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

پاسخ دهید