CÍMLAP
Gál Tamás
A kapun túl
TARTALOM, BEVEZETÉS
Tartalom
1 Bevezetés
2 Múlt és jelen
2.1 Így kezdődött...
2.2 Miért FOREFRONT és miért TMG?
2.3 Hány TMG van?
3 A telepítés és előzményei
3.1 A rendszerkövetelmények
3.2 A hálózati viszonyokról
3.2.1 A hálózati kártyák kötési sorrendje
3.2.2 A hálózati kártyák finomhangolása
3.2.3 DNS és NetBIOS
3.3 TMG forgatókönyvek
3.3.1 Edge firewall
3.3.2 3-Leg perimeter
3.3.3 Back-end firewall
3.3.4 Branch Office Firewall
3.3.5 Single network adapter
3.4 A kliensek
3.5 Telepítsünk végre
3.6 Ha nem sikerül, nyomozunk
3.7 Migráció, export-import
3.8 Virtuális környezetben?
3.9 Jó ha megszívleljük...
3.9.1 Néhány ökölszabály
3.9.2 Tartomány vagy munkacsoport?
4 Vegyük birtokba!
4.1 A konzol felfedezése
4.2 Az új varázslók
4.3 Hogyan leszel TMG admin a saját gépeden?
5 A tűzfal
5.1 Az alapok és némi történelem
5.1.1 A csomagszűrés
5.1.2 Az állapottartó-vizsgálat (és szűrés)
5.1.3 Az alkalmazás szűrés
5.1.4 A TMG helye a tűzfalak között
5.2 Multi (nem level) networking
5.2.1 Mit is jelent ez?
5.2.2 Az alapértelmezett hálózatok
5.2.3 A hálózatok tulajdonságai
5.2.4 A hálózati szabályok
5.3 Azok a csodálatos szabályok
5.3.1 A szabályok alapanyagai, azaz a hálózati objektumok
5.3.2 Hogyan épül fel egy hozzáférési tűzfalszabály?
5.3.3 És hogyan működik?
5.4 A System Policy
5.5 Behatolás detektálás, IP szűrés
6 A tűzfal a TMG-ben
6.1 Egy nagyágyú: a NIS
6.1.1 NIS részletek
6.1.2 A szignatúrákról még egy kicsit
6.2 ISP Redundancy
6.2.1 Típusok és működés
6.2.2 A kapcsolat tesztelése
6.2.3 Állítsuk be!
6.3 Enhanced NAT
7 A proxy szerver
7.1 Mit csinál egy proxy szerver?
7.2 Proxy típusok
7.3 Szerver oldali beállítások
7.4 Hitelesítési metódusok
7.5 Auto Discovery megoldások
7.6 Cache avagy tárazzunk gyorsan
7.6.1 Hogyan működik a web proxy cache?
7.6.2 A gyorsítótár finomhangolása
8 A web proxy a TMG-ben
8.1 Enterprise Malware Protection
8.1.1 Hogyan csinálja?
8.1.2 Az EMP konfigurálása
8.2 A HTTP filter
8.2.1 Hogyan érjük el?
8.2.2 A HTTP filter konfigurálása
8.3 HTTPS Inspection
8.3.1 A következmények és a követelmények
8.3.2 A HTTPSi konfigurálása
8.4 URL-F
8.4.1 Hogyan működik?
8.4.2 Amit az URL-F-ből látunk
9 Kit és hogyan engedünk be?
9.1 A szimpla szerver publikálás
9.1.1 Egy példa: FTP szerver közzététel
9.2 A webszerver publikálás
9.2.1 Egy nagy falat: a web listener
9.2.2 További webszerver publikálási opciók
9.2.3 Egy másik példa: Webszerver SSL-el
9.3 Speciális publikálás: az Exchange Server
9.3.1 Az SMTP szerver publikálás
9.3.2 SMTP védelem, vírus- és spamszűrés
9.3.3 A klasszikus e-mail protokollok publikálása
9.3.4 A webes kliensek
10 Távoli elérés: VPN és nem VPN
10.1 Hogyan faragjunk VPN szervert a TMG-ből?
10.2 Site-to-Site VPN
10.3 A nagy durranás: DirectAccess támogatás
10.3.1 DirectAccess alapok
10.3.2 DA vs. TMG
11 Ellenőrizzünk és javítsunk
11.1 Naplózás
11.2 Riasztások
11.3 A legjobb barátaink: Session Monitor és a realtime napló
11.4 Egy újabb barát: a Connectivity Verification
11.5 Jó barátokból sosem elég: a BPA
12 A ráadás: az SP1
12.2 URL szűrés változások
12.3 Újdonságok a jelentéseknél
13 Zárszó
Bevezetés
"Körülbelül 6 éve szeretnék könyvet írni az ISA-ról. Számtalan oka van
annak, hogy eddig miért nem sikerült, legfőképpen az, hogy egy könyv az egy
egész embert kíván, ami egy bizonyos pörgésszám felett majdnem lehetetlen
feladat. De most már nem halogathattam tovább (bár a 2010-es év első másfél
hónapja mégiscsak ezzel telt?), hiszen újra lett aktuális értelme, a TMG
megjelenése kapcsán."
Mindezt 2010 februárjának közepén írtam le. Hosszú habozás után ugyanis
ekkor végre tényleg hajlandó voltam leülni, hogy elkezdjem. Aztán 10 nap
folyamatos írás után, összehoztam kb. 120 oldalt. Nagyon büszke voltam
magamra, de ez aztán elmúlt.
Merthogy ezután félévig semmi sem történt. Semmi. A nyár elején írtam egy
pár oldalt, de aztán gyakorlatilag az egészet kikukáztam. Mondhatnánk, hogy
anyagot gyűjtöttem, elegáns is lenne, de nem igaz. Az viszont igaz, hogy
nem unatkoztam, de írni nem voltam hajlandó - az ember kiválóan képes
meggyőzni magát arról, hogy amit nem akar, arra nincs is szükség. Aztán
augusztus közepe felé nagyon elkezdett égni a lábam alatt a talaj, és kb.
20 kemény munkanap alatt összehoztam a maradék 215 oldalt. Durva, mert
mondhatjuk, hogy 7 hónapig készült a könyv, pedig csak egyig, de az milyen
volt. Durva.
Nos, ezen anyag betű szerinti elsajátítása sok-sok hasonló vastagságú
okosság illetve jó pár év gyakorlat nélkül kissé nehezen fog menni. Azt
viszont már a legelején megígértem magamnak, hogy minden lehetőség szerint
és minden rendelkezésre álló eszközzel maximálisan arra fogok törekedni,
hogy ne legyen lehetetlen1 ebből a könyvből megérteni egy ilyen komplex,
nagy tudású, és többféle környezetben is praktikusan használható szoftver
működését és főképp működtetését, mint a Forefront Threat Management
Gateway 2010. De azért alapozzunk sokrétűen, mert ez a termék valóban
igényli ezt.
De most, hogy kész bátran kijelenthetem, hogy ez nem egy 120%-osan
Forefront TMG könyv, az az nem "csak" egy frissítés, hanem inkább átfogó
jellegű. Több okból is:
- Rengeteg újdonság van benne (ahogyan a termékben is), de azért vannak
olyan részek is, amelyek ISA 2006 vagy esetleg az ISA 2004 óta nem
változtak, viszont kihagyhatatlanok.
- A stateful inspection az ISA és a TMG nélkül is stateful inspection.
Remélem, sokak számára okoz majd legalább annyi örömet e fércmű elolvasása,
mint nekem - leszámítva a kezdeti kínlódást, meg néha a fonal elvesztését
övező pánikhangulatot - a lekörmölése. És persze az okos ember legutoljára
írja meg az előszót, és ilyenkor már, a befejezéstől elkábulva, minden
megszépül, kék az ég, zöld a fű, és a szívemben kicsi virágok nyílnak...
fúj.
De hogy már az első oldalakon is legyen valami értelmes tartalom, azonnal
eszközlök egy praktikus rövidítést a hivatalos, de kissé hosszú
elnevezésen: mi TMG-nek fogjuk hívni innentől az új fiút, az elődjét pedig
egyszerűen ISA-nak. Három betű mindkettő, de "mecsoda különbség"...