Обяснение на режима на заключване на защитната стена на Microsoft Forefront TMG

Преди да прочетете тази статия, имайте предвид, че Microsoft Forefront TMG (Threat Management Gateway) все още е в бета версия и нещата може да се променят във финалната версия на Microsoft Forefront TMG.

Също така имайте предвид, че голяма част от тази статия може да се приложи към ISA Server 2004 и ISA Server 2006, тъй като режимът на блокиране на защитната стена е почти еднакъв във всички версии. Само функцията за опашка на журнал на TMG е налична само във Forefront TMG.

Първият въпрос, който може да искате да зададете, е: Какво представлява режимът на заключване на защитната стена? Отговорът е лесен. Всички версии на ISA Server имат функция, която деактивира услугата защитна стена на ISA Server, когато влизането от ISA до дестинацията е неуспешно. Това се отнася и за Microsoft Forefront TMG, с изключение на това, че TMG идва с нова версия, която разширява режима на блокиране, тази функция се нарича функция за опашка от журнал. Малко по-късно в тази статия ще говоря повече за тази функция.

Следващият въпрос, който бихте искали да зададете, е: Защо ISA/TMG е оборудван с функция за блокиране на защитната стена – не пречи ли на производителността?

Не, не пречи. Критична функция на TMG е реакцията на атака. Ако има атака, регистрационните файлове на TMG ще се запълват и ще се запълват и ще се запълват, това ще отнеме само малко време, след като TMG презапише по-старите регистрационни файлове и ако анализирате атаката, след като е приключила, няма да намерите никаква информация в регистъра на събитията (дневника) за нападателя. Тази и някои други ситуации са причината, поради която TMG преминава в режим на блокиране на защитната стена, когато регистрирането е прекъснато,с изключение на новата функция за опашка от журнали.

Forefront TMG се опитва да балансира необходимостта от несвързан TMG сървър с интернет по време на неуспешно регистриране с необходимостта TMG администраторите да администрират дистанционно машината през надеждна LAN.

Когато Forefront TMG влезе в режим на блокиране, се случва следното:

  • Събитието задейства предупреждение за деактивиране на услугата защитна стена. Можете да посочите други действия, когато TMG не може да запише регистрационните файлове до дестинацията.
  • Деактивирането на защитната стена се регистрира в секцията Предупреждения на функцията за наблюдение на Microsoft Forefront TMG.

Когато TMG работи в режим на блокиране, се прилагат следните функции:

FWENG.SYS (Драйвер за филтриране на пакети в режим на ядро) се прилага към политиката на защитната стена.

Изходящият трафик от мрежата LOCAL HOST към всички мрежи е разрешен.

Следните правила на системната политика позволяват входящ трафик към мрежата LOCAL HOST, освен ако администраторът на TMG не го е забранил:

  • Разрешете дистанционно управление от избрани компютри с помощта на MMC.
  • Разрешете дистанционно управление от избрани компютри с помощта на терминалния сървър.
  • Разрешаване на DHCP отговори от DHCP сървъри на Forefront TMG.
  • Разрешете ICMP (PING) заявки от избрани компютри към Forefront TMG.
  • VPN клиентите за отдалечен достъп нямат достъп до Forefront TMG. Освен това не се предоставя достъп до мрежи от отдалечени сайтове в сценарии за VPN от сайт към сайт.

DHCP (протокол за динамична конфигурация на хост) трафикът винаги е разрешен. DHCP заявките на UDP порт 67 са разрешени от ЛОКАЛНАТА ХОСТ мрежа към всички мрежи, както и DHCP отговорите на UDP порт 68.

Всички промени в тази мрежова конфигурация, направени в режим на заключване, ще бъдатсе прилага само след рестартиране на услугата защитна стена и Forefront TMG излезе от режима на блокиране. Forefront TMG не генерира никакви предупреждения.

Излезте от режима на заключване

Излизането от режима на блокиране на защитната стена е лесно. Трябва само да рестартирате услугата защитна стена. Това автоматично извежда защитната стена от режим на блокиране и връща TMG в нормалното му работно състояние. Всички промени в конфигурацията на Forefront TMG се прилагат, след като излезе от заключен режим.

Големи опашки за регистриране

LLQ (Large Logging Queue) е нова функция в Microsoft Forefront TMG, която помага да се намали броят пъти, когато TMG влиза в режим на блокиране на защитната стена поради неуспешно регистриране. LLQ е локална директория на регистрационния файл на TMG сървъра, която се използва за съхраняване на записи в регистрационния файл на TMG, когато TMG не може да ги запише в целевата директория по подразбиране в SQL Server Express.

LLQ съдържа два основни компонента, които работят в режим на ядро ​​с TMG (FWENG.SYS) и в режим на потребител (диспечер). Процесът в потребителски режим чете само данни от твърдия диск, докато в режим на ядрото процесът Fweng записва на твърдия диск.

Следващата диаграма показва компонентите, използвани от функцията Large Logging Queue.

Фигура 1: Нова функция за опашка от журнали

LLG се съхранява в RAM и твърд диск. Ако диспечерът (компонентът за четене) не вижда забавяне при записването на регистрационни файлове, данните от регистрационните файлове ще бъдат записани директно в базата данни с регистрационни файлове. Можете да регулирате продължителността и количеството данни, които могат да се съхраняват в паметта, като използвате системния регистър. Има две конфигурируеми настройки на регистъра:

Забележка :Microsoft изрично не препоръчва промяна на тези настройки, без да се свържете с поддръжката на Microsoft PSS!

Можете да конфигурирате папката Log Queue Storage в конзолата за управление на TMG под раздела Logs & Reports. Можете да използвате папката Standard в инсталационната директория на TMG или друга директория на TMG сървъра. Ако използвате персонализирана папка, тя трябва да съществува, преди да промените директорията LLQ на този път.

заключване

Фигура 2: Папка за съхранение на опашката за регистриране

В същия раздел на конзолата за управление на TMG можете да видите състоянието на регистрационните файлове на LLQ. Опашката за регистрационни файлове трябва да е празна, когато регистрирането е извършено правилно.

заключване

Фигура 3: Показване на опашката от регистрационни файлове на Forefront TMG

Поддръжка на лог файлове

По време на атака срещу вашия TMG сървър или вътрешна мрежа, броят на записите в регистрационните файлове се увеличава значително и тук започва проблемът. Ако регистрирането на TMG Server е неуспешно, се генерира стандартно съобщение за грешка при регистриране, което деактивира услугата Microsoft TMG Firewall и поставя TMG Server в режим на блокиране. Това поведение е отлична отправна точка за атаки с отказ на услуга (DoS).

За да намалите потенциалния риск от нарушения на регистрирането, можете да оптимизирате системата си на няколко места:

  • Използвайте дефрагментатора на диска, за да оптимизирате достъпа за четене и запис на вашия твърд диск
  • Използвайте бърза и надеждна система
  • Оптимизиране на регистрационните данни
  • Трябва да знаете за кои правила на защитната стена активирате услугата за регистриране
  • Трябва също да разберете кои SQL полета трябва да бъдат регистрирани. Можете да персонализирате полетата на дневника всвойства на регистриране на защитната стена (вижте Фигура 4 за повече информация)
  • Създайте правило за отказ с деактивирано регистриране, което филтрира ненужния трафик като NetBIOS и DHCP, запълвайки регистрационни файлове с тази ненужна информация
  • Настройте папки с журнал на защитна стена и уеб прокси на различни дискове.
  • Ако използвате услугата за регистриране на SQL, променете размера на растежа на файла или процента на растеж на файла за базата данни за регистриране.

Следващата фигура показва свойствата на услугата за регистриране на защитната стена:

заключване

Фигура 4: SQL Express Logging Service

Намаляване на риска от излагане на лавинни атаки

Започвайки с ISA Server 2000, Microsoft въведе някои елементарни функции против фалшифициране и откриване на проникване. ISA Server 2004 въведе допълнителни функции за откриване на проникване. ISA Server 2006 добави някои анти-спам техники. Нови технологии са включени в настройките за намаляване на наводненията и трябва да помогнат за защита срещу заплахи. С тези настройки можете да намалите броя на генерираните записи в журнала. Лавинната защита трябва да бъде персонализирана според вашите нужди и трябва да поддържате тези настройки актуални.

Сигнали за регистриране на TMG

В раздела Мониторинг в конзолата за управление на TMG можете да конфигурирате настройките за предупреждение за всички известия на TMG и в този случай за неуспешно регистриране. В раздела Предупредителни действия можете да спрете услугата защитна стена. Това е стандартна настройка в Microsoft Forefront TMG.

Фигура 5: Действия при грешка в регистрационния файл на Forefront TMG

Симулация на грешки при регистриране

За да симулирате грешка при регистриране, виевсичко, което трябва да направите, е да спрете услугата Microsoft SQL Server Express и след като я спрете, можете да видите, че услугата Microsoft Firewall все още работи.

заключване

Фигура 6: SQL Server Express Logging спря

Ако отидете в раздела за регистрационни файлове и отчети, за да видите състоянието на LLQ, ще видите кой от регистрационните файлове непрекъснато се попълва.

обяснение

Фигура 7: Състояние на опашката с регистрационни файлове ‘ Опашката с регистрационни файлове се запълва

Настройката за предупреждение по подразбиране, която задейства използването на Log Queue, е да се докладва в регистъра на събитията на Windows. Трябва да създадете тригер за събитие или нещо подобно, което да ви уведомява, когато се използва LLQ.

заключване

Фигура 8: Сигнали за опашка за регистриране

Заключение

В тази статия се опитах да ви дам общ преглед на новата функция за опашка за журнал на Microsoft Forefront TMG, така че да можете да избегнете или поне да минимизирате ситуации, при които защитната стена влиза в режим на блокиране, докато регистрирането е прекъснато. Също така ви дадох общ преглед на механизма за регистриране във Forefront TMG и как да настроите и работите с опашката за регистриране в Microsoft Forefront TMG.