Продовжуємо цикл статей про нові функції, включених у версію Beta 2 брандмауера TMG. Спочатку я вирішив, що це буде заключна частина даного циклу, але потім усвідомив, що в вузлі здійснювати підключення до мережі (Networking Node) консолі брандмауера TMG є ще багато моментів, щоб включити їх в одну частину циклу. Тому в цій частині ми звернемо нашу увагу на вузол здійснювати підключення до мережі і постараємося розглянути всі моменти в цій та наступній частині циклу, яка повинна бути заключною.
Вузол підключення до мережі (Networking Node)
Давайте поглянемо в вузол здійснювати підключення до мережі в лівій панелі консолі. Якщо він ще не відкритий, відкрийте консоль брандмауера TMG, розгорніть ім'я сервера і потім натисніть на вузлі із мережею (Networking). У середній панелі консолі у вас з'являться такі закладки:
- Мережі (Networks)
- Набори мереж (Networks Sets)
- Мережеві правила (Network Rules)
- Мережеві адаптери (Network Adapters)
- Маршрутизація (Routing)
- Веб-ланцюжок (Web Chaining)
- Надмірність ISP (ISP Redundancy)
Деякі з цих закладок ми бачили в попередній версії брандмауера, але деякі з них є новими. Я назву нові закладки, нові функції і можливості в міру докладного розгляду кожної з них.
Закладка Мережі (Networks)
Закладка Мережі (Networks) була присутня в попередній версії брандмауера, вона включає всі мережі, певні на цьому брандмауер або в масиві брандмауерів. Стандартні мережі брандмауера TMG включають:
- Зовнішню (External)
- Внутрішню (Internal)
- Локальний хост (Local Host)
- VPN клієнти, поміщені в карантин (Quarantined VPN Clients)
- VPN клієнти (VPN Clients)
Це ті ж стандартні мережі, які були в попередній версії брандмауера, тому тут трохи нового. Коли ви натискаєте двічі на одній з цих мереж, у вас з'являється діалогове вікно властивостей, схоже на те, що було в попередній версії брандмауера. Однак є одна відмінність, яка полягає в тому, що тут є опції CARP і NLB. Оскільки для другої бета версії цього продукту немає Standard або Enterprise версій, невідомо, чи будуть ці функції доступні у всіх версіях брандмауера RTM TMG. Насправді, неясно, чи будуть різні версії до моменту випуску продукту.
Набори мереж (Network Sets)
Закладка Набори мереж (Network Sets) включає групи мереж брандмауера TMG, що складаються з наборів стандартних мереж брандмауера TMG. Стандартні набори мереж включають:
- Всі мережі і локальний хост (All Networks and Local Host)
- Всі захищені мережі (All Protected Networks)
- Мережі, контрольовані Forefront під кодовою назвою Stirling (Forefront codename Stirling Monitored Networks)
Якщо ви досвідчений адміністратор брандмауера ISA, то, можливо, помітили новий набір мереж, Forefront codename Stirling Monitored Networks. Опис цієї мережі наступне; 'Цей визначений набір мереж включає мережі, контрольовані Forefront з кодовою назвою Stirling' 'так, хороше тавтологічну опис?
Я перевірив файл довідки та підтримки, але, на жаль, в ньому нічого не говориться про це наборі мереж. Я збираюся пошукати керівництво з цього набору мереж, але на той час Stirling, ймовірно, отримає іншу назву продукту, і ім'я цього набору мереж теж зміниться.
Закладка мережевих правил (Network Rules)
Натисніть на закладку Мережні правила (Network Rules) і побачите стандартні мережеві правила. Стандартні мережеві правила, певні на брандмауері TMG Beta 2 включають:
- Доступ локального хоста (Local Host Access)
- VPN клієнтів до внутрішньої мережі (VPN Clients to Internal)
- Доступ до інтернету (Internet Access)
Це ж ми бачили в попередній версії брандмауера. Але тут є деякі значні зміни. Натисніть двічі на мережевому правилі Доступ до інтернету. щоб побачити ці зміни.
Тепер давайте розглянемо цю функцію більш детально. У правій панелі консолі брандмауера TMG натисніть посилання Створити нове мережеве правило (Create a New Network Rule). Це відкриє сторінку майстра створення нових мережевих правил Welcome to the New Network Rule Wizard. Ми введемо назву правила в текстовому полі Ім'я мережевого правила (Network rule name). в даному прикладі ми назвемо його Mail-1. що представлятиме вихідний поштовий сервер в нашій внутрішній мережі. Натискаємо Далі.
На сторінці Джерела мережевого трафіку (Network Traffic Sources) натискаємо кнопку Додати (Add) і в діалоговому вікні Додавання мережевих елементів (Add Network Entities) вибираємо об'єкт комп'ютера Mail Server 1. який був створений раніше.
Комп'ютерний об'єкт Mail Server 1 з'явиться у вигляді джерела на сторінці Джерела мережевого трафіку. Натискаємо Далі.
На сторінці Приймачі мережевого трафіку (Network Traffic Destinations) ми вибираємо приймач для цього мережевого правила. В даному випадку ми хочемо встановити в якості приймача стандартну зовнішню мережу (default External Network), тому натискаємо Додати і вибираємо Зовнішня (External) в діалоговому вікні Додавання мережевих елементів (Add Network Entities).
Стандартна зовнішня мережа з'являється на сторінці Приймачі мережевого трафіку. Натискаємо Далі.
На сторінці Завершення роботи майстра створення нового мережевого правила. переглядаємо параметри і натискаємо Готово. Потім натискаємо Застосувати у верхній частині середньої панелі консолі, щоб зберегти зміни.
Закладка мережевих адаптерів (Network Adapters)
Закладка мережевих адаптерів є абсолютно новою закладкою, яка була відсутня в попередніх версіях брандмауера. Закладка Завдання (Tasks) в закладці мережевих адаптерів показана на малюнку нижче. Тут ви можете працювати з деякими параметри мережевих адаптерів з консолі брандмауера TMG.
У середній панелі консолі представлений список адаптерів, встановлених на комп'ютері брандмауера TMG. Стовпці включають:
Закладка маршрутизації (Routing)
Це ще одна нова закладка, якої було в попередніх версіях брандмауера. У закладці Маршрутизація (Routing) ви можете переглядати записи таблиці маршрутизації на комп'ютері брандмауера TMG. Це досить зручно, оскільки відсутність записів в таблиці маршрутизації є однією з основних проблем при діагностуванні роботи брандмауерів ISA і TMG.
Однак мене все ж розбирала цікавість на рахунок цього Маршруту топології масиву. Звучить трохи екзотично, чи не так? Просто щоб упевнитися, що це не просто гарна назва для запису таблиці маршрутизації, я відкрив інтерпретатор командного рядка і ввів route print. Результат цієї команди показаний на малюнку нижче. Здається, що маршрути топології масиву є однією з різновидів записи в таблиці маршрутизації. Ну да ладно, може я щось упустив.
Закладка веб-ланцюжка (Web Chaining)
Ця закладка була і в попередніх версіях брандмауера. Однак тут є деякі нові опції, які не були доступні в закладці Завдання в панелі завдань попередніх версій брандмауера. Новими опціями тут є такі:
- Створення правил веб-доступу, необхідних для веб-ланцюжка (Create Web Access Rules required for Web chaining) 'коли ви натискаєте сюди, вас перенаправляють на вузол Політика брандмауера (Firewall Policy). де можна створювати правила доступу.
- Вказати параметри Dial-up (Specify Dial-up Preferences) 'тут ви можете налаштовувати dial-up конфігурацію, якщо використовуєте dial-up підключення на своєму брандмауері TMG
Крім цих двох опцій в цій закладці більше нічого не змінилося.
Закладка надмірності ISP (ISP Redundancy)
Остання, але не менш важливе, звичайно, буде закладка надлишкового ISP. Це нова закладка в брандмауері TMG, і вона представляє нову функцію брандмауера TMG, що дозволяє використовувати до двох ISP на одному брандмауері або масиві брандмауерів TMG.
У закладці Завдання панелі завдань вкладки надмірності ISP ви знайдете посилання Включити надмірність ISP (Enable ISP Redundancy). Натисніть на неї.
В результаті відкриється сторінка майстра настройки надмірності ISP Welcome to the ISP Redundancy Configuration Wizard. Натисніть Далі.
На сторінці Метод надмірності ISP (ISP Redundancy Method) у вас є два варіанти вибору:
- Обхід відмови за допомогою основного і резервного з'єднання (Failover using a primary and backup link) 'ця опція дозволяє вам використовувати одне ISP з'єднання, і якщо воно обривається, брандмауер TMG переключиться на другий ISP. Брандмауер TMG буде продовжувати перевірку статусу основного ISP, і коли з'єднання знову з'явиться, TMG переключиться назад на нього.
- Компенсація навантаження між двома каналами ISP (Load balancing between two ISP links) 'ця опція дозволяє вам використовувати обидва ISP підключення одночасно, і автоматично розподіляє підключення між цими двома з'єднаннями на основі відносної навантаження кожного каналу.
У цьому прикладі ми виберемо опцію Компенсація навантаження між двома ISP каналами і натиснемо Далі.
На сторінці ISP Link 1 є кілька опцій:
На сторінці Фактор компенсації навантаження (Load Balancing Factor) ви визначаєте відносну завантаженість кожного підключення. За замовчуванням обидва підключення використовуються однаково.
Перевірте свої параметри на сторінці Завершення роботи майстра настройки надмірності ISP і натисніть Готово.
Залежно від вашої конфігурації і середовища, може знадобитися кілька хвилин, перш ніж ви побачите використання обох ISP, а протягом цього часу підключення клієнтів за брандмауером TMG може бути обірвано. Не турбуйтеся, будьте терплячими. Після того, як конфігурація стане активною, у вас з'явиться діаграма, що відображає стан обох підключень. У прикладі нижче видно, що підключення до одного з ISP обірвано, на що вказує червона лінія між ISP і хмарою.
Також повинен подякувати команді розробників TMG за використання ярлика брандмауера в цій діаграмі, а не стандартного ярлика веб-проксі (комп'ютер з маленьким брандмауером поруч). Знадобилося десять років на те, щоб повідомлення про те, що це брандмауер, а не якийсь інший продукт, отримало право на існування.
Мені трохи шкода, що команда розробників TMG вирішила застосувати цю функцію таким чином, оскільки мені здається, що більшість користувачів будуть розташовувати свої брандмауери TMG за CPE пристроями, наданими їх провайдерами широкосмугових каналів, а не підключати мережеві адаптери брандмауерів TMG безпосередньо до кожного ISP.
Проте, ця функція відмінно працює, а обхід відмови швидкий і плавний.