Обзор конфигурации DNS для Microsoft Forefront Threat Management Gateway (TMG) 2010

В данной статье рассматривается конфигурация сетевых интерфейсов и DNS-серверов, для правильной работы брандмауэра TMG .

Введение

Для безопасной работы и оптимальной производительности брандмауэр Microsoft Forefront Threat Management Gateway (TMG) 2010 в значительной мере опирается на сетевую инфраструктуру. Правильная конфигурация сетевого интерфейса и разрешение имен, в частности, играют важную роль, особенно когда TMG настроен как безопасный web – шлюз (входящий или исходящий прокси). По опыту новых реализаций и конфигурации уже существующих, самой частой проблемой с которой приходится сталкиваться - является неправильно настроенное разрешение имен. В этой статье мы обсудим конфигурацию сетевого интерфейса и требования к DNS-серверу для правильного разрешения имен для unihomed и multihomed брандмауэров TMG.

Требования к DNS-серверу

Существует несколько важных деталей, которые следует учесть при выборе DNS-сервера. За очень немногими исключениями, брандмауэр TMG должен быть настроен на использование внутреннего DNS-сервера, способного распознавать как имена хостов для внутреннего пространства имен, так и для внешнего (например, www.bing.com). Для обеспечения надежной работы и оптимальной производительности DNS-серверы должны быть хорошо связаны и иметь достаточный потенциал, чтобы справиться с таким объемом запросов разрешения имен, который вам потребуется. Это во многом зависит от количества пользователей, подключенных к TMG и от того, как эти клиенты подключаются - клиенты Веб-прокси и TMG доверяют брандмауэру TMG распознание имен хостов, увеличивая нагрузку на DNS-серверы, которые использует брандмауэр, а вот Клиенты SecureNAT сами выполняют распознавание имен хостов, уменьшая, таким образом, нагрузку на DNS-сервера брандмауэра. Если настроенный DNS-сервер перегружен, или есть проблемы с подключением между TMG и DNS-серверами, то производительность TMG упадет. Это обычно приводит к проблемам с загрузкой веб-страниц и к проблемам аутентификации пользователей, которые должны проходить проверку подлинности используя NTLM или Kerberos.

Конфигурация сетевого интерфейса

Настройка сетевого интерфейса для брандмауэра TMG с одним сетевым интерфейсом (unihomed) очень проста; IP-адрес, маска подсети, шлюз по умолчанию и DNS-серверы - все это должно быть сконфигурировано на, единственном, внутреннем интерфейсе. Ситуация становится более сложной, когда брандмауэр TMG имеет несколько сетевых интерфейсов (multihomed). Если TMG имеет более одного сетевого интерфейса, каждый интерфейс будет иметь свой собственный уникальный IP адрес и настройки маски подсети. Однако, независимо от количества имеющихся сетевых интерфейсов, вы можете настроить только один шлюз по умолчанию. Этот момент необходимо подчеркнуть особенно. TMG может иметь шлюз по умолчанию, назначенный только для одного сетевого интерфейса - интерфейса внешней сети. Никогда не настраивайте шлюз по умолчанию на любой другой интерфейс, кроме внешнего с включенным ISP!

Порядок привязки сетевого интерфейса

Для брандмауэров TMG, которые имеют более одного сетевого интерфейса, еще одной важной настройкой конфигурации (то, что часто упускается из виду) является порядок привязки сетевого интерфейса. На multihomed брандмауэрах TMG, откройте Network and Sharing Center и нажмите на Change adapter settings. Затем нажмите Alt для того, чтобы раскрыть выпадающее меню и выберите Advanced, затем Advanced Settings. Выберите вкладку Adapters and Bindings и убедитесь, что интерфейс внутренней сети указан первым в этом упорядоченном списке. Если это не так, выделите интерфейс внутренней сети, а затем нажмите зеленую стрелку справа, и переместите его на самый верх.

Порядок остальных сетевых интерфейсов не принципиален, но предпочтительно, чтобы интерфейс внешней сети был последним.

Настройка DNS-серверов

Все DNS-серверы должны быть настроены исключительно на интерфейсах внутренней сети. Не настраивайте DNS-серверы на любых других сетевых интерфейсах. Распространенной ошибкой многих администраторов является указание DNS-серверов их провайдера на интерфейсе внешней сети в дополнение к внутренним DNS-серверам, настроенным на интерфейсе внутренней сети. DNS-серверы должны быть настроены исключительно на одном сетевом интерфейсе – внутреннем.

Исключение из правил

Существует одно условие, при котором вполне приемлема настройка DNS-серверов на внешнем интерфейсе, это возможно когда брандмауэр TMG настроен как Узел-бастион. В этой очень специфической роли TMG не является членом домена и не связан с ресурсами внутренней сети. Это единственный сценарий, при котором рекомендуется настройка DNS-серверов на внешнем интерфейсе.

Внутренний корневой DNS

В некоторых случаях, внутренние DNS-серверы могут быть не в состоянии определить имена хостов внешнего пространства имен. Это может происходить, когда внутренние DNS-серверы выступают в качестве корневых серверов для внутреннего пространства имен. Однако требования к TMG остаются неизменными. Брандмауэру TMG по-прежнему необходим DNS-сервер, который способен распознавать как внутреннее, так и внешнее пространство имен.

В этом случае вам придется настроить DNS-сервер, который отвечает этим требованиям. Лучший способ решения этой проблемы – настройка DNS-сервера, предназначенного только для кэширования, который настроен на использование условной переадресации. В этом случае запросы в области внутренних частных ресурсов направляются на ваши внутренние DNS-серверы, в то время как все остальные запросы разрешаются с помощью корневых ссылок или направляются прямо на ваши ISP DNS серверы.

Резюме

Правильный порядок привязки сетевого интерфейса и разрешение имен имеют очень важное значение для безопасности и производительности TMG. У Брандмауэр TMG с одним сетевым интерфейсом (unihomed), IP-адрес,, маска подсети, шлюз по умолчанию и DNS-серверы должны быть настроены на единственном, внутреннем сетевом интерфейсе. Брандмауэр TMG с несколькими сетевыми интерфейсами (multihomed) должен иметь шлюз по умолчанию, настроенный только на интерфейсе внешней сети, и DNS-серверы, настроенные только на интерфейсе внутренней сети. Следуя этим указаниям, Вам удастся избежать некоторых из наиболее распространенных ошибок в настройке TMG, гарантируя, что ваш брандмауэр будет работать в оптимальном режиме.