Magyarázat lock üzemmód (zárlatot mód) tűzfal Microsoft Forefront TMG
Tehát kezdjük
Mielőtt elkezdené ezt olvasod, vegye figyelembe, hogy a Microsoft Forefront TMG (Threat Management Gateway) még mindig a béta verzió, és bármi lehet változtatni a végleges változata a Microsoft Forefront TMG.
A következő kérdés, akkor kérheti, hogy mi az ISA / TMG felszerelt blokkoló funkció tűzfal „kivéve ha ez nem akadályozza a teljesítményt?
Nem, ez nem akadályozza meg. TMG kritikus funkciója reagál a támadásokra. Ha van egy támadást, rönköt TMG tele lesz, és tele és töltött, csak egy rövid idő után a TMG felülírja a régebbi magazinok, és ha elemezni a támadás után befejeződött, akkor nem fogja megtalálni minden információt az eseménynapló (log) a támadásokat. Ez és néhány más helyzetekben az oka annak, hogy benne van a TMG tűzfal blokkolja a módot, ha a naplózás be van szakítva, kivéve az új funkciók a log sorban.
Forefront TMG megpróbálja egyesíteni a szükségességét TMG Server nem csatlakozik az internethez során fakitermelés hiba azzal az igénnyel, TMG rendszergazdák távolról adminisztrálni egy megbízható gép a LAN.
Amikor Forefront TMG belép a lock üzemmód, a következő történik:
- Kiváltó esemény egy figyelmeztetést, hogy tiltsa le a tűzfalat szolgáltatást. Megadhatja egyéb intézkedések, ha a TMG naplók nem írt a cél.
- A tűzfal van írva a figyelmeztetés részén a Microsoft Forefront TMG ellenőrző funkciók.
Amikor TMG van lezárás módban a következő funkciók állnak rendelkezésre:
FWENG.SYS (packet filter vezető Kernel Mode) felvisszük a tűzfalszabályzat.
Kimenő forgalmat a hálózat helyi hoszt számára minden hálózat engedélyezett.
Az alábbi rendszer politikai szabályok lehetővé teszik a bejövő forgalmat HELYI fogadó hálózat, ha a rendszergazda nem letiltotta TMG:
- Lehetővé teszi a távoli menedzsment kiválasztott számítógép segítségével MMC.
- Hagyjuk távirányító kiválasztott számítógépeken keresztül a szerver terminál (Terminal Server).
- Hagyjuk DHCP válaszol a DHCP szerverek Forefront TMG.
- ICMP (Ping) kéréseket kiválasztott számítógépek Forefront TMG.
- VPN távoli hozzáférés ügyfelek nem tudnak hozzáférni a Forefront TMG. Továbbá, a hozzáférés megtagadva a távoli helyszínen hálózatok szkriptek üzemenkét VPN.
DHCP (Dynamic Host Configuration Protocol) forgalom mindig engedélyezett. DHCP kérelmeket UDP port 67 engedélyezettek a hálózat HELYI HOST minden hálózatban, és a DHCP válaszol UDP-porton 68.
Bármely változtatást a hálózati konfiguráció készült zárlatot mód alkalmazása csak a tűzfal szolgáltatás újraindításakor és a Forefront TMG kilép zárlatot módban. Forefront TMG nem generál figyelmeztetést.
Kilépés lock üzemmód
Kilépés a tűzfal blokkoló mód egyszerű. Csak akkor kell újraindítani a tűzfal szolgáltatást. Ez automatikusan megjeleníti a tűzfal blokkolja mód és visszatér a TMG a normál üzemi állapot. Bármilyen változás a konfigurációs Forefront TMG alkalmazott után kilép a zár módban.
Hosszú sorok naplóbejegyzéseket
LLQ (nagy fakitermelő sor) - egy új funkció a Microsoft Forefront TMG, ami segít csökkenteni a számát, amikor belép a TMG tűzfal zárlatot mód miatt a fakitermelés hibák. LLQ egy helyi könyvtárba a naplózza TMG Server, amelyet menteni TMG naplóbejegyzések, amikor a TMG nem éget őket a cél könyvtár „az SQL Server Express alapértelmezés szerint.
LLQ tartalmaz két alapvető összetevőből, hogy a munka Kernel módban TMG (FWENG.SYS) és egy felhasználói módba (felhasználó (diszpécser)). Process felhasználói módban csak adatokat olvas a merevlemezről, és a kernel módú Fweng folyamat írja a merevlemezt.
A következő ábra a használt komponensek funkciója nagy fakitermelő Queue.
LLG RAM-ban tárolt és a merevlemezen. Ha a kezelő (értsd alkatrészek) nem látja a késedelmek naplók, a napló adatok lesz írva közvetlenül a adatbázisnaplókat. Lehetőség van beállítani az időtartam és az adatok mennyiségét is tartalmazza memóriát a rendszer adatbázisában. Két konfigurálható registry kulcsot:
Megjegyzés. A Microsoft a nyílt nem ajánlott ezeket a beállításokat megváltoztatni anélkül, hogy támogatja a Microsoft PSS!
Itt lehet beállítani a Log sor Storage mappa a TMG Management konzol fül Naplók és jelentések (Napló Reports). Használhatja a mappát Standard (standard) a TMG telepítési könyvtár vagy egy másik könyvtárba a szerveren TMG Server. Ha ön használ egy mappát, akkor léteznie kell, mielőtt változtatni LLQ könyvtár ezen az úton.
2. ábra: A mappa tárolás log queue
Ugyanebben TMG Management konzol lapon, akkor megtekintheti az LLQ naplók. Az összes napló üres legyen, ha a fakitermelés hajtjuk végre.
3. ábra: Mutatja a Forefront TMG log queue
Szolgáltatás naplófájlok
A támadás során a TMG Server a belső hálózat, vagy a számát naplóbejegyzések is jelentősen megnövekedett, és ez az, ahol a probléma kezdődik. Ha a szerver naplók rekord TMG kiszolgáló meghibásodik, akkor az előállított szabványos üzenetet fakitermelés hiba, amely letiltja a szolgáltatást a Microsoft TMG tűzfal és belép a TMG Server a zár módban. Ez a viselkedés kiváló kiindulópont a támadásra, hogy megzavarják a normál szolgáltatás (Denial of Service támadások - DoS).
akkor optimalizálja a rendszer több helyen ahhoz, hogy csökkentse a fakitermelés megsértésének lehetséges kockázatát:
- Használja Töredezettségmentesítő hogy optimalizálja a szolgáltatást olvasás és írás a merevlemezre való hozzáférés
- Használjon egy gyors és megbízható rendszer
- Optimalizálja log adatok
- Tudnia kell, hogy milyen tűzfal szabályok bekapcsolja a fakitermelés szolgáltatás
- Az is nyilvánvaló, milyen mezőket kell regisztrálni az SQL naplók. Itt lehet beállítani a fakitermelés területén a tulajdonságok a fakitermelés a tűzfal (lásd 4. ábra további információkat)
- Hozzon létre egy jog megtagadásához funkció fogyatékkal fakitermelés, amely kiküszöböli a szükségtelen forgalom, mint a NetBIOS és a DHCP, kitöltve a log fájlokat felesleges információkat
- Állítsa be a tűzfal log könyvtárat és a Web proxy szerver különböző lemezeken.
- Ha ön használ SQL rönk csinál szolgáltatás, megváltoztatva a méretet vagy fájl százalékos növekedés az adatbázis fájl növekedési adatait.
Az alábbi ábra mutatja a szolgáltatás tulajdonságainak bejegyzés tűzfal rönk:
4. ábra: A vezető szolgáltató SQL Express rönk
Csökkentése kockázatát lavina támadások
Alert rögzíti TMG rönk
Monitoring fülön a TMG-kezelőben beállíthatja értesítéseket az összes TMG bejelentési és ebben az esetben a fakitermelés hiba. A cselekvési figyelmeztetések lapra, akkor megáll a tűzfal szolgáltatást. Ez alapfelszereléseként Microsoft Forefront TMG.
5. ábra: A Forefront TMG fellépését a napló hiba
hibák szimulált égő naplók
Szimulált fakitermelés hiba, akkor csak abba a Microsoft SQL Server Express szolgáltatást, és a leállítás után is látható, hogy a Microsoft Firewall szolgáltatás továbbra is fut.
6. ábra: Az SQL Server Express Naplózás megállt
Ha megy egy könyvjelzőt naplók és jelentések állapotának megtekintéséhez LLQ, látni fogja néhány naplók folyamatosan töltjük.
7. ábra: A jelenlegi állapot log queue „valamennyi rönk van töltve
Normál figyelmeztető paramétert, amely fut a használatát Log sor, nyilván azt a Windows Event Log jelentést. Létre kell hozni egy kiváltó esemény (Event kiváltó), vagy valami hasonlót küldünk egy értesítést arról használatát LLQ.
8. ábra: Bejelentés sorban naplók
következtetés
Ebben a cikkben megpróbáltam áttekintést nyújt az új funkciók sorban Microsoft Forefront TMG naplók, így elkerülhető, vagy legalábbis minimalizálják a helyzeteket, amelyekben a tűzfal lezárt üzemmódba kerül a megszakítás alatt a fakitermelés. Azt is biztosított egy áttekintést a naplózási mechanizmus Forefront TMG és hogyan kell beállítani és a munka a sorban bejelentkezik a Microsoft Forefront TMG.