Главная Security, Windows, Без рубрики, Новое Установка Microsoft Forefront Threat Management Gateway в виртуальной среде Microsoft Hyper-V
  • Установка Microsoft Forefront Threat Management Gateway в виртуальной среде Microsoft Hyper-V

    firewall Данный материал является практическим применением двух конкретных технологий: Microsoft Hyper-V и Microsoft Forefront Threat Management Gateway, которые предлагает компания Microsoft.

    Технические данные.

    В рамках проекта есть ОДИН физический сервер с двумя сетевыми картами, поддерживающий технологию виртуализации. В рамках данной статьи необходимо решить задачу развертывания демилитаризованной зоны (ДМЗ) в виртуальной сети.

    Прежде чем произвести установку всеx программных продуктов необходимо прочитать правила лицензирования, которые позволят рассчитать стоимость владения ПО. Лицензионное соглашение компании Microsoft регулярно обновляется и всегда доступно на сайте Microsoft.

    1 Этап. Установка операционной системы на физический сервер.

    Компания Microsoft предлагает 2 варианта виртуализации:

    1. C использование гипервизора Microsoft Hyper-V™ Server 2008 .
    2. C использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.

    В рамках текущей статьи будет представлен вариант с использованием роли сервера Hyper-V.

    Использование гипервизора Microsoft Hyper-V™ Server 2008 .

    Компания Microsoft выпустила продукт, который позволяет физический сервер превратить в сервер виртуальных машин без установки операционной системы (на самом деле операционная система устанавливается, но она является специализированной для виртуализации). Продукт называется Microsoft Hyper-V Server.

    Для его администрирования необходимо использовать оболочку Диспетчер Hyper-V, которую можно установить в операционные системы Windows 7 и Windows Vista, либо обладать знаниями по использованию оболочки Powershell.

    Гипервизор Microsoft Hyper-V Server 2008 обеспечивает возможность использования технологии виртуализации БЕСПЛАТНО, но требует специализированных знаний и навыков при обслуживании и использовании дополнительного оборудования, например, ленточных накопителей или систем хранения данных.

    Использование роли сервера Hyper-V в составе Microsoft Windows 2008 R2 Server.

    В рамках операционной системы Microsoft Windows 2008 R2 существует роль Hyper-V, которая предоставляет возможность создания виртуальных машин. При этом на физическом сервере существует возможность использования полноценной операционной системы, которая предоставит администраторам необходимую свободу действий.

    Подробнее про установку гипервизора Microsoft Hyper-V™ Server и роли Hyper-V можно найти на сайте www.microsoft.ru.

    2 Этап. Управление виртуальной сетевой инфраструктурой.

    Несмотря на то, что сервер физический, существует возможность не назначать сетевые адреса на физические сетевые карты, что позволит обеспечить безопасность физического сервера. Однако отсутствие сетевого подключения к локальной сети исключает удаленное администрирование сервера, на котором установлена роль Hyper-V. Обычно для администрирования сервера назначают IP адрес доступа из внутренней сети.

    Назначать сетевой адрес на сетевую карту, подключенную к сети Интернет не рекомендуется, так как нет средств для обеспечения полноценной защиты физического сервера.

    Лучше всего настроить текущую сетевую инфраструктуру на сервере виртуализации. Так как рассматриваемая сетевая инфраструктура представляет собой трехноговую инфраструктуру (Внутренняя – ДМЗ – Внешняя), то необходимо создать три сети, две из которых будут физически присвоены к различным сетевым адаптерам, а третья будет виртуальной – для демилитаризованной зоны . Это делается через «Диспетчер виртуальной сети», как показано на рисунке 1.

    В окне «Диспетчер виртуальных сетей» выбираем пункт «Создать виртуальную сеть». Выбираем тип «Внешний» и нажимаем «Добавить». Процесс создания сети представлен на рис. 2.

    В рамках создаваемой инфраструктуры нам необходимо создать 3 вида сетей: две внешних сети с подключением к разным адаптерам (подключение к внутренний сети и подключение к провайдеру) и одну частную сеть из виртуальных машин (подключение серверов ДМЗ). В результате мы получим три сети (рис.3.)

    3 Этап. Создание виртуальных машин.

    При создании виртуальных машин, находящихся в демилитаризованной зоне, необходимо указать созданный адаптер Virtual DMZ. Основным шлюзом (default gateway) будет являться сервер Microsoft Forefront Threat Management Gateway. Конфигурацию и объем жестких дисков выбирают исходя из задач, возложенных на сервера.

    Для создания виртуальной машины необходимо кликнуть правой кнопкой на сервере Hyper-V, выбрать пункт «Создать – Виртуальную машину». После чего откроется окно приглашения.

    В окне «Укажите имя и месторасположение» необходимо определить название и месторасположение файла конфигурации виртуального сервера (рис. 4.).

    В окне «Выделить память» (рис. 5) необходимо выбрать размер оперативной памяти. Для Microsoft Forefront Threat Management Gateway по минимальным требованиям необходимо 2Гб оперативной памяти.

    В окне «Настройка сети» выбираем подключение к внутренней сети (Virtual Internal).

    В окне «Подключить виртуальный жесткий диск» необходимо выбрать пункт «Создать виртуальный жесткий диск». Указать размер (для Microsoft Windows 2008 R2 не менее 11 Гб) (рис. 7).

    В окне «Параметры установки» выбираем пункт «Установить операционную систему позднее» и нажимаем «Далее» (рис. 8).

    После окна «Сводка» нажимаем «Готово».

    Прежде чем преступить к установке Windows 2008 R2 Server необходимо зайти в настройки виртуальной машины FOREFRONT. Правой кнопкой кликаем на виртуальной машине – Параметры…

    И в окне «Настройки для FOREFRONT»

    В окне выбираем «Установка оборудования» – «Сетевой адаптер» и нажимаем «Добавить». Добавляем два оставшихся адаптера Virtual Internet и Virtual DMZ. После добавления конфигурация компьютера будет выглядеть так:

    после этого приступаем к установке Microsoft Windows 2008 R2 Server.

    Этап 4. Установка Microsoft Windows 2008 R2 Server.

    Приступаем к установке Windows 2008 R2 Server. Для этого необходим образ диска. Его можно скачать с сайта Microsoft. На сайте www.microsoft.ru можно найти жесткий диск для виртуальных машин и заменить его созданным ранее нами.

    В «Контроллере 1 IDE» устанавливаем «Файл изображения» и указываем расположение файла образа.

    Запускаем виртуальную машину.

    После этого можно отправлять установку Microsoft Windows 2006 R2 и Microsoft ForeFront Threat Management Gateway по умолчанию. Определяем сетевые адаптеры и назначаем IP адреса согласно конфигурации сети. ВНИМАНИЕ! На компьютере может быть определен только единственный Default Gateway. Обычно его назначают default gateway провайдера.

    Этап 5. Настройка Microsoft Forefront Threat Management Gateway.

    После первоначального запуска появится окно «Started Wizard». Также его можно запустить через «Launch Getting Started Wizard»

    В настройках «Network Template selection» выбираем «3-Leg perimeter»(трехногий периметр), который позволит ограничить и создать ДМЗ. Нажимаем «Далее».

    В окне «Local Area Network (LAN) Setting» выбираем сетевой адаптер, который подключен к внутренней локальной сети.

    В окне «Internet Setting» выбираем сетевой адаптер, подключенный к провайдеру.

    В окне «Perimeter Network Setting» определяем сетевой адаптер, подключенный к серверам в ДМЗ. Далее необходимо выбрать тип доверия к данной сети. Он может быть либо Public(публичный), когда на серверах находящихся в ДМЗ будет настроена маршрутизация без использования NAT, либо Private (приватный), когда будет настроена маршрутизация с использованием NAT. Данный режим определятся уровнем доверия к сети ДМЗ. Режим Private позволит в полной мере защитит вашу сеть от видимости со стороны ДМЗ, но могут возникнуть проблемы с настройкой правил доступа.

    В этой статье было показано каким образом можно настроить 3-leg периметр. К сожалению, в рамках данной статьи невозможно показать полную настройку Microsoft Forefront Threat Management Gateway для организаций, так как для каждой организации будут существовать свои правила доступа и отношения между сетями и пользователями, которые описаны в политике безопасности.

    Васильев Денис

Комментарии

  1. Спасибо за статью.
    Мне кажется, в заключении надо сделать 2 акцента:
    1. Если на хостовый сервер с Hyper-V вы устанавливаете максимальное число виртуалок (Standard – 1, Enterprise – 4), то по правилам лицензиварония, его нельзя больше использовать ни в каких целях и устанавливать какие либо ещё роли;
    2. При таком раскладе, в DMZ у вас смогут входить только сервера, установленые в качестве виртуальных машин на ОДНОМ сервере виртуализации. В связи с этим нужен ОЧЕНЬ мощный и надежный сервер 🙂

  2. Согласен по первому пункту. с правилами лицензирования необходимо ещё разбираться и разбираться. Для этого необходим отдельный цикл статей

    По второму позвольте не согласиться что для виртуализации нужны мощные сервера. На данные момент существует возможность использование имеющихся ресурсов даже рабочих станций.
    По железу возможна установка на Core i5 750 (4 ядра) и с использованием 16 Гб оперативной памяти(16 тысяч рублей). А это до 14 виртуальных машин Windows 2008 (в режиме ядра). Плюс для Hyper-V Server 2008 существует возможность виртуализации Unix систем. Понятно в данной схеме не стоить вопросы стабильности и надежности работы, но такое возможно.

  3. по второму пункту вы меня немного не поняли. Естественно, что в виртуальную среду можно запихать очень много виртуалок, тут лишь весь вопрос в производительности.
    Я имел ввиду, что “в DMZ у вас смогут входить только сервера, установленые в качестве виртуальных машин на ОДНОМ сервере виртуализации”, т.е. ни какие други сервера в эту DMZ вы внести не сможете!

  4. PS. А разве Core i5 750 это серверный процессор?

  5. Core i5, даже 4-х ядерный годится разве что для тестов виртуализации ))
    Действительные проекты виртуализации строятся на несколько других железках, ибо процессор и память не всегда узкие места в системе (http://www.principledtechnologies.com/clients/reports/Dell/35DL385onto5PEM610.pdf)

  6. Core i5, даже 4-х ядерный, подходит разве что для тестов виртуализации) В действительных проектах обычно используется мощное железо, ибо процессор и память не всегда узкие места в системе. К примеру, http://www.principledtechnologies.com/clients/reports/Dell/35DL385onto5PEM610.pdf

  7. Нет Core i5 750 не серверный процессор, но существует возможность использование его для систем виртуализации. Сервер э о не обязательно бренд железка. это некий механизм которые выполняет серверные задачи и если существует возможность обеспечить серверные задачи на основе Core i5 750 при грамотной настройке такое возможно.

  8. Ну это кому как. Кто-то выбирает брендовые сервера и схд, кто-то делает на коленке из комплектующих, купленных на Савке.

    Имхо, i5 и i7 – максимум для тестовой среды, ибо дешёвые )

  9. Хочу заметить, что если у вал лицензия Enterprise – то хостовая машине НЕ ОБЯЗАТЕЛЬНО должна выполнять роль только виртуализации.

  10. Virtual Use Rights

    * Windows Server 2008 R2 Standard – A customer licensed with Windows Server 2008 R2 Standard may run one instance of the server software in the physical operating system environment (POSE) and one instance of the server software in a virtual operating system environment (VOSE). If the customer is running the instance in the VOSE then the instance running in the POSE can only be used to manage the instance of the OS running in the VOSE.
    * Windows Server 2008 R2 Enterprise – A customer licensed with Windows Server 2008 R2 Enterprise may run one instance of the server software in the physical operating system environment (POSE) and up to four instances of the server software in the virtual operating system environment (VOSE). If the customer is running 4 instances in the VOSE then the instance running in the POSE can only be used to manage the 4 instances of the OS running in the VOSE.

  11. Да, не обязательно только роль виртуализации, но все что вы поставите на нее, то должны использовать только для целей управления этими 4ю виртуальными инстансами.

  12. 2 Алексей Тараненко
    И опять таки неправда. Вот абсолютно лицензионный вариант:
    Хост1 w2k8R2 ENT с ролью Hyper-v, RDS, SQL
    ВМ1 на хост1 с ролью ADDS, ADCS, DNS, DHCP, WINS
    Хост2 VmWare ESXi
    ВМ2 на хост2 с ролью DirectAccess, WSUS, Exch Edge, VPN, RDG, RDWeb
    ВМ3 на хост2 с ролью резервного ADDS

    и ВСЁ это на одной лицензии W2k8R2 ENT!
    P.S. ВМ3 поднять нельзя… уже нарушение.

  13. Поправка – ВМ4 нельзя поднять с той же лицензией.

  14. Может быть мы читаем разные PURы?
    имея лицензию Windows Server 2008 R2 ENT, мы можем:
    -физический хост: Hyper V or VMware ESX(i) or Citrix Xen or etc и засунуть туда 4 полнофункциональных ВМ

    или

    -физический хост: Windows Server 2008 R2 ENTс установленной ролью Hyper V и ролями (AD, DNS, DHCP, OpsMgr, ConfigMgr, SCVMM etc) и запустить 4 ВМ, но при этом все роли и сервисы физического хоста должны обеспечивать только работу этих 4х ВМ.

  15. Алексей Тараненко
    еще раз перечитал, похоже что вы правы. к сожалению 🙁

  16. “в DMZ у вас смогут входить только сервера, установленые в качестве виртуальных машин на ОДНОМ сервере виртуализации.”
    Не соглашусь. Сеть DMZ можно вывести и на сетевой адаптер. В этой DMZ могут находиться и виртуальные машины на этом хосте, и на другом хосте, и реальные машины. Можно это даже сделать если одна сетевая карта, разделив сети на VLAN’ы.
    Это МОЖНО сделать. А вот целесообразность нужно рассматривать в каждом конкретном случае.

  17. Threat Management Gateway, насколько мне известно, не поддерживается в виртуальной среде. (http://support.microsoft.com/kb/957006/en-us)

    >При таком раскладе, в DMZ у вас смогут входить только сервера, установленые в качестве виртуальных машин на ОДНОМ сервере виртуализации. В связи с этим нужен ОЧЕНЬ мощный и надежный сервер 🙂

    Надежный – да, поскольку он один, а вопрос мощности тут не совсем критичен, поскольку требуемая мощность определяется задачами, и IMHO организация, устанавливающая TMG и DMZ на одном сервере, а не в кластере, вряд ли будет держать сверхмощные серверы приложений в DMZ.

    Относительно споров о процессорной мощности – core i7, i5 и даже i3 прекрасно подойдут под задачи виртуализации, если вас устроит производительность (а она у них далеко не маленькая) и надежность остальных компонентов системы. Так называемые брэндовые серверы отличаются не использованием серверных процессоров, а прежде всего надежностью и возможностью расширения.

    Алексей, mikas, для 1 Windows Enterprise в случае 4х ВМ с Windows Server хост только для обслуживания работы ВМ. Однако если ВМ будет не 4, а 3, то на хосто можно вешать какие угодно роли.

    >Не соглашусь. Сеть DMZ можно вывести и на сетевой адаптер.

    Можно. Можно и в кластере сделать, но в статье именно так, во внутренней виртуальной сети на одном хосте.