Forefront TMG - Planejando corretamente

  • View
    907

  • Download
    1

Embed Size (px)

Transcript

Slide 1

Planejando corretamenteUilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC Microsoft Technical Audience Contributorhttp://uilson76.wordpress.comsouzajr.nc@uol.com.br ou usouzajr@gmail.com

AgendaEntendendo o ambienteComo seu ambiente ir funcionarArquitetura de rede e features do produtoHardware disco/processamento/memriaSistema Operacional, DNS e Active DirectoryPlacas de Rede, Log e cacheEnterprise Management Server e BackupNetwork Load BalanceProxy transparenteAtualizaes no produtoPara quem ainda usa ISA ServerReferncias para estudo

Entendendo seu ambienteTopologia do ambiente Fluxo de acesso internetTipo de usurio no ambiente High, medium, low?Redes, VLANs, Firewalls, etcTamanho e quantidade de links da corporaoObjetivos do acesso internet

Como seu ambiente ir funcionarO que voc precisa? Como voc precisa?Qual a funcionalidade do Forefront TMG para a corporao? Que tipo de equipamento voc ir usar? Appliance, VM, Servidor fsico?O Forefront TMG ficar na rede interna? Ser back-firewall ou ficar na borda?

Arquiteturas de rede e features do produtoQual arquitetura usar? Edge, 3-Leg Perimeter, Back Firewall, Single Network Adapter

Arquiteturas de rede e features do produtoExistem diversas implementaes de TMG usando Single Network Adapter com regras configuradas de forma errada, causando problemas de performance e tornando o ambiente no suportado

http://technet.microsoft.com/en-us/library/cc995236.aspx Hardware Disco/Processamento/Memria

Um dos grandes erros na montagem do servidor ocorre na arquitetura dos discos.

Fundamental que haja separao do disco de SO/TMG, Cache o Log

O resultado desta m configurao so problemas de gargalo de disco causando lentido para quem acessa o servidor e tambm para o usurio final.

Hardware Disco/Processamento/Memria

A arquitetura de discos sempre dever seguir o modelo ao lado.

Arrays separados montados em RAID1 (que mais performtico), ou RAID10, dependendo da quantidade de discos

OBS: Os tamanhos descritos na imagem ao lado so apenas exemplos

Hardware Disco/Processamento/Memria

Para memria nada inferior a 4 ou 8 GB de RAM

Processamento mnimo de 2 processadores para mquinas virtuais ou 1 quadcore para servidores fsicos

Lembrando que a licena do Forefront TMG vendida por processador e este planejamento tambm influi em custos

Publicao Web tambm um fator que deve ser analisado, pois, vai consumir processamento

Hardware Disco/Processamento/Memria

O dimensionamento de memria e processamento tambm influenciado pelo nmero de usurios, tipo de acesso a internet, etc.

Features como SSL Inspection, Network Inspection, URL Filtering, etc, devem obrigatoriamente ser consideradas no que tange a processamento e memria.

Ateno tambm para mtodo de gravao de logs, possveis commits de LLQs, etc.

Hardware Disco/Processamento/Memria

Mesmo aps um bom dimensionamento, alguns problemas podem surgir em ambientes onde o acesso internet no controlado, ou ambientes que recebam muitos acessos.

Nesses casos, existem mtodos de configurao que evitam Lock Down mode e tambm Syn Flood:

http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg

Sistema Operacional, DNS e Active DirectoryA verso correta do Windows Server 2008 dever ser escolhida de acordo com o tamanho da sua infra.

O Windows Server 2008 R2 Std at pode ser usado, porm, em ambientes pequenos em que a funo do TMG se resuma a proxy e cache.

Caso haja necessidade de VPN, a verso standard do Windows suporta at 250 conexes.

Sistema Operacional, DNS e Active DirectoryNo instalar o produto sem antes se certificar que o Windows est totalmente configurado e os patches instalados.

A falta de patches pode causar problemas no comportamento no s do TMG, mas, tambm do prprio sistema operacional, alm de deixar o equipamento sujeito a brechas de segurana.

No funciona no Windows Server 2012

Sistema Operacional, DNS e Active DirectoryVerificar a sade do seu servidor DNS e configuraes antes de implementar sua infra estrutura do Forefront TMG

Qualquer problema no DNS afeta a performance e a resoluo de nomes no servidor do Forefront TMG

De preferncia criar seu DNS Zone na sua infra de servidores AD, fazendo Forwarding para o DNS que faz as resolues externas

Sistema Operacional, DNS e Active DirectoryA mesma recomendao se faz necessria para seu Domain Controller.

atravs dele que o Forefront TMG analisa as permisses por usurio nas regras e nele que o produto busca as informaes de usurio.

Em infras com vrios sites, verifique sempre se o seu servidor Forefront TMG buscando autenticao no AD da prpria localidade.

Sistema Operacional, DNS e Active DirectoryAbaixo um link para um post onde o MVP Alberto Oliveira narra um caso onde a configurao equivocada do AD pode causar problemas na infra de proxy:

http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case

Placas de Rede, Log e cacheEm infras com arquitetura edge ou outra diferente de Single Network Adapter, prestar ateno no Bind Order. Placa Interna sempre com prioridade!

Sempre sincronize a velocidade da sua placa com a do seu roteador. Evite o Auto Negotiation

Toda rede criada no Forefront TMG dever estar atrelada a uma placa.http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network -configuration-on-forefront-tmg.aspx

Placas de Rede, Log e cacheAmbientes com duas placas de rede:

Gateway sempre na rede externaRoteamento para rede interna via rotas estticasDNS preferencialmente usar resoluo interna e externa a partir da placa da rede interna

Placas de Rede, Log e cacheLogs sempre sendo gravados em um disco prprio em array ou LUN separada do SO e Cache.

Ambientes com mais de 10.000 usurios recomendvel no usar o SQL Express e direcionar a criao de logs para um servidor SQL atravs de uma rede separada.

Cuidado ao direcionar logs para um servidor SQL! Alguns comandos devem ser aplicados previamente:http://technet.microsoft.com/pt-br/library/dd441079.aspx

Placas de Rede, Log e cacheAteno para o tempo de reteno dos logs. Influencia no espao em disco e nas informaes que voc poder precisar em um eventual relatrio.

Logs em TXT so mais performticos, porm, no possvel acessar registros passados.

Placas de Rede, Log e cacheDa mesma forma que o Log, o servio de cache dever ter seu prprio disco ou LUN para evitar problemas de gargalo.

No crie arquivos de log muito grandes. Isso s causa problemas. Siga o padro definido pela Microsoft:100 MB + 0.5 MB * nmero de usurios:

http://msdn.microsoft.com/en-us/library/cc750618.aspx

Enterprise Management Server e Backup

O EMS gerencia arrays com vrios servidores TMGEnterprise Management Server e Backup

Enterprise Management Server e Backup

O backup de uma infra Forefront TMG deve se basear no servidor do EMS ou no Array Manager

Manter sempre backup do array e/ou regras criadas no Forefront TMG. Pode ser feito via scrip ou manual.

Cuidado na implementao das Redes de Backuphttp://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backup-no-forefront-tmg/ Network Load Balance

Analisar bem o trfego de sua rede

Para ambientes TMG em VMs verificar as recomendaes do fornecedor do Host Fsico

NLB Microsoft suporta at 500 mbps de trfego. Alm disso recomendado o uso de um Balanceador ExternoNetwork Load Balance

Em ambientes grandes utilizar sempre Multicast

Detalhe Importante:

A Microsoft no suporta cenrios em que a estrutura possua balanceadores externos com estaes usando o Forefront TMG Firewall Client:http://technet.microsoft.com/en-us/library/ee796231.aspx Proxy Transparente

Forma de se configurar o proxy transparente no TMG:

Duas placas de rede no padro EdgeIP da interface Interna como default gateway da redeServidor dever ser capaz de rotear para toda redeCriar regra habilitando HTTP e HTTPS da interna para externa com acesso para All UsersOs acessos ocorrero por SecureNat

Proxy Transparente

Pontos de ateno:

SecureNAT no faz autenticaoNo possvel restringir acessos nas regras por usurioQualquer outro tipo de acesso diferente de All Users requer configurao de proxy explcito

Atualizaes no produto

importante saber qual verso do produto se est lidando quando se faz um assessment ou um primeiro contato:

Produto atualmente na verso SP2 Rollup 2

http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-a-versao-do-forefront-tmg-pt-br.aspx Para quem ainda usa o ISA Server

No adianta usar mais que 4 GB de RAM 32 Bits

Nunca use /3GB no Boot.ini O engine FWENG roda em Kernel

Demais recomendaes iguais ao Forefront TMG

Para quem ainda usa o ISA Server

Migrar urgente para o Forefront TMG!

Referncias para Estudo

Forefront TMG Hardware Recommendationshttp://technet.microsoft.com/en-us/library/ff382651.aspx

Forefront Deployment Resourceshttp://www.microsoft.com/forefront/en/us/deployment.aspx

Microsoft Forefront TMG Case Studieshttp://www.microsoft.com/forefront/threat-management-gateway/en/us/case-studies.aspx Referncias para Estudo

Guia de sobrevivncia Forefront TMG no Technet Wiki:http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx

Forum Technet Forefront TMG:http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads

Microsoft Space:http://uilson76.wordpress.com

Treinamento Online Forefront TMG:http://uilson76.wordpress.com/2011/10/29/treinamen