Forefront TMG - Planejando corretamente

  • Published on
    20-Jul-2015

  • View
    904

  • Download
    1

Embed Size (px)

Transcript

<p>Slide 1</p> <p> Planejando corretamenteUilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC Microsoft Technical Audience Contributorhttp://uilson76.wordpress.comsouzajr.nc@uol.com.br ou usouzajr@gmail.com </p> <p>AgendaEntendendo o ambienteComo seu ambiente ir funcionarArquitetura de rede e features do produtoHardware disco/processamento/memriaSistema Operacional, DNS e Active DirectoryPlacas de Rede, Log e cacheEnterprise Management Server e BackupNetwork Load BalanceProxy transparenteAtualizaes no produtoPara quem ainda usa ISA ServerReferncias para estudo</p> <p>Entendendo seu ambienteTopologia do ambiente Fluxo de acesso internetTipo de usurio no ambiente High, medium, low?Redes, VLANs, Firewalls, etcTamanho e quantidade de links da corporaoObjetivos do acesso internet </p> <p>Como seu ambiente ir funcionarO que voc precisa? Como voc precisa?Qual a funcionalidade do Forefront TMG para a corporao? Que tipo de equipamento voc ir usar? Appliance, VM, Servidor fsico?O Forefront TMG ficar na rede interna? Ser back-firewall ou ficar na borda?</p> <p>Arquiteturas de rede e features do produtoQual arquitetura usar? Edge, 3-Leg Perimeter, Back Firewall, Single Network Adapter</p> <p>Arquiteturas de rede e features do produtoExistem diversas implementaes de TMG usando Single Network Adapter com regras configuradas de forma errada, causando problemas de performance e tornando o ambiente no suportado</p> <p>http://technet.microsoft.com/en-us/library/cc995236.aspx Hardware Disco/Processamento/Memria</p> <p>Um dos grandes erros na montagem do servidor ocorre na arquitetura dos discos.</p> <p>Fundamental que haja separao do disco de SO/TMG, Cache o Log</p> <p>O resultado desta m configurao so problemas de gargalo de disco causando lentido para quem acessa o servidor e tambm para o usurio final.</p> <p>Hardware Disco/Processamento/Memria</p> <p>A arquitetura de discos sempre dever seguir o modelo ao lado.</p> <p>Arrays separados montados em RAID1 (que mais performtico), ou RAID10, dependendo da quantidade de discos</p> <p>OBS: Os tamanhos descritos na imagem ao lado so apenas exemplos</p> <p>Hardware Disco/Processamento/Memria</p> <p>Para memria nada inferior a 4 ou 8 GB de RAM</p> <p>Processamento mnimo de 2 processadores para mquinas virtuais ou 1 quadcore para servidores fsicos</p> <p>Lembrando que a licena do Forefront TMG vendida por processador e este planejamento tambm influi em custos</p> <p>Publicao Web tambm um fator que deve ser analisado, pois, vai consumir processamento</p> <p>Hardware Disco/Processamento/Memria</p> <p>O dimensionamento de memria e processamento tambm influenciado pelo nmero de usurios, tipo de acesso a internet, etc.</p> <p>Features como SSL Inspection, Network Inspection, URL Filtering, etc, devem obrigatoriamente ser consideradas no que tange a processamento e memria.</p> <p>Ateno tambm para mtodo de gravao de logs, possveis commits de LLQs, etc.</p> <p>Hardware Disco/Processamento/Memria</p> <p>Mesmo aps um bom dimensionamento, alguns problemas podem surgir em ambientes onde o acesso internet no controlado, ou ambientes que recebam muitos acessos.</p> <p>Nesses casos, existem mtodos de configurao que evitam Lock Down mode e tambm Syn Flood:</p> <p>http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg </p> <p>Sistema Operacional, DNS e Active DirectoryA verso correta do Windows Server 2008 dever ser escolhida de acordo com o tamanho da sua infra.</p> <p>O Windows Server 2008 R2 Std at pode ser usado, porm, em ambientes pequenos em que a funo do TMG se resuma a proxy e cache.</p> <p>Caso haja necessidade de VPN, a verso standard do Windows suporta at 250 conexes.</p> <p>Sistema Operacional, DNS e Active DirectoryNo instalar o produto sem antes se certificar que o Windows est totalmente configurado e os patches instalados.</p> <p>A falta de patches pode causar problemas no comportamento no s do TMG, mas, tambm do prprio sistema operacional, alm de deixar o equipamento sujeito a brechas de segurana.</p> <p>No funciona no Windows Server 2012 </p> <p>Sistema Operacional, DNS e Active DirectoryVerificar a sade do seu servidor DNS e configuraes antes de implementar sua infra estrutura do Forefront TMG</p> <p>Qualquer problema no DNS afeta a performance e a resoluo de nomes no servidor do Forefront TMG</p> <p>De preferncia criar seu DNS Zone na sua infra de servidores AD, fazendo Forwarding para o DNS que faz as resolues externas</p> <p>Sistema Operacional, DNS e Active DirectoryA mesma recomendao se faz necessria para seu Domain Controller.</p> <p> atravs dele que o Forefront TMG analisa as permisses por usurio nas regras e nele que o produto busca as informaes de usurio.</p> <p>Em infras com vrios sites, verifique sempre se o seu servidor Forefront TMG buscando autenticao no AD da prpria localidade.</p> <p>Sistema Operacional, DNS e Active DirectoryAbaixo um link para um post onde o MVP Alberto Oliveira narra um caso onde a configurao equivocada do AD pode causar problemas na infra de proxy:</p> <p>http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case </p> <p>Placas de Rede, Log e cacheEm infras com arquitetura edge ou outra diferente de Single Network Adapter, prestar ateno no Bind Order. Placa Interna sempre com prioridade!</p> <p>Sempre sincronize a velocidade da sua placa com a do seu roteador. Evite o Auto Negotiation</p> <p>Toda rede criada no Forefront TMG dever estar atrelada a uma placa.http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network -configuration-on-forefront-tmg.aspx </p> <p>Placas de Rede, Log e cacheAmbientes com duas placas de rede:</p> <p>Gateway sempre na rede externaRoteamento para rede interna via rotas estticasDNS preferencialmente usar resoluo interna e externa a partir da placa da rede interna</p> <p>Placas de Rede, Log e cacheLogs sempre sendo gravados em um disco prprio em array ou LUN separada do SO e Cache.</p> <p>Ambientes com mais de 10.000 usurios recomendvel no usar o SQL Express e direcionar a criao de logs para um servidor SQL atravs de uma rede separada.</p> <p>Cuidado ao direcionar logs para um servidor SQL! Alguns comandos devem ser aplicados previamente:http://technet.microsoft.com/pt-br/library/dd441079.aspx </p> <p>Placas de Rede, Log e cacheAteno para o tempo de reteno dos logs. Influencia no espao em disco e nas informaes que voc poder precisar em um eventual relatrio.</p> <p>Logs em TXT so mais performticos, porm, no possvel acessar registros passados.</p> <p>Placas de Rede, Log e cacheDa mesma forma que o Log, o servio de cache dever ter seu prprio disco ou LUN para evitar problemas de gargalo.</p> <p>No crie arquivos de log muito grandes. Isso s causa problemas. Siga o padro definido pela Microsoft:100 MB + 0.5 MB * nmero de usurios:</p> <p>http://msdn.microsoft.com/en-us/library/cc750618.aspx </p> <p>Enterprise Management Server e Backup</p> <p>O EMS gerencia arrays com vrios servidores TMGEnterprise Management Server e Backup</p> <p>Enterprise Management Server e Backup</p> <p>O backup de uma infra Forefront TMG deve se basear no servidor do EMS ou no Array Manager</p> <p>Manter sempre backup do array e/ou regras criadas no Forefront TMG. Pode ser feito via scrip ou manual.</p> <p>Cuidado na implementao das Redes de Backuphttp://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backup-no-forefront-tmg/ Network Load Balance</p> <p>Analisar bem o trfego de sua rede</p> <p>Para ambientes TMG em VMs verificar as recomendaes do fornecedor do Host Fsico</p> <p>NLB Microsoft suporta at 500 mbps de trfego. Alm disso recomendado o uso de um Balanceador ExternoNetwork Load Balance</p> <p>Em ambientes grandes utilizar sempre Multicast</p> <p>Detalhe Importante:</p> <p>A Microsoft no suporta cenrios em que a estrutura possua balanceadores externos com estaes usando o Forefront TMG Firewall Client:http://technet.microsoft.com/en-us/library/ee796231.aspx Proxy Transparente</p> <p>Forma de se configurar o proxy transparente no TMG:</p> <p>Duas placas de rede no padro EdgeIP da interface Interna como default gateway da redeServidor dever ser capaz de rotear para toda redeCriar regra habilitando HTTP e HTTPS da interna para externa com acesso para All UsersOs acessos ocorrero por SecureNat</p> <p>Proxy Transparente</p> <p>Pontos de ateno:</p> <p>SecureNAT no faz autenticaoNo possvel restringir acessos nas regras por usurioQualquer outro tipo de acesso diferente de All Users requer configurao de proxy explcito</p> <p>Atualizaes no produto</p> <p> importante saber qual verso do produto se est lidando quando se faz um assessment ou um primeiro contato:</p> <p>Produto atualmente na verso SP2 Rollup 2</p> <p> http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-a-versao-do-forefront-tmg-pt-br.aspx Para quem ainda usa o ISA Server</p> <p>No adianta usar mais que 4 GB de RAM 32 Bits</p> <p>Nunca use /3GB no Boot.ini O engine FWENG roda em Kernel</p> <p>Demais recomendaes iguais ao Forefront TMG</p> <p> Para quem ainda usa o ISA Server</p> <p>Migrar urgente para o Forefront TMG!</p> <p> Referncias para Estudo</p> <p>Forefront TMG Hardware Recommendationshttp://technet.microsoft.com/en-us/library/ff382651.aspx </p> <p>Forefront Deployment Resourceshttp://www.microsoft.com/forefront/en/us/deployment.aspx</p> <p>Microsoft Forefront TMG Case Studieshttp://www.microsoft.com/forefront/threat-management-gateway/en/us/case-studies.aspx Referncias para Estudo</p> <p>Guia de sobrevivncia Forefront TMG no Technet Wiki:http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx</p> <p>Forum Technet Forefront TMG:http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads</p> <p>Microsoft Space:http://uilson76.wordpress.com</p> <p>Treinamento Online Forefront TMG:http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefront-tmg/</p> <p> A Microsoft ajuda vc a planejar!</p> <p>Forefront TMG Capacity Planning Toolhttp://www.microsoft.com/en-us/download/details.aspx?id=15196 Planejando corretamenteObrigado pelo tempo dispensado!</p> <p>Uilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC Microsoft Technical Audience Contributorhttp://uilson76.wordpress.comsouzajr.nc@uol.com.br ou usouzajr@gmail.com </p>