Завершив установку, Шлюз Microsoft Forefront Threat Management можно настроить следующим образом.

В режиме рабочей группы.
В качестве члена существующего корпоративного домена.
В специально выделенном домене, имеющем одностороннее или двустороннее отношение доверия с конфигурацией корпоративного домена.

Существует ряд факторов, которые следует учитывать при принятии решения об установке либо в домене, либо в режиме рабочей группы.

Если правила доступа требуют проверки подлинности внутренних клиентов для исходящего доступа, Forefront TMG может выполнить проверку подлинности учетных записей пользователей домена на основании данных контроллера домена службы каталогов Active Directory. Проверку подлинности запросов веб-прокси в среде рабочей группы можно выполнить на основании данных сервера RADIUS.
В запросы клиента межсетевого экрана автоматически включены учетные данные пользователя. Чтобы проверить подлинность этих запросов, Forefront TMG должен входить в домен. В среде рабочей группы проверку подлинности запросов можно выполнить с помощью учетных записей пользователей, которые являются отражением учетных записей, хранящихся в локальном диспетчере учетных записей безопасности на сервере Forefront TMG, однако это требует некоторых дополнительных затрат на администрирование, необходимое для обеспечения безопасного управления.
Чтобы выполнить проверку подлинности входящих запросов на внутренние веб-серверы с помощью учетных данных домена или проверки подлинности сертификата, Forefront TMG должен входить в домен. В среде рабочей группы для проверки подлинности можно использовать серверы RADIUS или SecurID.
Для проверки подлинности запросов VPN с помощью учетных данных домена или сертификатов Forefront TMG должен входить в домен. В среде рабочей группы для проверки подлинности можно использовать сервер RADIUS.
Для сопоставления учетных записей пользователей операционных систем, отличающихся от Microsoft Windows, учетным записям пользователей домена можно настроить функцию сопоставления пользователей VPN-клиента. Сопоставление пользователей поддерживается только при установке Forefront TMG в домене.
В домене можно заблокировать сервер Forefront TMG с помощью групповой политики, а не за счет настройки одной локальной политики.
В среде домена, если нарушена безопасность Active Directory, например за счет внутренней атаки, межсетевой экран также может быть подвержен опасности, поскольку пользователь с правами администратора домена может управлять каждым членом домена, включая сервер с Forefront TMG. Подобным образом, если нарушена безопасность межсетевого экрана, домен, в котором находится Forefront TMG, также подвержен риску. По умолчанию группа администраторов домена находится в группе администраторов на сервере Forefront TMG.

Особенности сетевых топологий

Forefront TMG часто используется в следующих сетевых топологиях.

Пограничная конфигурация включает следующие топологии.
- Forefront TMG обеспечивает защиту границы, при которой один адаптер подключен к внутренней сети, а другой - к внешней.
- Конфигурация с двумя межсетевыми экранами, где Forefront TMG выступает в качестве внешнего межсетевого экрана, обеспечивающего защиту границы, при которой один адаптер подключен к внешней сети, а другой - к демилитаризованной зоне. Внутренний межсетевой экран (которым может быть Forefront TMG или продукт сторонних производителей) устанавливается между демилитаризованной зоной и внешней сетью.
- Тройная конфигурация, где Forefront TMG настроен с тремя адаптерами, подключенными к внутренней сети, внешней сети и демилитаризованной зоне.
На границе сети можно установить Forefront TMG в качестве члена домена или в режиме рабочей группы. При выборе установки в качестве члена домена Forefront TMG рекомендуется установить в отдельном лесу (а не во внутреннем лесу корпоративной сети) с односторонним отношением доверия с корпоративным лесом. Это может быть полезным для обеспечения защиты внутреннего леса, даже если в лесу компьютера Forefront TMG обнаружена атака. Данный вариант развертывания имеет ряд ограничений. Например, можно настроить проверку подлинности клиентских сертификатов только для пользователей, определенных в домене Forefront TMG, а не для пользователей в корпоративном внутреннем домене или лесу.
Внутренняя конфигурация включает следующие топологии.
- Forefront TMG внутри сети в случае с двумя межсетевыми экранами. Стандартным сценарием, при котором сервер Forefront TMG установлен на границе сети, а второй сервер Forefront TMG установлен внутри, является установка внешнего сервера Forefront TMG в режиме рабочей группы, а внутреннего - в качестве члена домена. Установка внутреннего сервера в качестве члена домена позволяет выполнять проверку подлинности запросов на основании данных Active Directory. Кроме того, внутренний компьютер Forefront TMG можно укрепить с помощью групповой политики, используемой для упрощения управления.
- Forefront TMG настроен с одним сетевым адаптером. В этом случае Forefront TMG действует как веб-прокси или сервер кэширования. Основным преимуществом установки компьютера Forefront TMG в качестве члена домена в этом случае является простота его использования для проверки подлинности пользователей на основании данных Active Directory. Дополнительные сведения см. в разделе Ограничения при использовании одной сетевой платы.