만약 전체적인 환경 설정 값을 백업하거나 복구 하는 대신에, 방화벽 규칙이나 프로토콜 규칙, 게시 규칙 등만을 백업하거나 복구할 경우가 더 많은 것으로 생각됩니다.

특히, 방화벽 규칙은 설정을 잘못하게 되면, 내부 클라이언트의 사용을 차단할 수도 있기 때문에 방화벽 규칙을 설정하기 전에 해당 항목을 백업해 두는 것이 좋습니다.

전체적인 백업은 XML 파일로 이뤄지지만, 세부적인 항목별 백업은 각 노드마다 따로 제공됩니다. 아래는 방화벽 정책을 백업하는 화면입니다. Export Firewall PolicyImport Firewall Policy 항목입니다.

아래는 URL을 그룹으로 묶은 URL 셋을 백업하거나 복구하는 화면입니다.

지금까지 포어프론트 TMG의 관리 콘솔에서 특정 항목을 백업하거나 복구하는 방법에 대해 설명했습니다.

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    일반적으로 방화벽 장비들은 OS와 같은 프로그램들이 펌웨어 형태로 존재하고, 환경 설정 내용만 플래시나 하드 디스크와 같은 기억 장치에 저장됩니다.

    하지만, 포어프론트 TMG는 윈도우 2008 서버에서 동작하기 때문에 별도로 준비해야 할 부분이 더 많습니다.

    이 중에서 윈도우의 백업 및 복구에 대한 부분을 제외하고, 포어프론트 TMG의 환경 설정 내용을 백업하거나 복구하는 방법에 대해 소개합니다.

    포어프론트 TMG의 환경설정 내용을 백업하거나 복구하는 경우는 다음과 같습니다.  

    • 하드웨어 또는 소프트웨어 장애로 인해 새로 설치하는 경우
    • 설정 오류로 인해 기존 환경 설정 내용으로 복구해야 할 경우
    • 다른 포어프론트 TMG 서버에 환경 설정을 복제할 경우

     특히 포어프론트 TMG는 VSS(Volume Shadow Copy Service)를 이용하여 환경 설정 내용을 XML 파일로 내보내기할 수 있습니다. 만약 복구할 시점에는 VSS 프로바이더가 이 파일을 이용하게 됩니다.

    백업

    포어프론트 TMG의 환경 설정 전체를 백업하려면 포어프론트 TMG 관리 콘솔의 왼쪽 상단에 있는 서버 이름을 마우스 오른쪽 버튼으로 클릭하고, Export(Back Up) 항목을 클릭합니다. 또는, 오른쪽에 있는 Tasks 탭에서 해당 기능을 선택하는 방법도 있습니다.

     

    마이크로소프트의 전통적인 방식인 마법사가 실행됩니다.

     

    Next 버튼을 클릭하여 진행합니다.

    포어프론트 TMG에 저장되어 있는 중요한 정보를 내보내기 위해서는 비밀번호를 설정해야 합니다. 중요한 정보에는 RADIUS(인증 서버)에서 공유하는 키가 대표적입니다. 그리고, 사용자 권한을 백업할 수 있습니다.

     

    이제 XML 파일을 저장할 위치를 지정합니다. 가급적 NTFS로 포맷된 드라이브에 저장하는 것이 좋습니다.

     

    잠시 기다리면 아래와 같이 내보내기 과정을 볼 수 있습니다.

     

    저장한 파일은 XML 형태이므로 메모장과 같은 편집기를 통해 내용을 살펴볼 수 있습니다.

     

    복구

    서버의 장애로 인해 윈도우를 재설치하고 나게 되면, 기존 백업 본을 이용하여 복구할 수 있습니다. 포어프론트 TMG를 설치할 때에는 최소한의 상태로 설치하면 되고, 설치가 완료되면 복구 작업을 통해 원상태로 되돌리면 됩니다.

    포어프론트 TMG 관리 콘솔에서 Import(Restore)를 클릭하면 복구 마법사가 실행됩니다.

     

    백업된 XML 파일이 저장되어 있는 위치를 지정하는 단계입니다.

     

    복구하는 방법을 선택하는 화면이 나타납니다. Import는 기존 환경 설정 내용에 추가하는 방식이고, Overwrite는 기존 환경 설정을 모두 무시하고 새로 덮어쓰는 것입니다.

     

    Import를 선택하는 경우에는 아래와 같이 추가할 환경설정 내용을 선택할 수 있습니다.

     

    마지막으로, XML 파일을 저장할 때 사용했던 암호를 확인하는 과정을 거칩니다.

     

    그리고, 경고 창으로 기존 환경 설정 내용이 바뀐다는 것을 알려 줍니다. 확인 버튼을 눌러 진행합니다.

     

    환경 설정이 복구되는 과정을 보여주는 화면이 나타납니다.

     

    이제 환경 설정 내용이 변경되었습니다. 포어프론트 TMG의 서비스를 재시작하여 변경 사항을 반영합니다. 포어프론트 TMG 관리 콘솔의 윗부분에 아래와 같은 부분이 표시됩니다. Apply 버튼을 클릭합니다.

     

    다음 강좌에서는 특정 항목을 백업하고 복구하는 방법에 대해 다룰 예정입니다.

    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      포어프론트 TMG에서는 방화벽 클라이언트를 TMG 클라이언트라고 부릅니다. 이는 기존 ISA 제품군과 구별하기 위한 것으로 생각됩니다.

      하여튼, TMG 클라이언트를 자동으로 구성하는 방법은 보통 2가지로 나눌 수 있습니다.
      • DNS/DHCP를 이용하여 자동 탐색
      • AD를 이용하여 자동 탐색

      첫번째 방법은 ISA 제품군에서 사용해왔던 기술로, TMG 서버에서는 하나 더 추가되었다는 점을 손쉽게 알 수 있습니다.

      참고로, 포어프론트 TMG 제품의 가장 큰 특징은 바로 "AD를 이용하여 자동 탐색"하는 기능과 "SSL 트래픽을 검사"할 수 있다는 것입니다.

      TMG 클라이언트가 TMG 서버를 자동으로 찾는 과정은 다음과 같습니다.

      1. 액티브 디렉터리가 구현된 환경인 경우 TMG 클라이언트는 LDAP 쿼리를 통해 AD에 있는 정보를 조회합니다.

      2. TMG 클라이언트가 연결이나 어떤 이유로 인해 정보를 가져오지 못하는 경우에는 DNS/DHCP 자동 탐색 기능을 사용합니다.

      3. 액티브 디렉터리에 조회를 하였지만 정보가 없는 경우에는 DHCP에서 정보를 가져오기 위해 시도하고 그 이후에는 DNS에서 시도합니다.


      액티브 디렉터리에 TMG 서버의 정보를 입력하기 위해서는 TMG 자동 탐색 구성 도구(TmgAdConfig.exe)가 필요합니다. 이 도구는 TMG 서버의 위치를 알려주는 표시(마커, marker) 정보를 액티브 디렉터리에 저장합니다.  TMG 클라이언트는 마커 정보를 이용하여 TMG 서버를 찾아 연결합니다.

      주의: AD를 이용하는 자동 탐색 기능은 액티브 디렉터리 환경에서만 사용할 수 있습니다. 단독 실행형이나 워크그룹 형태의 네트워크에서는 사용할 수 없으며, 그 대신 DNS/DHCP를 이용해야 합니다.


      TmgAdConfig 프로그램은 아래 링크에서 AdConfigPack.exe를 다운로드할 수 있습니다.

      이제 AD 마커 키를 등록하기 위해 명령 프롬프트를 실행하여 다음과 같이 입력합니다.

      tmgadconfig add -default -type winsock -url http://ftmgfw.contoso.com:8080/wspad.dat

      Forefront TMG Auto-Discovery Configuration Tool
      New Winsock default marker successfully registered.

      위의 예에서 강조 표시한 부분은 TMG 서버의 FQDN과 사용하는 포트 번호를 나타냅니다.
       

      이제 정상적으로 설치되어 있는지 확인하기 위해 FWCTool 이라는 프로그램을 이용합니다. 이 프로그램은 TMG 클라이언트 PC의 %Programfiles%\Forefront TMG Client 폴더에 저장되어 있습니다.

      1. 명령 프롬프트를 엽니다.

      2. 해당 경로로 이동합니다.

      3. 아래와 같이 입력합니다.

      fwctool TestAutoDetect

      그러면 아래와 비슷한 결과가 화면에 나타나게 됩니다.

      FwcTool version 7.0.7733.100

      Forefront TMG Client support tool

      Copyright (c) Microsoft Corporation. All rights reserved.

       

      Action:         Test the auto detection mechanism

      Type:           Default

       

      Detection details:

       

          Timeout is set to 60 seconds

          Locating WSPAD URL on the Active Directory server

          WSPAD object was found in the global Active Directory container

          WSPAD URL found on the Active Directory server:

          http://ftmgfw.contoso.com:8080/wspad.dat

          Initializing Web server connection

          Resolving IP addresses for ftmgfw.contoso.com

          Resolved 1 address(es):

          10.10.10.69

          Connecting to address #1: 10.10.10.69:8080

          Waiting for address #1 to connect

          Address #1 successfully connected

          Requesting wspad.dat file

          Web server is connected and ready to send WSPAD file

          Downloading WSPAD file

          WSPAD file was downloaded successfully

          Detected Forefront TMG: FTMGFW:1745

       

      Result:         The command completed successfully.


      노란색으로 표시된 부분이 앞서 TmgAdConfig 프로그램에서 등록한 내용과 일치하는지 확인합니다.

      감사합니다.

      참고문서: http://blogs.technet.com/isablog/archive/2009/10/23/tmg-client-introduces-automatic-detection-using-active-directory.aspx
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        중소기업에서 느린 속도의 전용선이나 ADSL 라인을 사용하고 있는 경우에 사용자들이 인터넷을 사용하면서 느린 속도 때문에 불평할 수도 있습니다.

        기존에 굴러다니는(!) 서버에 포어프론트 TMG 서버를 설치하여 네트워크 인프라는 변경하지 않으면서도 사용자에게 보다 빠른 웹 서핑 속도를 제공할 수 있는 방안을 제공합니다.

        포어프론트에서 구현할 수 있는 시나리오는 모두 4가지입니다. 자세한 사항은 아래 링크를 참고하십시오. 여기에서는 4번째로 소개하는 단일 네트워크 어댑터 환경입니다.
        http://moonslab.com/821

        먼저 단일 네트워크 어댑터로 구현되는 TMG 서버는 랜카드가 하나만 있어도 됩니다. 즉, 기존 환경을 그대로 이용할 수 있다는 장점이 있습니다.

        다만, 클라이언트에서는 인터넷 옵션에서 프록시 관련 설정을 해야 합니다.


        그리고 가장 중요한 부분이 웹프록시 모드로 동작할 때에 제한되는 내용입니다. 방화벽 모드에서는 포어프론트 TMG 서버가 제공하는 거의 모든 기능을 사용할 수 있지만, 웹프록시 모드에서는 매우 제한적입니다. 간단히 요약하면 웹프록시 + 웹캐시(가속) 기능을 제공하며, 그외 컨텐트/URL 필터링과 같은 차단기능은 모두 사용할 수 없습니다.


        자세한 지원 내용은 다음과 같습니다.
        • 웹프록시: HTTP, HTTPS, FTP 프로토콜에 대한 정방향 프록시(다운로드 전용)
        • 웹캐싱: HTTP, FTP 프로토콜에 대한 캐싱 
        • 웹 서버 게시(publishing)
        • Microsoft Office SharePoint Server, Exchange OWA 2007, ActiveSync, HTTP over RPC와 같은 HTTP 통신 게시
        • 전화접속 VPN 액세스


        웹프록시 모드에서 지원하지 않는 기능은 다음과 같습니다.
        • 서버 게시를 지원하지 않습니다.(웹 서버 게시만 지원)
        • Site-to-Site VPN을 지원하지 않습니다.(PPTP VPN만 지원)
        • 액세스 규칙은 내부 IP 주소만을 원본 주소로 지정해야 합니다.
        • 방화벽 정책은 외부 네트워크 주소를 지정할 수 없습니다.

        출처: http://technet.microsoft.com/en-us/library/ee191507.aspx
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          포어프론트 TMG의 라이선스 정책이 새롭게 출시되어 간략히 정리해봤습니다.

          포어프론트 TMG는 두가지의 라이선스 형태로 제공됩니다.
          • 서버 라이선스: URL 필터링, 악성 프로그램 진단, 침입 탐지, 애플리케이션/네트워크 방화벽 등의 기능을 제공하는 TMG 서버
          • 구독 라이선스: 최근의 웹 위협으로부터 보호하기 위해 클라우드 기반의 URL 필터링 및 악성 프로그램을 필터링하는 업데이트 라이선스


          포어프론트 TMG의 서버 라이선스는 CPU의 개수에 따라 결정됩니다. 또한, 가상화 사용시에도 동일하게 결정됩니다.

          • 스탠다드 에디션: CPU당 1,499 달러. 최대 CPU 4개까지 지원.
          • 엔터프라이즈 에디션: CPU 당 5,999 달러. CPU 제한 없음.


          또한, 25 CPU를 위한 특별 가격으로도 제공됩니다.

          • 엔터프라이즈 에디션 25 프로세서 팩: 75,000 달러.

          포어프론트 TMG의 구독 라이선스는 사용자 수 또는 장비 수를 기반으로 결정됩니다. 사용자 수에 따른 가격은 아래와 같습니다.
          • 웹 보호 서비스: 사용자당 12달러(1년)

          출처: http://www.microsoft.com/forefront/threat-management-gateway/en/us/pricing-licensing.aspx

          알림: MS 상의 라이선스 정책은 아주 복잡하므로, 기업이나 조직의 상황에 맞도록 꼼꼼하게 파악하시는 것이 좋습니다.

          감사합니다.




          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            포어프론트 TMG(Forefront TMG)는 ISA(Internet Security & Acceleration Server)의 다음 버전으로 소프트웨어 방식의 방화벽 및 웹 프록시(캐싱) 기능을 제공합니다.

            포어프론트 TMG는 ISA로 치자면 2010 버전에 해당하는 것으로 다음과 같은 새로운 기능을 제공합니다.


            • 웹으로부터 들어오는 악성 프로그램 예방- TMG 서버로 들어오는 웹 트래픽에 대해 바이러스와 같은 악성 프로그램이 포함되어 있는 경우에 차단하는 기능을 제공합니다. 보통 바이러스월이라고 보면 이해가 쉽습니다.
            • URL 필터링 - URL 범주(예: 음란물, 마약, 혐오적인 내용 또는 인터넷 쇼핑)에 기준으로 웹사이트를 허용할지 여부를 판단합니다. 만약, 회사 직원들에게 특정한 웹사이트를 제한하려면 관리자가 직접 해당 사이트를 포함하는 등의 추가적인 기능을 제공합니다.
            • 이메일 보호 — TMG 서버 내에 위치한 SMTP 서버로 주고받는 이메일에 대해 바이러스, 악성 프로그램, 스팸과 같은 유해한 메시지를 차단합니다.
            • HTTPS 지원 - 기존 버전에 비해 향상된 주요 기능으로 HTTPS(SSL) 트래픽인지 파악하여 처리할 수 있는 장점을 제공합니다. 만약, 은행과 같이 금융에 관련된 사이트는 예외처리를 할 수도 있습니다. 또한, 바이러스와 같은 악성 프로그램도 예방합니다.

            • NIS(네트워크 검사 시스템)- MS의 취약점을 이용하는 공격을 파악하여 예방합니다. NIS는 프로토콜을 분석하는 방식으로 제공되며, 새로운 취약점이 나올 때마다 업데이트할 수 있습니다.
            • 고급 NAT(Network Address Translation) - 1:1 NAT을 지원합니다.

            • 고급 VoIP(Voice over IP) - SIP Traversal을 지원합니다.

            • Windows Server 2008 64비트 지원 - 포어프론트 TMG는 윈도우 2008 64비트 버전에서만 설치하여 운영할 수 있습니다. 이는 Windows 2008에서 새롭게 제공하는 가상화 솔루션인 Hyper-V에서 TMG 서버를 NLB로 운영할 수 있습니다.

            감사합니다.

             


            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus


              Web Analytics Blogs Directory