Dikonfigurasi dengan benar, Forefront TMG, yang berjalan pada versi terbaru sistem operasi jaringan Windows yang dikonfigurasi dengan aman, adalah firewall dan gateway web yang aman dan andal. Tingkat umum Keamanan solusi dapat ditingkatkan dengan bantuan tips yang diuraikan dalam artikel ini.

Perkenalan

Secara historis, firewall yang disertakan dengan sistem operasi tujuan umum seperti Microsoft Windows diyakini tidak aman. Namun, pendapat ini berhasil dibantah berkat SDL (Security Development Lifecycle), sebuah proses yang dijelaskan dengan baik untuk melaporkan kerentanan dan mengelola pembaruan keamanan, serta proses yang panjang. rekam jejak keamanan dan keandalan Microsoft ISA Server dan Forefront Threat Management Gateway (TMG). Firewall TMG terdepan, yang berjalan Server Windows R2 2008 bisa dibilang lebih aman saat ini dibandingkan banyak pesaingnya.

Dengan bantuan tip konfigurasi TMG, Anda dapat secara signifikan meningkatkan keseluruhan postur keamanan sistem dan mengurangi permukaan serangan, yang pada gilirannya menjamin tingkat keamanan TMG tertinggi. Saat membuat kebijakan manajemen untuk TMG, yang terbaik adalah menerapkan prinsip hak istimewa paling rendah. Di bawah ini adalah daftar rekomendasi yang berguna untuk menerapkan prinsip ini.

Batasi keanggotaan dalam peran administratif Forefront TMG pada tingkat susunan- peran administrator TMG tingkat larik memberikan hak penuh untuk mengelola larik kepada pengguna dan/atau grup pengguna mana pun yang termasuk dalam peran tersebut. Setelah TMG diinstal pada sistem, peran ini ditetapkan secara default ke grup Administrator Windows lokal (serta pengguna yang menginstal TMG).

Gambar 1

Grup Administrator Domain global biasanya merupakan anggota grup Administrator Lokal, yang berarti bahwa anggota grup ini akan mewarisi hak administratif penuh melalui firewall TMG. Namun, hal ini tidak sepenuhnya ide bagus. Untuk keamanan optimal, grup administrator lokal harus dihapus dari peran administrator Forefornt TMG tingkat array. Anggota peran ini harus ditentukan dengan menentukan akun tertentu Direktori Aktif alih-alih menambahkan grup ke peran tersebut. Mengapa akun individual dan bukan grup? Karena hal ini memberikan kendali yang jelas kepada administrator TMG ITU atas siapa sebenarnya yang memiliki penuh akses administratif ke ITU TMG. Menggunakan akun tertentu dan bukan grup mencegah, misalnya, administrator domain menambahkan akun pengguna ke grup domain global yang merupakan bagian dari peran administrator tingkat array dan dengan demikian memperoleh kendali atas TMG. Jika Anda masih ingin menggunakan grup domain untuk mengelola TMG, gunakan grup dengan akses terbatas(http://technet.microsoft.com/ru-ru/library/cc785631(WS.10).aspx).

Batasi keanggotaan pada peran administratif Forefront TMG tingkat perusahaan- Peran administratif TMG tingkat perusahaan memberikan semua anggota peran tersebut akses penuh ke seluruh perusahaan, termasuk semua susunan TMG dalam perusahaan. Setelah menginstal TMG EMS, grup administrator lokal bawaan menjadi anggota peran secara default (serta pengguna yang menginstal aplikasi).

Gunakan akun administratif terpisah- Cara terbaik adalah menggunakan akun Direktori Aktif terpisah untuk mengelola firewall TMG. Jangan gunakan akun ini untuk mengelola sistem lain. Akun ini harus memiliki kebijakan kata sandi yang kuat yang mencakup kata sandi yang panjang dan rumit waktu singkat kehidupan. Jika domain berjalan pada tingkat fungsional Windows Server 2008, dimungkinkan untuk mengaktifkan kebijakan kata sandi granular untuk secara otomatis menetapkan kebijakan yang diperlukan (http://technet.microsoft.com/ru-ru/library/cc770394(WS.10) .aspx).

Gunakan stasiun kerja terpisah dan terisolasi untuk mengelola TMG- Konfigurasikan stasiun kerja terpisah untuk mengelola firewall TMG. Instal konsol administratif pada mesin ini dan kelola firewall TMG dari jarak jauh. Masuk ke mesin ini hanya dengan akun administrator TMG terpisah. Kebijakan lokal Keamanan harus membatasi login ke sistem ini untuk akun lain. Tempat kerja ini harus dilindungi dengan baik, tidak dapat diakses pengguna jarak jauh dan terputus dari Internet. Sebaiknya gunakan autentikasi multifaktor (kartu pintar atau token) untuk mengakses sistem ini.

Batasi keanggotaan untuk objek jaringan kendali jarak jauh komputer- Membatasi jumlah anggota objek jaringan manajemen komputer jarak jauh adalah metode utama untuk mengurangi permukaan serangan firewall TMG. Secara default, host yang merupakan bagian dari objek Manajemen Komputer Jarak Jauh memiliki akses ke banyak layanan yang berjalan di firewall TMG, termasuk RDP, NetBIOS, RPC, Ping, dan lainnya. Pemberian akses terhadap layanan-layanan ini menciptakan tingkat risiko yang dapat dikurangi secara signifikan dengan membatasi akses terhadap kelompok ini. DI DALAM ideal, grup ini hanya akan berisi stasiun kerja yang didedikasikan untuk tugas-tugas administrasi.

Batasi akses jaringan untuk agen manajemen- seringkali, firewall TMG memerlukan instalasi agen manajemen sistem dari Microsoft atau produsen pihak ketiga. Hindari membuat kebijakan akses yang mengizinkan agen membuat koneksi ke seluruh jaringan atau subnet. Kebijakan firewall seharusnya hanya mengizinkan agen untuk terhubung ke host yang diperlukan.

Larangan

Jangan gunakan Firewall TMG sebagai workstation- hindari menggunakan browser di TMG untuk mengunjungi situs di Internet, kunjungi mesin pencari atau unduh patch dan pembaruan. Semua koreksi, serta yang diperlukan perangkat lunak harus diunduh ke stasiun kerja biasa (bukan stasiun kerja yang digunakan untuk mengelola TMG - host tersebut harus ditolak akses Internetnya!), di mana file dapat dipindai sebelum diunduh dan diinstal pada TMG.

Jangan gunakan Firewall TMG untuk tugas sehari-hari- yang terbaik adalah menginstal konsol manajemen TMG pada stasiun kerja terpisah, seperti dijelaskan di atas, dan membatasi jumlah login lokal ke sistem firewall TMG sebanyak mungkin.

Jangan menginstal utilitas administrasi dari firewall TMG. produsen pihak ketiga - banyak komponen untuk firewall TMG berisi perangkat lunak manajemennya sendiri, terkadang dengan menggunakan HTTP server (misalnya, IIS, Apache, dll.). Perangkat lunak seperti itu bermasalah karena meningkatkan permukaan serangan firewall TMG dan berpotensi menimbulkan vektor serangan tambahan. Jika memungkinkan, perangkat lunak manajemen pihak ketiga tidak boleh diinstal pada firewall TMG itu sendiri. Perangkat lunak ini harus diinstal sistem terpisah, sebaiknya ke stasiun kerja manajemen TMG.

Jangan membuat folder publik di firewall TMG- di server ISA versi sebelumnya, setelah menginstal produk pada sistem, folder publik secara otomatis dibuat untuk bertukar data dengan klien ITU. Opsi ini kemudian dihapus dari produk karena tidak aman. Firewall TMG adalah firewall dan tidak lebih. Ini tidak boleh digunakan sebagai server file dalam kondisi apa pun. Jika akses jarak jauh ke sistem diperlukan, misalnya, untuk memperoleh majalah teks, ini harus dilakukan menggunakan utilitas log pihak ketiga seperti Epilog, ArcSight, atau Splunk.

Jangan menginstal layanan infrastruktur di Firewall TMG- jangan pernah menginstal layanan infrastruktur seperti DNS, DHCP, Certificate Authority, dll. pada firewall TMG Dalam kebanyakan kasus, instalasi seperti itu akan berakhir dengan konfigurasi yang tidak didukung (http://technet.microsoft.com/ru- ru/perpustakaan/ ee796231.aspx). Namun meskipun konfigurasinya didukung, kehadiran layanan tersebut di TMG meningkatkan permukaan serangan dan memperkenalkan vektor serangan tambahan. Layanan seperti itu akan diperlukan lagi pembaruan dibandingkan dengan TMG terpisah, yang akan meningkatkan waktu henti sistem. Layanan ini juga memerlukan tambahan sumber daya sistem(Waktu CPU, memori, jaringan dan ruang disk) dan dapat berdampak buruk pada stabilitas sistem dan kinerja firewall.

Kesimpulan

Dikonfigurasi dengan benar, Forefront TMG, yang berjalan pada versi terbaru sistem operasi jaringan Windows yang dikonfigurasi dengan aman, adalah firewall dan gateway web yang aman dan andal. Tingkat keamanan solusi secara keseluruhan dapat ditingkatkan dengan menggunakan tips yang diuraikan dalam artikel ini. Mengikuti prinsip hak istimewa paling rendah dengan membatasi keanggotaan dalam peran administratif TMG di tingkat array dan perusahaan, menggunakan akun terpisah di stasiun kerja yang terisolasi, membatasi keanggotaan dalam objek jaringan manajemen komputer jarak jauh, pembatasan akses jaringan untuk agen manajemen TMG akan mengurangi permukaan serangan pada firewall TMG. Selain itu, menghilangkan praktik tidak aman dalam menggunakan TMG sebagai stasiun kerja untuk menginstal perangkat lunak administratif pihak ketiga, membuat folder publik, atau menginstal layanan infrastruktur akan memberikan keamanan yang lebih baik.

Jika Anda belum pernah mendengarnya, ISA Firewall sedang dihapuskan. Versi terakhir dari ISA Firewall adalah ISA 2006. Namun, ini tidak berarti bahwa perangkat lunak ISA yang kita sukai selama bertahun-tahun tidak akan ada lagi. Meski merek ISA akan masuk ke dalamnya tempat sampah sejarah, kita akan melihat versi berikutnya dari ISA Firewall dengan nama baru: Forefront Threat Management Gateway.

Ada beberapa alasan mengapa nama ISA tidak lagi digunakan. Namun mungkin alasan utamanya adalah masyarakat sepertinya masih belum bisa menebak dari namanya apa itu ISA Firewall. Beberapa mengira itu hanya server proxy web (dalam semangat Proxy 2.0), yang lain mengira itu hanyalah firewall lain, yang lain mengira itu server VPN, yang lain mengira itu semacam Frankenstein atau tidak mengerti apa-apa sama sekali . Nama baru ini akan memberikan lebih banyak perhatian pada Forefront TMG, dan, seperti yang diharapkan perusahaan, akan memungkinkan orang untuk memahami tujuan utama dari produk ini.

Pada artikel ini, saya akan memandu Anda melalui proses instalasi. Namun, sebelum Anda menginstal TMG, Anda perlu mengetahui hal berikut:

• TMG hanya akan berjalan di Windows Server 2008 64-bit. Setelah versi RTM dirilis, akan ada TMG versi demo 32-bit, tetapi tidak akan ada versi beta untuk Windows 32-bit
• TMG memerlukan setidaknya 1 GB memori (mungkin akan berfungsi dengan lebih sedikit memori, tetapi akan sangat lambat)
• 150 MB ruang bebas pada disk
• Oleh setidaknya satu NIC (walaupun saya selalu merekomendasikan dua atau lebih NIC untuk keandalan yang lebih baik)
• Anda perlu menginstal folder standar untuk mengemudi C:
• TMG akan menginstal IIS 7 di mesin Anda untuk mendukung Layanan Pelaporan SQL. Jika Anda menghapus TMG dari mesin, II7 tidak akan terhapus secara otomatis, jadi Anda harus melakukannya secara manual
• File layanan dan driver untuk TMG diinstal di folder instalasi TMG
• Untuk versi beta 1 TMG, mesin TMG harus menjadi bagian dari domain. Versi beta mendatang akan mendukung mesin yang bukan milik domain.

Dalam rangkaian artikel ini (kita harus melakukannya dalam dua bagian), saya menginstal TMG pada mesin Windows Server 2008 Enterprise yang berjalan sebagai mesin virtual(VM) di VMware Virtual Server 1.0. VM memiliki dua antarmuka: satu antarmuka terhubung melalui jembatan ke jaringan eksternal dan akan berfungsi sebagai antarmuka eksternal, dan antarmuka kedua terletak di VMNet2, yang akan menjadi antarmuka jaringan internal bawaan. Perlu diperhatikan bahwa model jaringan untuk TMG tidak berubah dari konfigurasi yang digunakan oleh ISA Firewall.

TMG adalah salah satu elemen perangkat lunak yang termasuk dalam koleksi produk Forefront Stirling. Anda dapat mengunduh semuanya atau hanya TMG saja. TMG akan bekerja dengan baik tanpa Stirling, tetapi Stirling jelas merupakan sesuatu yang ingin Anda pertimbangkan di masa depan.

Klik dua kali pada file yang Anda unduh. Itu akan terbuka untukmu halaman selamat datang Selamat datang di Wizard Instalasi Gerbang Manajemen Ancaman Forefront. Klik Berikutnya.

Gambar 1

Instal file ke lokasi default, yaitu . Klik Berikutnya.

Gambar 2

File akan diekstraksi ke folder ini.

Gambar 3

Klik Menyelesaikan ketika proses ekstraksi selesai.

Gambar 4

Buka map C:\Program Files (x86)\Microsoft ISA Server dan klik dua kali pada file tersebut ISAAutorun.exe.

Gambar 5

Sebuah kotak dialog akan terbuka. Microsoft terdepan Pengaturan Evaluasi 270 Hari TMG. Klik pada tautannya Instal TMG Depan.

Gambar 6

Ini akan memunculkan jendela selamat datang wizard instalasi Selamat datang di Wizard Instalasi untuk Microsoft Forefront Threat Management Gateway. Klik Berikutnya.

Gambar 7

Di halaman Perjanjian Lisensi pilih opsi Saya menerima ketentuan perjanjian lisensi dan tekan Berikutnya. Harap dicatat bahwa perjanjian lisensi masih mengandung nama kode produk lama Nitrogen.

Gambar 8

Di halaman Informasi Konsumen masukkan milikmu Nama belakang Dan Organisasi. Nomor seri produk sudah akan dimasukkan untuk Anda. Klik Berikutnya.

Gambar 9

Di sini kami menemukan opsi instalasi baru yang tidak tersedia di versi produk sebelumnya. Di halaman Skenario instalasi Anda memiliki pilihan untuk menginstal Forefront TMG atau hanya Konsol Manajemen TMG. Dalam contoh ini, kami akan menginstal produk secara lengkap, jadi kami akan memilih Instal Gerbang Manajemen Ancaman Forefront dan tekan Berikutnya.

Gambar 10

Di halaman Seleksi Komponen Anda memiliki opsi untuk menginstal perangkat lunak firewall TMG, Konsol Manajemen TMG, dan CSS. Ya, Anda dapat menebaknya. Tidak ada lagi firewall ISA versi Standar dan Perusahaan. TMG akan dijual sebagai edisi tunggal, dan edisi tunggal tersebut menggunakan CSS, meskipun Anda memiliki array TMG dengan hanya satu anggota. Namun, Anda akan dapat membuat array menggunakan TMG, tetapi fitur ini tidak tersedia di TMG versi beta dan hanya akan tersedia di versi beta mendatang.

DI DALAM dalam contoh ini kami akan menginstal semua komponen di folder default. Klik Berikutnya.

Gambar 11

Sepertinya aku punya masalah. Meskipun mesin tersebut merupakan bagian dari domain, saya lupa login dengan nama pengguna milik domain tersebut. Untuk menginstal TMG, Anda harus login sebagai pengguna yang memiliki hak administrator lokal di mesin TMG.

Gambar 12

Sepertinya saya harus memulai ulang instalasi. Kami akan melanjutkan dari bagian terakhir yang kami tinggalkan setelah saya keluar, masuk kembali dengan akun yang benar, dan memulai ulang proses instalasi.

Gambar 13

Sekarang saya masuk sebagai pengguna domain dengan hak administrator lokal, kami akan melanjutkan proses instalasi dari halaman tersebut Jaringan dalam. Jika Anda telah menginstal ISA Firewall, Anda akan mengenali halaman ini karena mirip dengan yang digunakan pada ISA Firewall versi sebelumnya. Di sinilah Anda menentukan jaringan internal default. Dalam kebanyakan kasus, Anda perlu memilih opsi tersebut Tambahkan adaptor, karena ini akan menentukan jaringan internal default Anda berdasarkan tabel perutean yang dikonfigurasi pada ISA Firewall. Namun, saya tidak tahu apakah mengubah konfigurasi tabel routing pada ISA Firewall akan secara otomatis mengubah definisi jaringan internal default. Saya berani bertaruh dua puluh lima dolar bahwa itu tidak benar, tapi kami akan memeriksanya di masa depan.

Gambar 14

Halaman Jaringan dalam menunjukkan definisi jaringan internal default. Klik Berikutnya.

Gambar 15

Halaman Peringatan Layanan memberitahukanmu hal itu layanan SNMP, Layanan Administrasi IIS, Layanan Penerbitan Seluruh Dunia Layanan Penerbitan Web Dan Layanan Manajer Operasi Microsoft akan dimulai ulang selama proses instalasi. Anda mungkin belum menginstal peran server web pada mesin ini, jadi Anda tidak perlu khawatir tentang Layanan Admin IIS dan Dunia Jaringan Luas Layanan Penerbitan, tetapi Anda harus berhati-hati dalam memulai ulang SNMP dan Layanan Manajer Operasi Microsoft. Ingat, TMG akan menginstal dan mengkonfigurasi IIS 7 untuk Anda.

Gambar 16

Klik Memasang di halaman Wizard siap untuk menginstal program.

Gambar 17

Bilah kemajuan akan menampilkan status instalasi. Di sini Anda dapat melihat bagaimana CSS dipasang.

Gambar 18

Itu berhasil! Halaman Wizard instalasi telah selesai menunjukkan bahwa proses instalasi telah berhasil diselesaikan. Centang kotak di sebelah baris Luncurkan Manajemen TMG Forefront setelah instalasi selesai. Klik Menyelesaikan.

Gambar 19

Pada pada tahap ini Anda akan melihat halaman web Lindungi Server TMG Terdepan. Di sini Anda diberikan informasi tentang inklusi Pembaruan Microsoft, menjalankan ISA BPA, dan membaca bagian tersebut Perlindungan dan keselamatan berkas bantuan. Sejauh ini saya dapat mengatakan satu hal tentang file bantuan, yang telah dilakukan oleh produsen pekerjaan bagus untuk memperbarui kontennya. Isinya banyak sekali informasi lebih lanjut, dengan informasi yang lebih mendekati kondisi instalasi aktual yang disertakan dalam file bantuan baru yang ditingkatkan. Saya menyarankan Anda meluangkan waktu untuk membacanya. Saya jamin jika Anda adalah administrator ISA Firewall berpengalaman, file bantuan TMG akan mengajari Anda banyak hal.

Gambar 20

Setelah menyelesaikan instalasi awal, wizard baru akan terbuka. Wisaya Memulai. Wizard Memulai adalah fitur baru yang hanya tersedia untuk TMG dan tidak ada di ISA Firewall versi sebelumnya. Ini mencakup tiga penyihir dasar, dan penyihir keempat opsional, yang akan kita lihat setelah kita membahas tiga penyihir pertama.

Tuan pertama adalah Wisaya Pengaturan Jaringan. Ikuti tautannya Konfigurasikan pengaturan jaringan di halaman Wisaya Memulai.

Gambar 21

Di halaman Selamat datang di Wizard Pengaturan Jaringan klik Berikutnya.

Gambar 22

Di halaman Memilih Template Jaringan pilih templat jaringan yang ingin Anda terapkan ke TMG. Ini adalah templat jaringan yang sama yang digunakan di ISA Firewall versi sebelumnya. Klik pada setiap opsi dan baca informasi yang ditampilkan di bagian bawah halaman.

Dalam contoh ini, kita akan menggunakan template pilihan kita, yaitu template Firewall tepi. Klik Berikutnya.

Gambar 23

Di halaman Pengaturan jaringan area lokal (LAN). Anda diberi kesempatan untuk mengkonfigurasi informasi pengalamatan IP untuk antarmuka LAN. Pertama Anda memilih NIC ( kartu jaringan) yang ingin Anda lakukan antarmuka LAN pada ISA Firewall dengan mengklik garis di menu navigasi Adaptor jaringan terhubung ke LAN. Informasi pengalamatan IP untuk NIC ini akan muncul secara otomatis. Di sini Anda dapat mengubah informasi pengalamatan IP. Anda juga dapat membuat rute statis tambahan dengan mengklik tombol Menambahkan.

Saya benar-benar tidak tahu perubahan apa pada halaman ini yang sesuai untuk mendefinisikan jaringan internal default. Katakanlah saya memutuskan untuk mengkonfigurasi jaringan internal default ke 10.0.0.0-10.0.0.255, dan kemudian saya memutuskan untuk mengubah alamat IP menjadi antarmuka internal di halaman ini sehingga berakhir pada ID jaringan yang berbeda. Apakah definisi jaringan internal default akan berubah? Bagaimana jika saya menambahkan rute statis pada antarmuka internal TMG? Apakah perubahan ini akan tercermin dalam definisi jaringan internal default? Saya tidak tahu, tapi saya akan melakukan penelitian di masa depan.

Saya tidak akan melakukan perubahan apa pun pada halaman ini karena saya telah mengonfigurasi backend dan informasi yang diperlukan pengalamatan IP. Klik Berikutnya.

Gambar 24

Di halaman Opsi Internet Anda dapat mengonfigurasi informasi pengalamatan IP untuk antarmuka eksternal firewall TMG. Seperti pada halaman sebelumnya, Anda pilih NIC yang ingin dijadikan front end dengan memilih garis pada menu navigasi Adaptor jaringan terhubung ke Internet. Di sini Anda juga dapat mengubah informasi pengalamatan IP. Karena saya telah mengkonfigurasi antarmuka eksternal dan informasi alamat IP, saya tidak akan membuat perubahan apa pun di sini. Klik Berikutnya.

Gambar 25

Di halaman Menyelesaikan Wizard Pengaturan Jaringan hasil yang ditampilkan perubahan yang dilakukan. Klik Menyelesaikan.

Gambar 26

Anda akan dibawa kembali ke halaman Wisaya Memulai. Tuan berikutnya adalah Wisaya Pengaturan Sistem. Ikuti tautannya Konfigurasikan pengaturan sistem.

Gambar 27

Gambar 28

Di halaman Identifikasi Tuan Rumah Anda akan ditanya tentang nama host dan afiliasi domain firewall TMG. Dalam contoh ini, wizard secara otomatis menentukan nama host mesin, yaitu TMG2009. Master juga menentukan bahwa mesin tersebut milik domain. Saya yakin wizard ini akan memungkinkan Anda untuk bergabung dengan domain jika Anda belum melakukannya, atau keluar dari domain jika Anda mau. Juga, jika mobil itu miliknya kelompok kerja, Anda akan memiliki opsi untuk memasukkan akhiran DNS primer yang dapat digunakan ISA Firewall untuk mendaftarkan domain DNS Anda jika Anda mengaktifkan DDNS dan tidak memerlukan pembaruan DDNS yang andal.

Karena saya sudah mengonfigurasi mesin ini sebagai anggota domain, saya tidak perlu melakukan perubahan apa pun di halaman ini. Klik Berikutnya.

Gambar 29

Itu saja untuk dikerjakan Wisaya Konfigurasi Sistem selesai. Klik Menyelesaikan di halaman penyelesaian wizard Menyelesaikan Wizard Konfigurasi Sistem.

Gambar 30

Kita punya satu master lagi yang tersisa di halaman ini Wisaya Memulai. Ikuti tautannya Tentukan opsi instalasi.

Gambar 31

Gambar 32

Di halaman Pengaturan Microsoft Memperbarui apakah kamu punya pilihan Gunakan Pembaruan Microsoft untuk mencari pembaruan Dan Saya tidak ingin menggunakan Layanan Pembaruan Microsoft. Harap dicatat bahwa TMG menggunakan Pembaruan Microsoft tidak hanya untuk memperbarui OS dan perangkat lunak firewall TMG, tetapi juga untuk memeriksa malware, dan ini dilakukan beberapa kali sehari (secara default, setiap 15 menit). Karena salah satu keunggulan utama menggunakan Microsoft Firewall dibandingkan firewall lainnya adalah fitur unggulannya pembaruan otomatis, selanjutnya kita akan melanjutkan dan menggunakan situs Microsoft Update. Klik Berikutnya.

Gambar 33

Di halaman Menentukan opsi pembaruan Anda menentukan apakah Anda menginginkan firewall TMG dicari dan dipasang, hanya melihat atau tidak melakukan apa pun untuk memperbarui pemindaian malware. Anda juga dapat mengatur frekuensi pemeriksaan, yang defaultnya adalah setiap 15 menit. Namun Anda dapat mengaturnya untuk mengunduh pembaruan sekali sehari, lalu mengonfigurasi waktu saat pembaruan tersebut diinstal. Klik Berikutnya.

Gambar 34

Di halaman Masukan dengan konsumen Anda dapat menentukan apakah Anda ingin memberikan informasi anonim kepada Microsoft tentang konfigurasi perangkat keras Anda dan cara produk digunakan. Tidak ada informasi yang diberikan kepada Microsoft yang dapat digunakan untuk menentukan identitas Anda, dan informasi apa pun juga tidak dapat digunakan informasi pribadi tidak ditransfer ke Microsoft. Saya yakin saya perlu memberikan nama, tanggal lahir, nomor telepon saya asuransi sosial, nomor SIM dan alamat bank saya, dan saya lebih mempercayai Microsoft daripada bank saya, mengingat persyaratan bagi bank untuk melaporkan informasi kepada pemerintah federal. Oleh karena itu, berbagi informasi teknis ini dengan Microsoft tidak menimbulkan risiko apa pun dan membantu Microsoft menjadikan produknya lebih stabil dan andal. Pilih sebuah opsi Ya, saya ingin berpartisipasi secara anonim dalam program Peningkatan Pengalaman Pelanggan (disarankan).

Gambar 35

Di halaman Layanan Telemetri Microsoft Anda dapat menyesuaikan tingkat keanggotaan layanan telemetri Microsoft Anda. Microsoft Telemetry membantu melindungi dari malware dan akses tidak sah dengan memberikan informasi kepada perusahaan tentang potensi serangan, yang digunakan Microsoft untuk membantu mengidentifikasi jenis serangan dan meningkatkan akurasi dan efektivitas mitigasi ancaman. Dalam beberapa kasus, informasi pribadi mungkin dikirim ke Microsoft secara tidak sengaja, namun Microsoft tidak akan menggunakan informasi ini untuk mengetahui identitas Anda atau menghubungi Anda. Sulit untuk menentukan dengan pasti informasi pribadi apa yang dapat dikirim, tetapi karena saya sudah mempercayai Microsoft, saya akan memilih opsi tersebut Bergabunglah dengan tingkat afiliasi yang lebih tinggi. Klik Berikutnya.

Gambar 36

Di halaman Menyelesaikan wizard instalasi opsi yang Anda pilih ditampilkan. Klik Menyelesaikan.

Gambar 37

Itu saja! Kami telah selesai bekerja dengan master Wisaya Memulai. Namun bukan berarti semuanya sudah berakhir. Jika Anda mencentang opsi Luncurkan Wisaya Akses Web, maka jendela wizard ini akan terbuka. Mari kita periksa opsi ini dan lihat apa yang terjadi.

Gambar 38

Jendela selamat datang wizard akan terbuka. Selamat datang di Wisaya Kebijakan Akses Web. Karena ini cara baru membuat kebijakan firewall TMG, saya rasa kita akan menunggu hingga bagian selanjutnya untuk melihat wizard ini secara detail. Tampaknya TMG akan memungkinkan Anda mengonfigurasi kebijakan akses web sedikit berbeda dari versi ISA Firewall sebelumnya, jadi kami akan membahasnya di bagian selanjutnya.

Gambar 39

Sekarang instalasi sudah selesai, kita sudah punya konsol baru. Jika Anda melihat panel kiri konsol, Anda akan melihat bahwa sama sekali tidak ada tab, yang membuat navigasi menjadi sedikit lebih mudah. Kami juga melihat tab baru Pusat Pembaruan. Dari sini Anda dapat memperoleh informasi tentang pembaruan pada layanan anti-malware TMG dan mengetahui kapan pembaruan tersebut diinstal.

Gambar 40

Setelah menyelesaikan proses instalasi, saya menemukan ada beberapa kesalahan. Tapi ini mungkin karena TMG tidak berfungsi sama sekali setelah instalasi. Saya dapat mengatasi masalah ini dengan me-restart komputer saya. Saya tidak yakin apakah ini karena firewall TMG dipasang di virtual Server VMware, atau fakta bahwa ini adalah versi beta.

Gambar 41

Memperhatikan Tugas pengaturan utama, Anda mungkin memperhatikan bahwa beberapa peran dan layanan diinstal pada komputer ini sebagai bagian dari instalasi TMG. Ini termasuk:

Melanjutkan

Pada artikel ini, kami melihat proses pemasangan firewall TMG. Ada beberapa perubahan di sini dibandingkan versi ISA Firewall sebelumnya, tapi tidak ada yang luar biasa. Ini normal, instalasi bukanlah proses yang Anda harapkan sesuatu yang luar biasa. Kami telah melihat beberapa peningkatan besar pada proses instalasi yang memberikan fleksibilitas tambahan selama pengaturan.

Jika Anda menghabiskan lebih banyak waktu untuk melihat perangkat lunak firewall TMG setelah instalasi dan tidak menemukan fitur apa pun yang Anda harapkan, jangan khawatir. Ini adalah versi beta yang sangat awal dan saya yakin ini masih jauh dari selesai. Saya tahu ada permintaan untuk lusinan fitur lainnya ketika ISA 2000 dirilis. Meskipun terkadang kesan pertama bertahan lama, saya tidak ingin menjadi alasan kesan pertama Anda terhadap TMG. Ingat, ini hanyalah versi beta pertama, jadi nantikan banyak opsi dan fitur baru di masa mendatang yang dapat membuat Anda bahagia. Terima kasih!

Suatu hari kami bingung dan memutuskan untuk mentransfer semua pengguna ke proxy di TMG. Saya memutuskan untuk mencoba proses ini pada mesin virtual.

Fitur Klien TMG Standar

• Kebijakan firewall berbasis pengguna atau grup untuk proxy Web dan non-Web melalui protokol TCP dan UDP (hanya untuk protokol ini)
• Mendukung protokol yang kompleks tanpa memerlukan filter aplikasi TMG
• Penyiapan perutean yang disederhanakan untuk organisasi besar
• Penemuan Otomatis informasi berbasis TMG Pengaturan DNS dan server DHCP.

Persyaratan Sistem

Klien TMG memiliki beberapa persyaratan sistem:

OS yang didukung

• jendela 7
• WindowsServer 2003
• WindowsServer 2008
• Windows Vista
• Windows XP

Versi ISA Server dan Forefront TMG yang didukung

• Edisi Standar ISA Server 2004
• ISA Server 2004 Edisi Perusahaan
• Edisi Standar ISA Server 2006
• ISA Server 2006 Edisi Perusahaan
• MBE TMG Terdepan (Edisi Bisnis Menengah)
• Edisi Standar TMG Terdepan 2010
• Edisi Perusahaan TMG Terdepan 2010

Pengaturan klien TMG di server TMG

Hanya ada beberapa pengaturan di server Forefront TMG yang mengontrol perilaku klien Forefront TMG. Pertama-tama, Anda dapat mengaktifkan dukungan klien TMG untuk menentukan jaringan internal di server TMG, seperti yang ditunjukkan pada gambar di bawah.

Gambar 1: Pengaturan klien TMG di TMG

Setelah dukungan klien TMG diaktifkan (ini adalah waktu default instalasi biasa TMG), Anda juga dapat mengotomatiskan konfigurasi browser web di komputer klien. Selama interval penyegaran klien TMG normal atau selama permulaan layanan, browser menerima pengaturan yang dikonfigurasi di konsol manajemen TMG.

Dalam pengaturan Aplikasi pada klien TMG di konsol TMG, Anda dapat mengaktifkan atau menonaktifkan pengaturan ketergantungan aplikasi tertentu.

Penanda IKLAN

Microsoft Forefront TMG menyediakan fitur baru deteksi otomatis Server TMG untuk klien TMG. Berbeda dengan versi sebelumnya Klien Firewall, klien Forefront TMG sekarang dapat menggunakan penanda di Direktori Aktif untuk menemukan server TMG yang sesuai. Klien TMG menggunakan LDAP untuk mencari informasi yang diperlukan di Direktori Aktif.

Catatan: jika klien TMG tidak menemukan token AD, ia tidak akan beralih ke skema klasik penemuan otomatis melalui DHCP dan DNS untuk alasan keamanan. Hal ini dilakukan untuk mengurangi risiko situasi di mana penyerang mencoba memaksa klien untuk menggunakan lebih sedikit cara yang aman. Jika sambungan Direktori Aktif dapat dibuat tetapi Penanda AD tidak dapat ditemukan, klien TMG kembali ke DHCP dan DNS.

Alat TMGADConfig

Untuk membuat konfigurasi AD Marker di Active Directory, Anda dapat mengunduh alat TMG AD Config dari pusat Unduhan Microsoft Pusat Unduhan(Anda perlu menemukan AdConfigPack.EXE). Setelah mengunduh dan menginstal alat di TMG, Anda perlu menjalankan perintah berikut di penerjemah untuk menambahkan kunci token AD ke kunci registri:

Tmgadconfig tambahkan url 'default' ketik winock 'http://nameoftmgserver.domain.tld:8080/wspad.dat

Anda juga dapat menghapus penanda AD menggunakan alat tmgadconfig jika Anda memutuskan untuk tidak menggunakan dukungan Penanda AD.

Menginstal klien TMG

Paling versi terbaru Klien TMG dapat diunduh dari situs web Microsoft.

Mulailah proses instalasi dan ikuti instruksi wizard.

Gambar 3: Menginstal klien TMG

Anda dapat menentukan lokasi server TMG secara manual, atau secara otomatis selama proses instalasi klien TMG. Setelah instalasi, Anda dapat mengkonfigurasi ulang pengaturan mesin pendeteksi di klien TMG menggunakan Alat Konfigurasi Klien TMG, yang terletak di bilah tugas klien Anda.

Gambar 4: Memilih komputer untuk menginstal klien TMG

Deteksi otomatis tingkat lanjut

Jika Anda ingin mengubah perilaku proses deteksi otomatis, klien TMG kini memiliki opsi baru untuk mengonfigurasi metode deteksi otomatis.

Gambar 5: Deteksi Otomatis Tingkat Lanjut

Pemberitahuan Inspeksi HTTPS

Microsoft Forefront TMG memiliki fitur baru untuk memeriksa lalu lintas HTTPS untuk koneksi klien keluar. Untuk memberi tahu pengguna tentang proses ini, klien TMG baru dapat digunakan untuk memberi tahu pengguna bahwa koneksi HTTPS keluar sedang diperiksa jika Anda memerlukannya. Administrator TMG juga memiliki opsi untuk menonaktifkan proses notifikasi secara terpusat dari server TMG, atau secara manual di setiap klien Forefront TMG.

Salah satu fitur Forefront TMG adalah dukungan beberapa klien yang digunakan untuk terhubung ke Forefront TMG Firewall. Salah satu jenis klien adalah klien Microsoft Forefront TMG, juga dikenal sebagai klien Winsock untuk Windows. Menggunakan klien TMG memberikan beberapa peningkatan dibandingkan klien lain (Web proxy dan Secure NAT). Klien Forefront TMG dapat diinstal pada beberapa sistem operasi klien dan server Windows (yang tidak saya rekomendasikan kecuali Server Terminal) yang diamankan menggunakan Forefront TMG 2010. Klien Forefront TMG memberikan pemberitahuan verifikasi HTTPS (digunakan di TMG 2010), otomatis penemuan, peningkatan keamanan, dukungan aplikasi dan kontrol akses untuk komputer klien. Ketika komputer klien yang menjalankan klien Forefront TMG membuat permintaan Firewall, permintaan tersebut diteruskan ke komputer Forefront TMG 2010 untuk diproses lebih lanjut. Tidak diperlukan infrastruktur perutean khusus karena adanya proses Winsock. Klien Forefront TMG secara transparan meneruskan informasi pengguna dengan setiap permintaan, memungkinkan Anda membuat kebijakan firewall di komputer Forefront TMG 2010 dengan aturan yang menggunakan kredensial yang dikirim oleh klien, tetapi hanya melalui lalu lintas TCP dan UDP. Untuk semua protokol lainnya, Anda harus menggunakan koneksi klien NAT Aman.

Di samping itu fitur standar versi klien Firewall sebelumnya, klien TMG mendukung:

• Pemberitahuan inspeksi HTTPS
• Dukungan Penanda IKLAN

Fitur Klien TMG Standar

• Kebijakan firewall berbasis pengguna atau grup untuk proxy Web dan non-Web melalui protokol TCP dan UDP (hanya untuk protokol ini)
• Mendukung protokol yang kompleks tanpa memerlukan filter aplikasi TMG
• Penyiapan perutean yang disederhanakan untuk organisasi besar
• Penemuan otomatis informasi TMG berdasarkan pengaturan server DNS dan DHCP.

Persyaratan Sistem

Klien TMG memiliki beberapa persyaratan sistem:

OS yang didukung

• jendela 7
• WindowsServer 2003
• WindowsServer 2008
• Windows Vista
• Windows XP

Versi ISA Server dan Forefront TMG yang didukung

• Edisi Standar ISA Server 2004
• ISA Server 2004 Edisi Perusahaan
• Edisi Standar ISA Server 2006
• ISA Server 2006 Edisi Perusahaan
• MBE TMG Terdepan (Edisi Bisnis Menengah)
• Edisi Standar TMG Terdepan 2010
• Edisi Perusahaan TMG Terdepan 2010

Pengaturan klien TMG di server TMG

Hanya ada beberapa pengaturan di server Forefront TMG yang mengontrol perilaku klien Forefront TMG. Pertama-tama, Anda dapat mengaktifkan dukungan klien TMG untuk menentukan jaringan internal di server TMG, seperti yang ditunjukkan pada gambar di bawah.

Gambar 1: Pengaturan klien TMG di TMG

Setelah dukungan klien TMG diaktifkan (ini adalah default pada instalasi TMG pada umumnya), Anda juga dapat mengotomatiskan konfigurasi browser web pada komputer klien. Selama interval penyegaran klien TMG normal atau selama permulaan layanan, browser menerima pengaturan yang dikonfigurasi di konsol manajemen TMG.

Dalam pengaturan Aplikasi pada klien TMG di konsol TMG, Anda dapat mengaktifkan atau menonaktifkan pengaturan ketergantungan aplikasi tertentu.

Gambar 2: Pengaturan klien TMG

Penanda IKLAN

Microsoft Forefront TMG menyediakan fitur baru untuk mendeteksi server TMG secara otomatis untuk klien TMG. Tidak seperti klien Firewall versi sebelumnya, klien Forefront TMG sekarang dapat menggunakan penanda di Direktori Aktif untuk menemukan server TMG yang sesuai. Klien TMG menggunakan LDAP untuk mencari informasi yang diperlukan di Direktori Aktif.

Catatan: Jika klien TMG tidak menemukan token AD, klien tersebut tidak akan kembali ke skema penemuan otomatis klasik melalui DHCP dan DNS untuk alasan keamanan. Hal ini dilakukan untuk mengurangi risiko situasi di mana penyerang mencoba memaksa klien untuk menggunakan metode yang kurang aman. Jika sambungan Direktori Aktif dapat dibuat tetapi Penanda AD tidak dapat ditemukan, klien TMG kembali ke DHCP dan DNS.

Alat TMGADConfig

Untuk membuat konfigurasi AD Marker di Direktori Aktif, Anda dapat mengunduh alat TMG AD Config dari Pusat Unduhan Microsoft (Anda perlu menemukan AdConfigPack.EXE). Setelah mengunduh dan menginstal alat di TMG, Anda perlu menjalankan perintah berikut di penerjemah untuk menambahkan kunci token AD ke kunci registri:

Tmgadconfig tambahkan url 'default' ketik winock 'http://nameoftmgserver.domain.tld:8080/wspad.dat

Anda juga dapat menghapus penanda AD menggunakan alat tmgadconfig jika Anda memutuskan untuk tidak menggunakan dukungan Penanda AD.

Menginstal klien TMG

Versi terbaru klien TMG dapat diunduh dari situs web Microsoft.

Mulailah proses instalasi dan ikuti instruksi wizard.

Gambar 3: Menginstal klien TMG

Anda dapat menentukan lokasi server TMG secara manual, atau secara otomatis selama proses instalasi klien TMG. Setelah instalasi, Anda dapat mengkonfigurasi ulang pengaturan mesin pendeteksi di klien TMG menggunakan Alat Konfigurasi Klien TMG, yang terletak di bilah tugas klien Anda.

Gambar 4: Memilih komputer untuk menginstal klien TMG

Deteksi otomatis tingkat lanjut

Jika Anda ingin mengubah perilaku proses deteksi otomatis, klien TMG kini memiliki opsi baru untuk mengonfigurasi metode deteksi otomatis.

Gambar 5: Deteksi Otomatis Tingkat Lanjut

Pemberitahuan Inspeksi HTTPS

Microsoft Forefront TMG memiliki fitur baru untuk memeriksa lalu lintas HTTPS untuk koneksi klien keluar. Untuk memberi tahu pengguna tentang proses ini, klien TMG baru dapat digunakan untuk memberi tahu pengguna bahwa koneksi HTTPS keluar sedang diperiksa jika Anda memerlukannya. Administrator TMG juga memiliki opsi untuk menonaktifkan proses notifikasi secara terpusat dari server TMG, atau secara manual di setiap klien Forefront TMG.

Gambar 6: Memeriksa Koneksi Aman

Jika pemeriksaan koneksi HTTPS keluar diaktifkan dan opsi untuk memberi tahu pengguna tentang proses ini juga diaktifkan, pengguna yang menginstal klien Forefront TMG di komputer mereka akan menerima pesan serupa dengan yang ditunjukkan pada gambar di bawah.

Gambar 7: Pesan tentang penggunaan Inspeksi Koneksi Aman

Kesimpulan

Pada artikel ini saya telah memberi Anda gambaran umum tentang proses instalasi dan konfigurasi Microsoft baru Klien TMG terdepan. Saya juga menunjukkan beberapa fitur baru dari klien Forefront TMG ini. Menurut pendapat saya, Anda harus menggunakan klien TMG di setiap lingkungan yang memungkinkan seperti yang disediakannya untuk Anda fitur tambahan keamanan.

Saya berencana membuat website baru dan kali ini saya akan menggunakan Drupal. Karena WordPress tidak bekerja dengan baik pada beban yang meningkat. Dengan menggunakan Drupal, membuat situs web menjadi sederhana dan andal, serta skalabilitas dan keandalan solusinya jauh lebih tinggi.

Situs yang sangat bagus dengan berbagai macam permainan anak-anak: permainan edukatif untuk anak-anak, permainan edukatif, dan banyak lagi.

Sebagian besar penjelasan di bawah ini berlaku sama untuk TMG (Threat Management Gateway 2010) dan ISA 2006.

Banyak hal dalam karya Microsoft ini yang dapat dipahami, dilihat, dan dipahami dengan melihat antarmuka grafis, tetapi ada beberapa hal yang hanya perlu Anda ketahui, jika tidak, tidak akan ada yang berhasil.

TMG, seperti produk Microsoft lainnya, membutuhkan sumber daya yang sangat besar. CPU - setidaknya 4 core, lebih banyak lebih baik, (hypertrading) HT - selamat datang, RAM - setidaknya 4 GB, dalam konfigurasi yang dimuat (hingga 12.000 klien) diperlukan hingga 12 GB. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). Khususnya, pada TMG 2010, dimana 1 klien terhubung, tidak mengakses saat ini ke Internet, monitor kinerja menunjukkan 2 beban CPU = 1...5%, RAM = 2,37 GB.

Server TMG mendukung 3 cara untuk mengatasinya:
— Klien TMG — program khusus diinstal pada PC (klien dari ISA 2006 cocok);
— Klien proxy web — menyiapkan aplikasi klien untuk bekerja melalui proxy;
— Klien SecureNat—di properti TCP/IP, server TMG ditetapkan sebagai gateway default.

Kontrol akses berbasis akun (AD atau TMG 2010 sendiri) dimungkinkan menggunakan Klien TMG atau klien proxy Web. Yang terakhir berarti tidak ada klien khusus yang diinstal pada PC, tapi aplikasi klien dapat bekerja melalui server proxy dan alamat serta port server TMG dikonfigurasi sebagai server proxy. Klien SecureNat TIDAK mendukung otorisasi.

Aturan akses untuk server TMG diperiksa secara berurutan dari atas ke bawah. Segera setelah permintaan klien cocok dengan salah satu aturan (dengan tiga bidang: Protokol, Dari, Ke), tampilan aturan berhenti, mis. sisanya diabaikan. Dan jika permintaan tidak memenuhi kolom Kondisi ini aturan, maka klien tidak diberikan akses, meskipun faktanya mungkin ada aturan yang mengizinkan akses tersebut.

Contoh. Pengguna dengan klien TMG terinstal dan gateway default dikonfigurasi pada server TMG meluncurkan Outlook 2010. Akun Pengguna ini adalah anggota grup keamanan AD-Internet.

Aturan 3 mengizinkan semua lalu lintas keluar untuk pengguna yang tergabung dalam grup AD-Internet. Namun Outlook tidak akan dapat menghubungi pihak eksternal server surat, karena dengan pengaturan bawaan Klien TMG TIDAK mencegat permintaan Outlook, dan klien SecureNat tidak tahu cara mengautentikasi, dan tidak akan dapat membuktikan ke server TMG bahwa penggunanya adalah anggota grup AD-Internet. Namun, protokol email termasuk dalam definisi "Semua Lalu Lintas Keluar", dan arah "Dari: Internal, Ke: Eksternal" sesuai dengan permintaan klien, dan oleh karena itu pemrosesan aturan berhenti pada aturan No.3.

Jika aturan 3 dan 4 ditukar, Outlook akan berfungsi karena aturan 4 tidak memerlukan otorisasi. Cara lainnya adalah dengan membatasi daftar protokol pada aturan 3 (tanpa memindahkannya), misalnya hanya menyisakan HTTP dan FTP. Maka permintaan dari Outlook tidak akan "menangkap" aturan 3 dan pemeriksaan akan mencapai aturan 4, yang menurutnya klien akan mendapatkan akses.

Ada cara lain untuk menerobos aturan Gambar 1. Mari kita kembali ke hal-hal yang disebutkan di atas pengaturan bawaan. Klien TMG tidak mencegat permintaan Outlook karena klien TMG dinonaktifkan di Pengaturan Aplikasi.

Di pohon kiri konsol manajemen Forefront TMG, node Jaringan, di bagian tengah tab Jaringan, jaringan Internal, di panel kanan tab Tugas, item Konfigurasi Pengaturan Klien TMG Forefront. (Pada ISA 2006: Konfigurasi - Umum - Tentukan Pengaturan Klien Firewall.)

Jika Anda mengubah nilainya di sini dari 1 menjadi 0, maka Outlook akan bekerja melalui TMG sesuai dengan aturan akses No. 3 yang ditunjukkan pada Gambar. 1.

Dan sekarang pertanyaan Untuk mengisi ulang: mengapa tidak ada ping pada konfigurasi Gambar 1?

Menjawab. Ping mencocokkan parameter (Protokol, Dari, Ke) dengan aturan No. 3, dan oleh karena itu tampilan aturan akses berhenti pada aturan No. 3. Tapi Ping tidak tahu cara mengotorisasinya, jadi aksesnya ditolak. Anda dapat, misalnya, membuat aturan terpisah di atas aturan No.3:

Protokol = PING
Dari = Internal atau Semua Jaringan
Ke = Eksternal
Pengguna = Semua Pengguna

Bagaimana menghubungkan auditor (orang asing) ke Internet

Diasumsikan auditor mempunyai laptop sendiri dan tidak akan memasukkannya ke dalam domainnya.

Metode 1. Tetapkan alamat IP pada PC-nya dari rentang yang diizinkan (diperlukan hak administrator pada PC-nya).

Metode 2. Di browser Anda, tentukan Proxy: alamat IP dan port TMG Anda. Pertama, buatlah akun lokal di TMG dan berikan kepada auditor. Optimalkan Dasar dalam opsi otorisasi.

Pengaturan adaptor

(dalam arsitektur tiga tingkat):

Int- internal (melihat ke dalam jaringan lokal), Per- jaringan perimeter (alias DMZ), Ekst(eksternal, terhubung ke Internet secara langsung atau melalui peralatan lain).

Harap dicatat: Menonaktifkan 'Berbagi File dan Cetak untuk Jaringan Microsoft' pada antarmuka internal server ISA tidak akan memungkinkan koneksi ke folder bersama(berbagi) server ISA ini, terlepas dari kebijakan sistem atau aturan akses lainnya. Ini disarankan untuk keamanan yang lebih baik, karena... folder bersama sama sekali tidak memiliki tempat di firewall.

Urutan koneksi(di jendela Koneksi Jaringan menu Lanjutan - Pengaturan Lanjutan - tab Adaptor dan Binding):
— Int.
-Per,
- Ekst.