Forefront tmg установка и настройка. Скорая помощь Forefront Threat Management Gateway. Конфигурация сетевых интерфейсов

Помощь 02.03.2019
Помощь
  • Сетевые технологии

    • Всего за пару лет поездка москвича в метро перестала быть ежедневной рутиной. Если раньше единственным развлечением в подземке были чтение книг, прессы и MP3-плеер, то теперь к ним добавились онлайн-шоппинг, просмотр сериалов, деловая переписка, даже знакомства в Tinder и квесты. А все благодаря появлению в метро бесплатной сети Wi-Fi. Порядка 80% москвичей регулярно подключаются к сети MT_FREE в метро, не задумываясь, как это работает и чьими силами это сделано. Бытует мнение, что Wi-Fi в метро “провел” сам метрополитен, но это не совсем верно. Беспроводная сеть - это проект “МаксимаТелеком”. Для компании это был первый опыт строительства высокоскоростной сети Wi-Fi с уникальными в мировой практике инженерными и техническими решениями. В этом посте мы расскажем, как организована сеть Wi-Fi в метро Москвы.

    На самом деле у нас две сети...

    Радиосеть внутри вагонов

    Вы входите в вагон, видите стикер с названием сети или уже по привычке включаете Wi-Fi на своем телефоне. В это же время устройство подключается к сети с SSID MT_FREE. Она организована высокоплотными точками доступа, которые находятся в каждом вагоне, работают в двух диапазонах 2,4 ГГц и 5 ГГц и поддерживают стандарты 802.11a/b/g/n. Управляет ими контроллер в головном вагоне. В составе таких вагонов два, а значит, и контроллера тоже два. Все оборудование в подвижном составе, в том числе и между вагонами, соединяют кабели - витая пара.

    Дело техники

    Для организации сети Wi-Fi и сетевой инфраструктуры в подвижном составе мы использовали оборудование Cisco: в частности, точки доступа air-cap2602i, контроллеры air-ct2504, коммутаторы 29хх серии и маршрутизаторы 8хх серии. Для повышения отказоустойчивости между вагонами мы проложили две кабельные трассы. Если углубляться в сетевую архитектуру, то Layer2 для пользовательского трафика терминируется на маршрутизаторе в подвижном составе, а NAT (network address translation) осуществляется на пограничных маршрутизаторах сети точно так же, как это организовано у большинства операторов проводного доступа.


    Радиосеть поезд-тоннель

    После прохождения внутренней поездной сети данные передаются на стационарную сетевую инфраструктуру с использованием радиоканала поезд-тоннель. Он устанавливается между базовой станцией, находящейся в каждом головном вагоне, и базовыми станциями, расположенными вдоль пути следования подвижного состава в тоннеле, а также на открытых участках путей. Расположение базовых станций вдоль путей таково, что поезд движется в сплошном радиополе. Благодаря этому перерывы в связи минимальны. Базовые станции на поезде размещаются так же, как и контроллеры точек доступа на каждом головном вагоне, при этом во время движения состава активна только одна из станций. Радиоканал работает в том же частотном диапазоне, что и Wi-Fi – 5 ГГц, но использует проприетарный протокол передачи данных. В отличие от оборудования внутри поезда, оборудование радиоканала поезд-тоннель можно увидеть снаружи подвижного состава и в тоннелях/на открытых участках путей.

    Дело техники

    Для организации канала связи используется оборудование производства компании Radwin серии 5000. Оно использует чипы Wi-Fi, соответствующие стандарту 802.11n, при этом данные передаются по проприетарному протоколу, основанному на TDM (Time Division Multiplexing), который формируется дополнительной микросхемой. Синхронизация базовых станций осуществляется по протоколу, схожему с PTP 1588v2.

    Разрешенный частотный спектр 5150 – 5350 МГц разбит на пять непересекающихся каналов по 40 МГц каждый. На каждой линии используются все пять каналов, обычно в последовательности 1-3-5-2-4, чтобы максимально избежать влияния помех при работе соседних устройств в одном частотном диапазоне.

    Сетевая архитектура


    Каждая базовая станция на пути следования поезда подключена к расположенным в служебных помещениях метрополитена коммутационным узлам с помощью выделенной волоконно-оптической сети. Бесперебойное электроснабжение базовых станций также организовано с помощью оборудования, установленного в этих коммутационных узлах.

    Архитектура стационарной сети передачи данных не отличается от типовой архитектуры операторов связи. Это “двойная звезда” с географическим резервированием каналов связи и ключевого оборудования. В сети есть несколько каналов связи с магистральными операторами связи, общей пропускной способностью более 60 Гбит/с.

    Дело техники

    Сетевое оборудование на уровне доступа (коммутаторы, в которые непосредственно включаются базовые станции), агрегации, а также ядра представлено коммутаторами и маршрутизаторами Cisco.

    Базовые станции подключаются в коммутаторы с использованием WDM-технологии для экономии волокон (то есть по одному волокну на разных длинах волн одновременно происходит прием и передача данных). Коммутаторы доступа имеют по два аплинка с георезервированием (кабели ВОЛС физически расположены в разных тоннелях) в коммутаторы агрегации по 1 Гбит/с каждый. Те, в свою очередь, подключены по георезервированным линиям связи в коммутаторы ядра, но уже интерфейсами 10 Гбит/с.

    Хьюстон, у нас проблемы...

    Технологические сложности

    Для работы в метрополитене нужно оборудование:

    • выдерживающее тяжелые условия эксплуатации в тоннеле (взвешенная металлическая пыль и машинное масло) и на подвижном составе (резкие перепады температур и вибрация);
    • удовлетворяющее требованиям метрополитена (использовать негорючие материалы, соответствовать требованиям по электромагнитной совместимости, работать от нестандартных источников питания);
    • имеющее необходимую для работы сети функциональность.
    В метрополитене в подвижном составе используется постоянный ток с номинальным напряжением 80В. Однако в зависимости от состояния аккумуляторных батарей и количества разрывов в контактном рельсе реальное напряжение “скачет” от 30В до 150В .

    Найти приемлемый по цене блок питания с такими параметрами нам не удалось, а стоимость подходящих вариантов делала проект нецелесообразным.

    Здесь нас очень выручила компания из Новосибирска «Сибконтакт». Под наши требования коллеги изготовили блок питания, который мы успешно протестировали и в дальнейшем использовали во всех составах. Устройства оказались очень надежными, стоили недорого, а производить необходимое количество поставщик успевал за несколько недель, а не месяцев, как это происходит обычно.

    Также мы столкнулись с нестандартным электропитанием в тоннеле - двухфазной сетью с напряжением 127В. Запитать оборудование, работающее от однофазной сети 220В от нее невозможно, и мы протягивали новые кабели от собственных источников питания, установленных в технических помещениях станций. Это повысило надежность сети, поскольку мы применили источники бесперебойного питания и автоматы ввода резерва.

    Большие трудности вызвало и многообразие типов поездов . Это повлияло на работу по проектированию размещения оборудования локальных сетей составов - она была колоссальной. Во-вторых, при строительстве выяснилось, что почти все составы, даже одной серии и года выпуска – разные. Это связано с тем, что их постоянно модернизировали и устанавливали дополнительное оборудование. Такие работы проводились отдельно по каждому составу, а мы каждый раз оснащали поезд уникальным образом.

    Серьезные вопросы возникли при радиопланировании сети. Они были связаны как с разнообразием материалов, из которых выполнены тоннели , так и с нехваткой исходной информации по их конструкции, геометрии, а также ответвлениям и препятствиям.

    Мы сами полностью обследовали все тоннели - в московском метро их более 330 км, а в двухпутном исчислении более 660 км. Мы применяли определенные метрики и правила размещения базовых станций, а уже после установки и запуска оборудования в ходе эксплуатации проводили измерения радиопокрытия и уточняли оптимальные точки размещения оборудования. Некоторые базовые станции нам пришлось перенести уже после установки.

    Эти трудности заставили нас вместе с коллегами из нижегородской компании «Радио Гигабит» провести научно-исследовательские работы и разработать уникальную методику радиопланирования в тоннелях, которая базируется на симуляции (математическом моделировании) канального и системного уровня транспортной радиосети в тоннелях и на открытых участках. В новых проектах мы уже не гадаем, а точно знаем, как именно расставлять оборудование для получения заданных характеристики канала.

    Архитектурные сложности

    Основное оборудование, формирующее радиоканал между составом и тоннелем располагается в “голове” (помним, что их две), при этом вагоны при заезде в депо в подвижных составах постоянно меняются. Сеть работает в постоянном движении, в результате которого все время меняются сетевые порты и физические устройства, через которые идет трафик одних и тех же сессий из одного состава. В связи с этим мы решали целый ряд архитектурных проблем:

    • полностью автоматическая настройка сети состава при замене или изменении порядка вагонов
    • распределение внутривагонных точек доступа между двумя контроллерами W-Fi в поезде
    • корректное получение пользователями и оборудованием в составе IP-адресов
    • “выход” трафика пользователя через правильную базовую станцию, активную в данный момент времени
    • перескакивание MAC-адресов с одного порта стационарного коммутатора на другой при движении поезда (в стационарной сети такое не происходит или случается крайне редко), требующее постоянного “переобучения” сетевых портов на MAC-уровне
    Отдельную проблему представлял мониторинг нашей сети. Обычные системы мониторинга сетевого оборудования неспособны отличить ситуацию, при которой состав уходит из зоны радиопокрытия от поломки оборудования состава. Это приводит к большому количеству ложных срабатываний системы предупреждений о неисправностях. Кроме того, единицей мониторинга и технического обслуживания является именно поезд (поскольку всегда надо понимать, где находится в данный момент та или иная единица оборудования и как она соединена с другими элементами сети), а на практике составы в метро - сущность динамическая, состав вагонов в которой может меняться ежедневно, а то и по два раза в день. Мы создали собственные средства мониторинга, которые автоматически детектируют появление поезда в зоне покрытия, “обходят” его, определяя состав и порядок следования вагонов и установленного в них оборудования и представляют операторам центра управления сетью данные уже в разрезе фактически действующих на линии поездов.

    Это ключевые технические задачи, которые «МаксимаТелеком» решала при планировании и создании сети. Причем процесс этот продолжается до сих пор, поскольку нагрузки на сеть растут и появляются новые станции метро. Многие уроки, полученные в ходе московского проекта, мы применили при строительстве сети Wi-Fi в метро Петербурга, благодаря этому её удалось сделать гораздо более производительной и быстрой. Но об этом мы расскажем в следующих постах.

    Пассажиры Московского центрального кольца теперь могут подключаться к бесплатной сети «Московский транспорт» без дополнительной идентификации по СМС. До конца года в единую интернет-сеть войдут и пригородные электрички.

    Со среды, 7 декабря, сеть Wi-Fi в поездах Московского центрального кольца (МЦК) вошла в единое бесплатное интернет-пространство «Московский транспорт». Теперь пассажиры могут пользоваться MT_FREE, пройдя идентификацию один раз либо на метро, либо на МЦК, либо в наземном транспорте.

    Как рассказал первый заместитель начальника Московского метрополитена по стратегическому развитию и клиентской работе Роман Латыпов, с момента запуска движения по МЦК к Wi-Fi в поездах кольца было совершено более одного миллиона подключений.

    «Мы уверены, что интеграция МЦК в единую сеть “Московский транспорт” станет большим плюсом для наших пассажиров, ведь 75 процентов из них используют МЦК и метро в одной поездке», — отметил Роман Латыпов.

    Теперь Wi-Fi-пространство на московском транспорте под названием MT_FREE включает в себя интернет в метрополитене и поездах МЦК, на наземном городском пассажирском транспорте (автобусы, троллейбусы и трамваи), в поездах и на терминалах «Аэроэкспресса». Таким образом, в столице создана крупнейшая в Европе . До конца года в неё .

    Ежедневно в сети Wi-Fi на транспорте фиксируют около четырёх миллионов подключений. Переход на единое название будет постепенным, сначала сеть MT_FREE будет отображаться как дополнительная. Пассажиры смогут подключаться к интернету, выбирая как новое, так и старое название. Полный переход на MT_FREE запланирован на весну 2017 года.

    Оператором единого Wi-Fi-пространства стала компания «МаксимаТелеком», которая предоставляет доступ в интернет в столичном метрополитене. В переходе на новую сеть MT_FREE участвуют и другие операторы связи, в частности компания Netbynet. Её специалисты занимались техническим оснащением наземного транспорта и поездов МЦК, используя оборудование отечественного производства. К запуску кольца в сентябре все поезда были подключены к Wi-Fi. Пропускная способность канала составляет не менее 30 мегабит в секунду на каждый поезд.

    Создание единой бесплатной сети Wi-Fi на транспорте — одна из мер подготовки инфраструктуры столицы к чемпионату мира по футболу 2018 года. Поезда МЦК связывают между собой крупные стадионы, включая главную арену чемпионата — «Лужники».

    Движение по Московскому центральному кольцу запустили в сентябре этого года. Сейчас для пассажиров доступны 31 станция, 14 пересадок на метро и шесть пересадок на поезда пригородного сообщения.

    Пассажиропоток на МЦК постоянно растёт. За ноябрь скоростные «Ласточки», курсирующие на кольце, перевезли — это на 800 тысяч больше, чем в октябре. В течение первого месяца проезд был бесплатным. Сейчас на Московском центральном кольце действуют те же тарифы, что и в метро. Из подземки на МЦК и наоборот в течение 90 минут можно пересесть бесплатно.

    В 2018 году на всех 12 линиях Московского метрополитена работает бесплатный Wi-Fi. Интернет раздаётся только в вагонах, поэтому на станции воспользоваться им не получится. Каждый состав подключен к сети на скорости 100 Мбит в секунду. Этой скорости хватает, чтобы в каждом вагоне более сотни человек одновременно пользовались интернетом.

    Как подключиться?

    При первом подключении нужно пройти идентификацию для доступа к Wi-Fi. Это обязательная процедура, основанная на Постановлении Правительства РФ N 801 г. Москва от 12.08.2014 .

    По номеру мобильного телефона

    К одному номеру телефона можно привязать до 5 устройств: смартфонов, планшетов, ноутбуков.

    Через учётную запись на портале ГОСУСЛУГИ

    1. Включите вай-фай на своём смартфоне, планшете или ноутбуке. Обновите список сетей и подключитесь к точке доступа «MosMetro_Free».
    2. Откройте веб-браузер и введите адрес сайта vmet.ro. Вас перенаправят на страницу идентификации. Нужно открывать именно новую страницу, а не обновлять старую!
    3. Нажмите на кнопку «Войти через Госуслуги».
    4. Вы перейдёте на страницу авторизации ЕСИА. Введите логин и пароль к сайту Госуслуги.ру.
    5. Идентификация завершена, нажмите на кнопку «Войти в Интернет».

    Идентификация через компьютер

    Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
    Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
    Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).

    Установку Windows Server в виртуальную машину мы рассматривали в статье:

    Так-же нам потребуеться виртуальная машина с настроенным DNS сервером (мы используем Windows Server 2008 R2 с установленным DNS сервером)
    и одним внутренним интерфейсом (тип Внутренняя сеть).

    После загрузки файла дважды нажмите на нем, откроеться мастер установки:

    Ждем пока распакуеться:

    После распаковки файлов вы увидите приветственную страницу:

    Нажимаем "запустить средство подготовки", откроеться окно:

    Принимаем лицензионное соглашение:

    Вводим имя пользователя и организацию:

    Откроется окно выбора сетевой платы (выбираем плату внутренней сети):

    По окончании мастера установки, в открывшемся окне ставим галку "запустить програму управления":

    Появиться веб-страничка об успешной установке и окно мастера начальной настройки:

    В мастере нажимаем "настройка параметров сети", откроеться мастер настройки сети:

    Указываем сетевую плату внутренней сети:

    Указываем сетевую плату внешней сети(на скриншоте установлен DNS 192.168.137.1 - это не правильно, DNS-сервер должен быть один на вутренней сети, а сдесь графа DNS-сервера должна быть пустой):

    Проверяем правильность:

    В открывшемся мастере начальной настройки нажимаем "настройка системных параметров":

    В открывшемся мастере пока оставляем все как есть:


    Сдесь мы устанавливаем настройки обновления:

    Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт:

    На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее:

    На этом действии работа мастера первоначальной настройки завершена:

    Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов:

    На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений:

    После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG.

    Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки:

    На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет:

    Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик:

    Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена:

    Все проверяем:

    На этом первоначальная настройка завершена.

    Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение. Для списка причин, по которым стоит использовать TMG клиент, читайте Тома Шиндера на www.ISAserver.org:

    Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

    • уведомления HTTPS осмотра
    • поддержку AD Marker

    Стандартные функции TMG клиента

    • Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
    • Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
    • Упрощенная настройка маршрутизации в больших организациях
    • Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

    Системные требования

    TMG клиент имеет некоторые системные требования:

    Поддерживаемые ОС

    • Windows 7
    • Windows Server 2003
    • Windows Server 2008
    • Windows Vista
    • Windows XP

    Поддерживаемые версии ISA Server и Forefront TMG

    • ISA Server 2004 Standard Edition
    • ISA Server 2004 Enterprise Edition
    • ISA Server 2006 Standard Edition
    • ISA Server 2006 Enterprise Edition
    • Forefront TMG MBE (Medium Business Edition)
    • Forefront TMG 2010 Standard Edition
    • Forefront TMG 2010 Enterprise Edition

    Поддержка операционных систем

    Клиент /Сервер – совместимость

    Настройки TMG клиента на TMG сервере

    Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

    Рисунок 1: Параметры TMG клиента на TMG

    После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

    В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

    Рисунок 2: Настройки TMG клиента

    AD Marker

    Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

    Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

    Инструмент TMGADConfig

    Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

    Tmgadconfig add "default "type winsock "url http://nameoftmgserver.domain.tld:8080/wspad.dat

    Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

    Установка TMG клиента

    Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft. В конце статьи я привел ссылки на загрузку.

    Начните процесс установки и следуйте указаниям мастера.

    Р исунок 3: Установка TMG клиента

    Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

    Рисунок 4: Выбор компьютера для установки TMG клиента

    Расширенное автоматическое определение

    Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

    Рисунок 5: Расширенное автоматическое определение

    Уведомления HTTPS осмотра

    Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте. Для дополнительной информации о настройке осмотра исходящего HTTPS трафика читайте следующую Тома Шиндера

    Рисунок 6: Осмотр защищенных подключений

    Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.



    Рекомендуем почитать