Otimizando o desempenho no Forefront Threat Management Gateway (Parte 1)

Se voc gostaria de ler a primeira parte desta srie de artigos visite Otimizando o
desempenho no Forefront Threat Management Gateway (Parte 2).
Introduo
O Forefront Threat Management Gateway (TMG) 2010 firewall um gateway de
segurana de ponta integrado que fornece servios avanados de rede e de aplicativos de
proteo da camada. Ele executa baixo nvel inspeo de protocolo, aplicao profunda
inspeo de trfego camada, autentica os usurios, fornece baseada em reputao de
controle de acesso, e inspeciona comunicao HTTPS. Esses recursos avanados
consumir uma grande quantidade de recursos que podem potencialmente impedir
rendimento e apresentar atraso se o sistema est configurado incorretamente ou
dimensionada de forma inadequada. Neste artigo vamos discutir alguns problemas
comuns que podem levar a um desempenho ruim e falar sobre formas de melhorar e
otimizar a soluo.
Configurao de Hardware
Antes de iniciar qualquer discusso sobre o firewall TMG e desempenho, importante
que o hardware subjacente at a tarefa de apoiar TMG no papel em que ele ser
implantado. Recomenda-se que de alta qualidade de hardware do servidor de classe ou
de um aparelho de segurana dedicado ser usado. Para melhores resultados, essencial
que este hardware ser dimensionado correctamente para o seu ambiente e carga
esperada. Rede avanada TMG e capacidades de aplicao de camada de inspeo
impor demandas de recursos significativos do sistema, assim que ter poder de
processamento adequado, memria, disco e capacidade da rede de fundamental
importncia para a estabilidade eo desempenho geral da soluo.
Determinar quanto a capacidade de hardware necessrio para uma aplicao particular
um desafio, porque cada implementao nica e tem muitos fatores dependentes.
Para auxiliar na determinao de requisitos de hardware, a Microsoft disponibilizou o
Forefront TMG Ferramenta de Planejamento de Capacidade. Esta ferramenta permitelhe detalhes de entrada especficos sobre o seu ambiente e que vai oferecer conselhos
sobre especificaes de hardware com base no nmero esperado de usurios e largura
de banda que voc tem, bem como recursos de proteo que sero habilitadas. Planeje a
ser generoso com os recursos da CPU e memria para garantir o melhor desempenho,
acomodar picos imprevistos em uso, e para permitir espao para crescimento futuro.
Servios de infra-estrutura
anncio
O firewall TMG depende fortemente de suporte a servios de infra-estrutura para
realizar muitas de suas tarefas. O desempenho global da soluo depende de como os
servios, bem como o Active Directory e DNS esto realizando. Se houver problemas
com AD ou DNS, nenhuma quantidade de afinao no firewall TMG vai super-los. H
muitas coisas que podem dar errado com AD ou DNS. Fornecer uma lista abrangente
dos estaria fora do escopo deste artigo, mas aqui esto alguns problemas comuns que
consistentemente resultar em mau desempenho TMG:
A conectividade de rede - O desempenho ser impactado negativamente se o firewall

TMG no tem conectividade de rede confivel para AD ou DNS. TMG deve ser bem
ligado a esses servios, idealmente, eles esto localizados no mesmo local fsico e tem
conectividade gigabit. Certifique-se que quaisquer dispositivos intermedirios
(roteadores, switches, etc) so um bom desempenho e no mostram sinais de erros.
Configurao de site do Active Directory - Em vrias ocasies notei que firewalls de
baixo desempenho TMG foram autenticar contra controladores de domnio localizados
em diferentes localizaes geogrficas (em uma ocasio, em outro co ntinente!), Quando
havia os controladores de domnio localizados no mesmo centro de dados como TMG.
Isto causado pela configuradas incorretamente sites do Active Directory. Certifique-se
que sub-redes IP do Active Directory so adequadamente definidos e que um site do
Active Directory configurado que inclui controladores de domnio que so locais para
o firewall TMG.
Networking
Nos nveis mais baixos, o TMG firewall um firewall de roteamento que oferece
pacotes a partir de uma interface para outra, se a poltica permite. lgico que a
configurao de rede desempenha um papel importante no desempenho geral do
sistema. Aqui esto algumas configuraes importantes e recomendaes para otimizar
o throughput da rede e desempenho:
Porto velocidade e duplex - A velocidade da porta ou o desfasamento entre
configuraes duplex resultar no desempenho da rede extremamente pobre. Para o
funcionamento adequado, essas configuraes devem ser idnticas em cada conexo.
Isso significa que se voc optar por configurar manualmente as configuraes da
interface de rede do firewall TMG, voc tambm deve fazer essas configuraes
idnticas no switch ao qual ele est conectado. Se o interruptor estiver ligado a uma
switch no gerenciado, voc deve deixar o conjunto de firewall TMG de interface de
rede para negociao automtica. Voc no pode configurar manualmente um lado e
deixar o outro lado definido para negociao automtica. Nunca em nenhuma
circunstncia voc deve usar um hub em um ambiente de produo! Hubs so relquias
dos anos 80, quando NetBEUI ainda prevalecia. Mesmo um detector no gerenciado
ser muito melhor do que um cubo.
DNS Ordem Interface de Configurao de Rede / Encadernao - Este um dos erros
de configurao mais comuns e podem resultar na autenticao confivel e performance
baixa resoluo nome. Ao todo, mas os casos mais raros, os servidores DNS deve ser
configurado na interface de rede interna apenas. Alm disso, essencial que a interface
de rede interna em multi- homed firewalls ser configurado em primeiro lugar na lista
ordenada de interfaces de rede. Para mais informaes, consulte o meu artigo de reviso
de configurao DNS.
Segmentos de rede isolados - uma idia excelente para ter interfaces do firewall TMG
de rede localizados em segmentos de rede isolados, sempre que possvel. Fazendo isso
melhora a segurana e desempenho. Ele reduz o risco de camada dois ataques (por
exemplo, envenenamento de cache ARP) e faz descoberta de rede mais difcil. Se o
Network Load Balancing (NLB) habilitado isso se torna ainda mais importante. Por
padro, o NLB informaes de pulsao transmisses que ser visto por todos os hosts
no segmento. Tendo os firewalls configurados TMG em um segmento isolado limita as
emisses apenas para os hosts que necessitam dele.

Voltar Configurao do Firewall - Embora o firewall TMG de ponta e pronto ponta

capaz, isso nem sempre uma configurao otimizada em termos de segurana e
desempenho. Hosts que esto expostos diretamente Internet so constantemente
bombardeados com sondas e digitalizaes de todos os tipos. Configurando o firewall
TMG como um firewall de volta para outro firewall pode reduzir a quantidade de rudo
que tem de processar. Por exemplo, ter um ASA Cisco na borda da rede configurados
para permitir apenas os protocolos que TMG ir processar libera recursos valiosos para
ele para realizar inspeo de trfego de aplicaes avanadas de camada e de
autenticao. Tem o benefcio adicional de reduzir a poluio log, tornando os dados
registrados muito mais significativa e mais fcil de identificar o trfego anmalo.
Clientes de proxy da Web - Configurando os clientes como clientes Web Proxy tem
vantagens significativas de desempenho, embora muitos administradores preferem
configurao do cliente SecureNAT, pois no requer mudanas para o software cliente.
Clientes SecureNAT consumir substancialmente mais recursos no firewall TMG de
clientes Web Proxy porque o cliente Web Proxy estabelece conexes muito menos TCP
para o proxy firewall TMG na Internet ouvinte, a fim de recuperar o contedo da web.
Por exemplo, ao se conectar a um site popular (neste espn.com exemplo), o cliente
SecureNAT estabeleceu 31 conexes TCP para exibir a pgina web principal.

Por outro lado, quando configurado como um cliente Web Proxy apenas 6 conexes TCP foram
obrigados a exibir a mesma pgina da web.

Se voc tem milhares ou dezenas de milhares de usurios, este aumento exponencial de

conexes TCP e taxa de conexo proporcional aumento pode facilmente consumir o dobro de
CPU muito mais do que clientes Web Proxy.
resumo
Existem inmeros fatores que afetam a estabilidade eo desempenho geral do firewall TMG.
Neste artigo nosso foco a importncia de ter servios de infra-estrutura saudveis, tais como
o Active Directory e DNS. Ns estabelecemos que o firewall TMG deve ser bem ligado a esses
servios, e que sub-rede IP apropriado do Active Directory e configurao do site essencial.
Ns olhamos de perto para configurao de rede e falou sobre as melhores prticas de
configurao para melhorar o throughput da rede. Configuraes de rede devidamente
configurados, tais como velocidade da porta e duplex, a configurao do servidor DNS, e fim
de interface de rede de ligao so vitais para o throughput da rede ideal. Colocao Firewall e
configurao do cliente tambm ter efeitos dramticos sobre a utilizao global de recursos do
sistema e desempenho. No meu prximo artigo vamos discutir algumas maneiras adicionais
em que para otimizar o desempenho no firewall TMG.

Otimizando o desempenho no Forefront Threat Management Gateway (Parte 2)

Se voc gostaria de ler a primeira parte desta srie de artigos visite Otimizando o
desempenho no Forefront Threat Management Gateway (Parte 1).
Introduo
O Forefront Threat Management Gateway (TMG) 2010 firewall um gateway de
segurana de ponta integrado que fornece servios avanados de rede e de aplicativos de
proteo da camada. Capaz de realizar de baixo nvel a inspeo de protocolo, aplicao

profunda inspeo de trfego camada, autenticao de usurios, fornecendo baseada em

reputao de controle de acesso, e inspeo de comunicao HTTPS. Esses recursos
avanados consomem recursos valiosos do sistema (CPU, memria, disco e rede de I /
O) que podem potencialmente impedir um atraso de transferncia e se o sistema estiver
configurado incorretamente ou indevidamente empresas. No artigo do ms passado ns
nos concentramos principalmente em servios de infra-estrutura e configurao de
redes. Neste artigo vamos discutir algumas outras reas onde o desempenho pode ser
melhorado.
Poltica de Firewall
Em muitos casos, basta seguir prticas de poltica de firewall melhor configurao pode
resultar em melhorias significativas no desempenho. Por exemplo, uma boa idia
colocar regras de acesso que incluem elementos simples no incio da poltica de
firewall. Elementos simples so qualquer coisa que possa ser avaliado rapidamente pelo
firewall, como protocolos, porta de origem, agenda ou qualquer e ndereo IP baseado em
objeto (computadores, aparelhos de informtica, sub-redes, redes e jogos de rede).
Por outro lado, as regras que incluem elementos complexos deve ser colocado no final
da poltica de firewall. Elementos de regras complexas so tudo o que leva uma
quantidade adicional ou de tempo indeterminado para o firewall para avaliar, tais como
conjuntos de Nomes de Domnio, Conjuntos de URL, ou qualquer norma que requer
autenticao ou se aplica a tipos especficos de contedo.
Em geral, as regras de acesso deve ser configurado na seguinte ordem:
Global negar regras
Global de permitir que as regras
Regras para computadores especficos
Regras para usurios especficos, destinos (Domain Name Sets ou conjuntos de
URL), ou tipos MIME
As regras de publicao
Todas as outras regras de permisso
Aqui esto algumas prticas de firewall melhor poltica que vai garantir um timo
desempenho no firewall TMG:
Coloque regras que no exigem autenticao antes de quaisquer regras que se aplicam
a usurios especficos e / ou grupos. Autenticao de usurios leva tempo e consome
mais recursos do sistema, assim que ter regras de acesso annimo no topo da poltica de
firewall evita autenticar solicitaes desnecessariamente e reduz a sobrecarga de
processamento.
Use endereos IP sempre que possvel. Os endereos IP podem ser avaliados
rapidamente pelo firewall TMG, sem ter que executar a resoluo de nome. Alm disso,
este reduz a carga em servidores DNS.
Utilizar nomes de domnio totalmente qualificado (FQDN) em conjuntos de Nomes
de Domnio e conjuntos de URL.
Evite usar RADIUS para autenticao. Autenticao RADIUS muito mais lento do
que usando a autenticao integrada. Autenticao integrada aproveita nativas
protocolos de autenticao Active Directory, tais como NTLM e Kerberos, que so mais
seguros e maior desempenho.

Evite usar negam regras que incluem 'todo o trfego de sada "e usar um nome do
domnio definido para o destino. Quando uma regra de acesso configurado dessa
maneira, o firewall TMG ser forado a realizar uma pesquisa de DNS inversa para
cada um dos pedidos que recebe, a fim de determinar se o endereo IP de destino est
includo no conjunto de Nome de Domnio. Isto ir degradar severamente o
desempenho e provavelmente sobrecarregar o servidor DNS.
Autenticao
anncio
Impondo usurio e grupo a autenticao baseada em trfego web proxy uma excelente
ideia. O processo de autenticao de usurios pode ser caro em termos de uso de
recursos do sistema, no entanto. Por padro, o firewall TMG usar NTLM para
autenticar usurios. Com NTLM, o firewall TMG estabelece um canal seguro para um
nico controlador de domnio no site do Active Directory ao qual ele pertence. Cada
pedido para que o firewall TMG deve autenticar sero processados atravs deste canal
nico e seguro. Em um cenrio onde o firewall TMG extremamente ocupado, esta
nica conexo pode rapidamente se tornar um gargalo, resultando em srios atrasos
recuperar pginas da web e solicitaes de autenticao para usurios autenticados
anteriormente.
Usando a autenticao Kerberos resolve este problema. Com Kerberos, o processo de
autenticao tratada pelo cliente, em vez de o firewall TMG. Quando o cliente faz um
pedido para que a autenticao necessria, o cliente entrar em contato com um
controlador de domnio e obter um tquete Kerberos para apresentar ao TMG firewall
para obter acesso (detalhes completos sobre a autenticao Kerberos pode ser
encontrada aqui). Autenticao Kerberos est d isponvel apenas para clientes Web
Proxy, e os clientes devem estar usando o Internet Explorer 7 ou posterior. Se o
navegador est configurado para usar Web Proxy Auto Discovery (WPAD) ou o script
de configurao automtica, o firewall TMG deve ser configurado para fornecer o
FQDN do servidor proxy no script de configurao automtica, como descrito aqui. Se
o navegador est configurado manualmente, o servidor proxy deve ser especificado
usando um FQDN, no um endereo IP.
Log
Por padro, o TMG registra todas as solicitaes para uma instncia local do SQL
Express que instalado com o software de firewall TMG. A infra-estrutura de registro
muito mais robusto no TMG do que nas verses anteriores do produto, fazendo com que
o log de desempenho menos de um problema que tem sido no passado. [Veja o meu
artigo Logging Melhorias no Forefront Threat Management Gateway (TMG) 2010 para
mais detalhes.] H, no entanto, algumas das melhores prticas a seguir para garantir um
desempenho ptimo registo.
Os arquivos de banco de dados de registro deve estar localizado em uma partio
separada, de preferncia em uma partio diferente da partio do sistema. De
preferncia, esta partio deve estar em um padro disk.By fsico separado, TMG
armazena os arquivos de log do banco de dados na partio do sistema. Para realocar os
arquivos de log do banco de dados para outra partio, abra o console de gerenciamento
do TMG e destacar os Logs e Relatrios n na rvore de navegao, clique em
Configurar o Firewall do registro no painel Tarefas. Clique no boto Opes ... boto ao
lado de banco de dados SQL Server Express (no servidor local), em seguida, selecione

Esta pasta (digite o caminho completo): e digite a nova unidade e caminho para
armazenar os arquivos de banco de dados de log. Para matrizes empresariais esta pasta
deve existir em todos os members.Once matriz completa, repita o processo clicando em
Configurar Logging Web Proxy.

A Figura 1
Se o firewall TMG extremamente ocupado, pode ser necessrio para mudar para o log
de arquivos de texto. Uma desvantagem de usar o log de arquivos de texto que ver os
dados de registro histrico na gesto TMG console no est mais disponvel. No
entanto, em termos de desempenho esta a melhor opo como o log de arquivos de
texto consome a menor quantidade de recursos do sistema. Para configurar o log de
arquivos de texto, siga os passos acima e selecione a opo Arquivo. Clicando no boto
Opes ... permitir que voc especifique onde os arquivos de log esto armazenados.

A Figura 2
cache
O firewall TMG tem a capacidade de armazenar em cache de objetos web
frequentemente solicitados e armazen- los na memria e no disco. As solicitaes
subseqentes para esses objetos so, ento, recuperado do cache e entregue ao cliente
em velocidades LAN, sem a necessidade de uma viagem ao servidor de origem para
recuperar o contedo. O cache certamente menos eficaz que era de cinco a dez anos
atrs, quando mais contedo web era esttica, mas o cache permitindo ainda pode
render de 10 a 20 por cento rcios de cache hit na maioria dos ambientes atuais. Tendo
at 20 por cento do seu trfego web sendo servidos do cache uma maneira rpida e
fcil de reduzir a utilizao da WAN e melhorar o desempenho para os usurios finais.
Para habilitar o cache, selecione o n Web Access Policy na rvore de navegao, e
clique em Configurar o cache da Web no painel Tarefas. Selecione a guia Cache Drives,
destacar um membro da matriz, em seguida, clique em Configurar .... Realce um disco
rgido para armazenar o cache, digite um valor no tamanho mximo do cache (MG): e
clique em Set.

A Figura 3
HTTP Compression
HTTP suporte de compresso no TMG permite que o firewall para solicitar e entregar o
contedo da web em um formato compactado com o gzip. Ativando compresso HTTP
consome CPU adicional, mas pode melhorar significativamente a taxa de transferncia
de rede quando o firewall TMG conectado a um link WAN lento.
Para habilitar a compactao HTTP, realce o n Web Access Policy na rvore de
navegao, e clique em Configurar a compactao HTTP no painel Tarefas. Na guia
Geral marque a opo Habilitar a compresso HTTP, selecione a solicitao
comprimido guia Dados e adicionar uma rede da qual a solicitar comprimido contedo
HTTP.

A Figura 4
resumo
Existem inmeros fatores que afetam a estabilidade eo desempenho geral do firewall
TMG. Neste artigo analisamos os efeitos da configurao de diretiva de firewall e de
autenticao no desempenho do sistema. Optimizao da poltica de firewall, colocando
regras simples antes de regras complexas e configurando clientes para utilizar
autenticao Kerberos trar melhorias significativas no desempenho. Ao fazer
alteraes nas opes de log padro e habilitar o cache de contedo e compresso HTTP
(quando aplicvel), podemos garantir que o firewall TMG estar realizando em seu
pico.