Что такое forefront tmg
Обзор Microsoft Forefront Threat Management Gateway 2010
В данном обзоре мы подробно рассмотрим Forefront Threat Management Gateway 2010, одну из самых интересных новинок последнего времени от корпорации Microsoft, пришедшую на смену ISA Server 2006. Помимо функционала корпоративного фаервола и прокси-сервера, новинка включает в себя возможности антивирусной и антиспам фильтрации HTTP и SMTP трафика, проверку HTTPS трафика и обнаружения уязвимостей.
Сертификат AM Test Lab
Номер сертификата: 66
Дата выдачи: 03.03.2010
Срок действия: 03.03.2015
Системные требования
Microsoft Forefront Threat Management Gateway 2010 поддерживает только операционные системы Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2.
Минимальные системные требования:
Рекомендуемые системные требования:
Установка продукта
Усилиями компании Майкрософт полная версия продукта Forefront Threat Management Gateway (Forefront TMG), являющегося прямым наследником Microsoft ISA Server, вышла в первом полугодии 2009 года. Помимо всего функционала Microsoft ISA Server новый продукт включает в себя улучшения существующих, а также множество новых функций.
Forefront TMG продается в двух вариантах: Standard и Enterprise. Функционально они практически не отличаются, различия состоят лишь в лицензионных ограничениях, которые приведены ниже.
Форпост для защиты периметра: Forefront TMG
Содержание статьи
Интегрированная система безопасности Forefront «Stirling»
Практически 9 лет компьютерные сети многих организаций бессменно защищал ISA
Server (Microsoft Internet Security and Acceleration Server). Основа, заложенная
еще в первом релизе, мало изменилась и в третьей версии ISA Server 2006:
фильтрация трафика на нескольких уровнях, поддержка VPN, работа с Active
Directory, анализ посещения внешних ресурсов, IDS/IPS и так далее. Нет, конечно,
продукт развивался: был существенно переработан интерфейс, появились новые
функции, но со временем менялась идеология защиты сетей, и соответственно
администраторы стали требовать большего, чем мог дать ISA Server, который к тому
же не совместим с новыми серверными ОС Win2k8/R2.
Результат не заставил себя долго ждать. В 2008 году на конференции RSA
Security был представлен преемник ISA Server, получивший новое имя Forefront
Threat Management Gateway (Forefront TMG, Шлюз управления угрозами).
Одной из основных особенностей Forefront TMG стала совместная работа с
другими продуктами новой платформы Forefront Protection Suite (кодовое
имя «Stirling»,
www.microsoft.com/forefront/stirling), предназначенной для всесторонней
защиты и централизованного управления параметрами безопасности корпоративных
сетей, серверов и рабочих станций. В настоящее время в ее состав входит:
Ранее Microsoft предлагала несколько разобщенных продуктов, каждый их которых
защищал свой участок, имел свою консоль управления и систему отчетов. Такие
системы защиты плохо масштабируются, ими неудобно управлять. Сегодня вместо
этого специалистам предоставляется комплексное решение, которое работает с общей
базой настроек, информацией об угрозах, управляется из единой консоли, и которое
можно легко подстроить под конкретные нужды.
Возможности Forefront TMG
Основным компонентом Forefront TMG (на момент написания статьи была
доступна версия 2010 Release Candidate) является межсетевой экран, который
контролирует входящий и исходящий трафик в соответствии с установленными
политиками. Этот компонент «достался» по наследству от ISA Server. Среди новинок
можно отметить улучшенную поддержку NAT (например, теперь нет проблем в случае,
если внешний интерфейс имеет несколько IP-адресов), функцию управления
резервными интернет-каналами (ISP Redundancy, только для исходящего трафика),
появление в настройках firewall вкладки VoIP, где производится настройка защиты
и поддержки VoIP сервиса (VoIP traversal).
Функцию IDS/IPS выполняет компонент Network Inspection System (NIS,
Служба проверки сети), главным отличием которого от подобных решений является
контроль над попытками использования известных уязвимостей, обнаруженных в
защищаемых системах, а не поиск сигнатур эксплоитов. Такой подход позволяет
закрыть брешь в период обнаружения уязвимости до выхода устраняющего ее патча.
Основой NIS служит GAPA (Generic Application-Level Protocol Analyzer),
обеспечивающий быстрый низкоуровневый поиск данных. Кроме сигнатурного анализа,
в NIS заложен поведенческий анализатор (Security Assessment and response, SAS),
способный определять вторжения на основе поведения (Behavioral Intrusion
Detection).
Никуда не исчезла возможность предоставления безопасного доступа
к ресурсам интернет и контроля за трафиком (Web Client Protection). Здесь
отмечаем появление в списках протокола SSTP (Secure Socket Tunneling Protocol,
подробнее о нем читай в статье «Слоеный
VPN» августовского
номера ][ за 2008 год), поддержка которого была впервые реализована в Vista
SP1 и Win2k8.
В TMG интегрирован SMTP прокси, обеспечивающий функции защиты от
вирусов, спама и прочих угроз, распространяемых по e-mail. Причем почтовый
трафик могут сканировать до 5 программ, большая часть функций по фильтрации
реализована за счет интеграции с Exchange Server 2007 Edge. В политиках (E-Mail
policy) администратор может задавать расширения, шаблоны имени, MIME типы
файлов, которые будут блокироваться при пересылке. Также TMG может просматривать
сообщения на наличие определенных фраз во входящих и исходящих сообщениях, затем
на основе политик такие письма могут быть удалены с отправкой уведомления
админу.
TMG поддерживает Win2k8R2, может интегрироваться с Exchange 2007
SP1 или грядущим Exchange 2010. Первые версии TMG нельзя было развернуть в
рабочей группе (только в доменной среде), что снижало область применения
продукта. Теперь такая возможность имеется, хотя в этом случае придется
потратить некоторое время на эффективную настройку локальной SAM базы (Security
Accounts Manager). В режиме рабочей группы возможна аутентификация средствами
RADIUS или SecurID сервера.
Перечислю несколько важных моментов касательно IPv6, которые
следует учесть при развертывании TMG:
будет блокирован весь IPv6 трафик;
протокол ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol) и 6to4 интерфейс, инкапсулирующие пакеты IPv6 в IPv4, будут
отключены;
при рестарте будет обновляться только «A» DNS запись для
сервера, но не «AAAA»;
будут очищены кэши DNS, ARP и Neighborhood Discovery (IPv6
версия ARP).
Да, протокол IPv6 TMG не поддерживает в полной мере, но работать
с ним умеет. Также возможно развертывание DirectAccess (который, кстати, завязан
на IPv6/IPsec) и TMG на одной системе. Хотя это потребует плясок с бубном, так
как при установленной роли DirectAccess некоторые мастера TMG отказываются
работать, так как не могут определить настройки сети.
Также следует отметить наличие несколько урезанной версии
Forefront TMG Medium Business Edition (MBE) для Essential Business Server (ESB).
Это решение предназначено для защиты сетей небольших и средних размеров (до 300
рабочих станций). В нем отсутствует Network Inspection System, не реализована
возможность проверки защищенного HTTPS трафика и защиты e-mail, не предусмотрено
использование балансировки нагрузки и создание отказоустойчивых кластеров, он не
интегрируется с продуктами семейства «Stirling». TMG MBE доступен как в составе
ESB, так и как самостоятельное решение. Возможна установка на 32-х битную
систему.
Установка Forefront TMG
Для установки Forefront TMG понадобится сервер с x64 CPU
(32-х разрядные CPU не поддерживаются) и 2 Гб ОЗУ, работающий под управлением
x64-версии Win2k8/2k8R2, а также 2.5 Гб места на харде (раздел должен быть
отформатирован в NTFS). Среди требований есть еще Microsoft SQL Server 2005
Express Edition (MSEE), но он будет установлен автоматически, поэтому не нужно
отдельно его скачивать.
Настройки TMG
После установки TMG в меню обнаружим консоль управления
«Forefront TMG Management» и монитор производительности «Forefront TMG
Perfomance Monitor». По умолчанию консоль подключается к локальному серверу, но
вряд ли админ будет работать из серверной. Чтобы подключиться к удаленному
серверу с установленным TMG, выбираем в контекстном меню пункт «Connect» и,
следуя указаниям «Configuration Storage Server Connection Wizard», отмечаем
локальную систему, отдельный сервер или подключение к массиву TMG.
Настроек в консоли более чем предостаточно. Спасает продуманный интерфейс,
который существенно переработан в сторону улучшения юзабилити. Все настройки
сгруппированы в 12 меню, в каждом производятся установки специфических политик:
Firewall, WebAccess, E-mail, IPS и так далее. Некоторые пункты позволяют
получить доступ к функциям мониторинга, отчетов и обновлений. И в какой пункт не
зайди, везде тебя встретит пошаговый мастер.
Выбираем в меню консоли свой сервер. В среднем окне появится
окно «Roles Configuration», в нем даны ссылки на 5 задач: доступ внутренних
пользователей к веб-сайтам (Web Access Policy), политики E-mail, настройка NIS,
публикация внутренних ресурсов для предоставления доступа «из вне», активация и
настройка доступа к VPN. Конечно, это не все задачи по обеспечению полноценной
защиты и работы сервисов, конкретный список для каждой сети админ уже составляет
сам. После работы «Started Wizard» будет активирована NIS, и установлены
блокирующие правила в Firewall и Web Access. Соответственно, выйти в интернет,
получать и отправлять почту не получится, также будет закрыт доступ к внутренним
ресурсам «из вне», поэтому последовательно перебираем каждый шаг и настраиваем
политику доступа.
Настройка политик веб-доступа и использования E-mail
не проверять и разрешать трафик;
не проверять трафик, проверять сертификат и при несоответствии
блокировать;
Если выбран первый вариант, мастер потребует ввести сертификат,
который необходимо предварительно создать (подробности смотри в уже упомянутой
статье «Слоеный VPN»). Затем идет настройка кэширования. Отмечаем флажок «Enable
Web caching» и, нажав «Cache Drives», указываем диск и вводим максимальный
размер кэша (по умолчанию 0, т.е. неограничен). После нажатия кнопки «Finish»
будут созданы новые настройки, чтобы они вступили в силу, нажимаем кнопку
«Apply» вверху окна. Теперь пользователи внутренней сети могут просматривать
информацию на веб-ресурсах.
Используя ссылки во вкладке «Task», можно изменить установки без
повторного запуска мастера. Чтобы изменить отдельное правило, дважды щелкаем по
нему и, перемещаясь по вкладкам свойств, отключаем/включаем правило, изменяем
From/To, указываем протокол, расписание, тип контента. Состояние отдельных
элементов можно увидеть и изменить в поле «Web Access Setting».
Для настройки работы с E-mail выбираем в меню «E-Mail Policy».
Здесь действуем аналогично предыдущему пункту. Нажимаем «Configure E-Mail
Policy». Запустившийся мастер вначале попросит указать IP-адрес внутреннего
почтового сервера и ввести список разрешенных доменов. Отмечаем сети, на которых
будут слушаться почтовые запросы, указываем FQDN (Fully Qualified Domain Name),
используемый для связи с сервером при ответе на HELO/EHLO запросы. По умолчанию
TLS (Transport Layer Security) шифрование трафика отключено, для его активации
устанавливаем флажок «Enable TLS Encryption». На последнем шаге, установив
соответствующие флажки, активируем функции антиспама и антивирусной проверки
почтового трафика (если, конечно, их предполагается использовать). Нажимаем
«Finish» и применяем настройки щелчком по «Apply». Правила, созданные в
результате работы мастера, будут показаны в окне консоли. Настройка правил
антиспама и антивируса производится во вкладках «Spam Filtering» и «Virus and
Content Filtering» соответственно.
Заключение
TMG vs UAG
Основой системы отчетов Forefront «Stirling» является MS SQL
Server 2008 Reporting Services, механизм отчетов способен удовлетворить запросы
большинства админов.
Антивирусные, антиспам обновления, сигнатуры NIS, URL Filtering
доступны по платной подписке.
Об ISA Server читай в статье «Надежный
сторожевой сети», опубликованной в майском номере ][ за 2007 год.
Подробнее о SSTP и настройке сервера сертификатов читай в статье
«Слоеный VPN»
августовского номера ][ за 2008 год.
Forefront TMG не поддерживает протокол IPv6 в полной мере, но
работать с ним умеет.
WARNING
Forefront TMG нельзя устанавливать на сервер, выполняющий
функции контроллера домена.
После установки Forefront TMG все сетевые соединения
блокируются.
Microsoft Forefront TMG и UAG: что выбрать?
Совсем недавно вопрос выбора между решениями Forefront TMG и Forefront UAG стоял в полный рост. Сегодня не менее остро стоит другой вопрос: есть ли необходимость и существует ли возможность перехода с устаревшего решения Forefront TMG на продолжающую развиваться платформу Forefront UAG? Для ответа на этот вопрос необходимо в первую очередь перечислить возможности, предоставляемые обоими решениями, и рассмотреть типичные сценарии использования каждого продукта.
Миграция с Forefront TMG на Forefront UAG: самое время?
Главной и очевидной причиной, по которой компании начинают процесс миграции с платформы TMG, является прекращение развития данной платформы, анонсирование компанией Microsoft в декабре 2012 года. Компания объявила о снятии продукта с производства, что означает прекращение выхода новых версий TMG и, в частности, отсутствие поддержки новых версий продуктов – к примеру, Exchange Server 2013. И если в случае с Exchange Server 2013 возможность публикации всё-таки существует, пользователям других пакетов может не повезти, и очередное обновление способно нарушить работу системы.
У Forefront TMG десятки тысяч пользователей, в основном – корпоративных. Принять решение о переходе на альтернативную платформу для компаний непросто. В данной статье мы попытаемся дать ответ на вопрос, имеет ли смысл миграция в сторону Forefront UAG. Будут рассмотрены поддерживаемые и не поддерживаемые сценарии, совместимость с последними версиями популярных продуктов и требования к платформе, на которой может быть запущена вся система.
Итак, давайте внимательно посмотрим, что из себя представляют Forefront TMG и Forefront UAG.
Forefront TMG
Forefront TMG – краткое обозначение продукта, полное название которого – Microsoft Forefront Threat Management Gateway 2010. Forefront TMG пришёл на смену популярному брандмауэру ISA Server 2006. Forefront TMG предоставляет возможности сетевой маршрутизации и кэширования данных, обеспечивая безопасное соединение локальной сети с Интернетом. В продукте задействованы такие меры безопасности, как контентный анализ и фильтрация трафика, анализ пакетов данных и многоуровневая защита.
Функции маршрутизации и удалённого доступа
Forefront TMG способен выполнять следующие функции:
Службы безопасности
В продукте доступны следующие функции, обеспечивающие сетевую безопасность:
· Защита от вирусов и вредоносного ПО
Оптимизация производительности сети
Еще одна роль, с которой хорошо справляется Forefront TMG – это оптимизация производительности локальной сети, позволяющая ускорить выполнение многих операций и сэкономить внешний трафик.
Forefront TMG доступен в стандартной версии (Standard) и версии для предприятий (Enterprise).
Forefront UAG
Исторически, Forefront Unified Access Gateway 2010 (UAG) пришёл на смену интернет-шлюзу Microsoft IAG (Intelligent Application Gateway), выпущенному тремя годами ранее в 2007. Forefront UAG выполняет роль безопасного шлюза, обеспечивая возможность безопасного удалённого доступа к внутренним ресурсам компании извне – например, из сети Интернет. В продукте доступно множество технологий удалённого доступа, включая обратный прокси-сервер, VPN, сервисы DirectAccess и службу удалённого доступа Remote Desktop Services.
Служба маршрутизации и удаленного доступа
В состав Forefront UAG включены службы безопасной сети VPN (через протокол SSL), брандмауэр для веб-приложений, а также управление безопасностью конечных точек с обеспечением аутентификации, авторизации и проверки содержимого для широкого диапазона приложений.
Forefront UAG способен выполнять следующие функции:
Службы безопасности
Пакет предоставляет следующие возможности:
Важным различием между Forefront UAG и Forefront TMG является то, что UAG устанавливается в качестве шлюза, в то время как Forefront TMG устанавливается поверх UAG в качестве брандмауэра, после чего настраивается для обеспечения безопасности сервера UAG.
С другой стороны, Forefront UAG расширяет возможности Forefront TMG в области интеллектуальной веб-публикации. В отличие от TMG, Forefront UAG распознаёт опубликованные приложения, и способен осуществлять контроль за состоянием используемого оборудования. Кроме того, UAG и способен распознавать авторизованных пользователей.
Интересным инструментом является возможность настройки политики доступа к конечной точке. Данная политика позволяет сетевым администраторам определять правила, согласно которым клиент может получить доступ к внутренним сетевым ресурсам. Благодаря использованию политики доступа, клиент получит доступ к ресурсу в том и только в том случае, если выполняются все определённые политикой условия.
Требования к аппаратному обеспечению
Требования Forefront UAG к аппаратной части отличаются от запросов Forefront TMG тем, что для работы UAG необходимо наличие как минимум двух сетевых адаптеров. Два сетевых адаптера требуются для обеспечения связи между локальной и внешней сетями (например, внутренней сетью организации и интернет). Соответственно, Forefront UAG не будет работать на рабочих станциях с одним сетевым адаптером.
В то же время, Forefront TMG запустится только будучи установленным на 64-разрядной версии Windows (UAG может работать как на 32-разрядных, так и на 64-битных ОС). Таким образом, для обеспечения совместной работы Forefront TMG и UAG требуется сервер под управлением Windows 2003/2008 Server x64, оборудованный двумя сетевыми адаптерами.
Сравнение возможностей Forefront TMG и Forefront UAG
На первый взгляд разница между Forefront TMG и Forefront UAG невелика. Оба продукта могут использоваться в одних и тех же сценариях, выполняя одни и те же задачи. На самом же деле, между двумя продуктами существует принципиальная разница, определяющая выбор того или иного решения в каждом конкретном сценарии.
Что интересно, существует достаточно большое количество сценариев, задачи которых могут быть выполнены как Forefront TMG, так и Forefront UAG. В то же время взвешенный подход к выбору платформы позволяет избежать многочисленных коллизий и осложнений.
В этом разделе мы рассмотрим поддерживаемые и не поддерживаемые сценарии, обсудим разницу между ними, и рассмотрим, в каких именно ситуациях следует использовать тот или иной продукт.
Начнём с Forefront TMG.
Forefront TMG – это безопасный брандмауэр, обрабатывающий входящие и исходящие запросы. Forefront TMG обеспечивает как безопасность внутренних ресурсов сети от внешней угрозы, так и обеспечивающий безопасный доступ к защищаемым ресурсам из внешних сетей. В состав продукта входят гибкие правила публикации, позволяющие настроить доступ к корпоративным ресурсам (Outlook Web Access, Exchange Active Sync и так далее) для удалённых пользователей. Однако попытки использовать Forefront TMG в качестве интеллектуального решения дистанционного доступа быстро упираются в ограничения продукта.
Forefront UAG работает как интеллектуальный шлюз уровня приложений. UAG обрабатывает только входящие запросы, обеспечивая удобный и безопасный удалённый доступ к внутренним ресурсам компании. С помощью Forefront UAG можно существенно расширить возможности правил публикации, встроенных в пакет TMG. Интеллектуальные правила публикации Forefront UAG позволяют создавать безопасные порталы и сети VPN. С помощью политик DirectAccess Endpoint Access возможен контроль за удалёнными клиентами.
Forefront TMG может быть установлен в качестве интегральной части пакета Forefront UAG. В этом случае TMG используется как брандмауэр, обеспечивающий безопасность работы сервера UAG.
Сценарии использования Forefront TMG и Forefront UAG
Итак, мы выяснили, что Forefront UAG обрабатывает входящие запросы и обеспечивает интеллектуальное шлюзование на уровне приложений, а Forefront TMG обрабатывает как входящий, так и исходящий трафик, устанавливается как брандмауэр и обеспечивает функции безопасности.
Исходя из перечисленного, можно составить таблицу поддерживаемых и не поддерживаемых сценариев для каждого из двух продуктов.
| TMG | UAG |
|---|---|
| Интеллектуальная публикация приложений | |
| Безопасность точки доступа | |
| SSL-туннелированные | |
| Защита от информационных утечек | |
| Поддержка стойких систем аутентификации (KCD, ADFS, OTP) | |
| Сертификаты продуктов (Common Criteria) | |
| Интеграция с NAP | |
| Интеграция с Terminal Services | |
| Управление массивами | |
| Расширенное управление и мониторинг (MOM Pack) | |
| Мобильные решения | |
| Настраиваемый пользовательский портал | |
| Конфигурирование с помощью мастеров настройки | |
| Поддержка множества языков RTL |
Граничные условия использования Forefront TMG
Итак, у каждого из двух продуктов есть свои поддерживаемые и не поддерживаемые конфигурации. Forefront TMG НЕ ПОДДЕРЖИВАЕТ работу в следующих конфигурациях:
Граничные условия использования Forefront UAG
У Forefront UAG также есть свои поддерживаемые и не поддерживаемые сценарии.
Forefront UAG: функционал DirectAccess
Подобно Forefront TMG, с помощью Forefront UAG можно опубликовать веб-сервер, расположенный на компьютере из локальной сети. Это можно сделать как напрямую, так и через веб-портал.
Кроме того, Forefront UAG расширяет функционал DirectAccess, доступный в Windows Server 2008 R2, выступая в роли сервера DirectAccess. При этом необходимо иметь в виду следующее:
Поддержка IPv6 в Forefront UAG ограничена. Продукт поддерживает только тот функционал IPv6, который необходим для поддержки DirectAccess, базирующегося на этом протоколе. Соответственно, Forefront UAG поддерживает следующие типы трафика IPv6:
Остальные типы трафика IPv6 не поддерживаются.
Совместная работа Forefront UAG и Forefront TMG
Итак, мы рассмотрели работу двух продуктов по отдельности. Настало время изучить режим, в котором оба продукта работают параллельно. В то же время попробуем ответить на вопрос: можно ли заменить устаревший и снятый с производства Forefront TMG более новым продуктом Forefront UAG?
Forefront UAG обладает множеством продвинутых возможностей публикации, что само по себе представляет интерес для пользователей TMG. Тем не менее, прежде чем принять решение о переходе с одного продукта на другой, необходимо иметь в виду следующее:
Что не поддерживает Forefront TMG
While some configuration changes can be done to Forefront TMG via the TMG Management console (MMC), the following configurations are explicitly not supported:
Что поддерживает Forefront TMG
Некоторые настройки могут быть выполнены с использованием Forefront TMG Management Console (MMC).
Forefront TMG снят с производства. Используем Forefront UAG без TMG
Развитие Forefront TMG было прекращено в декабре 2012 года. Соответственно, выход очередного пакета обновлений для публикуемого сервера (например, новой версии Exchange Server) способен заблокировать работу уже настроенной и отлаженной системы. Обычно такие проблемы решаются выпуском соответствующего пакета обновлений или сервис-пака. Но в связи со снятием продукта с производства таких обновлений не предвидится. Соответственно, многие пользователи будут вынуждены мигрировать на Forefront UAG, оказываясь без брандмауэрной защиты и полагаясь исключительно на встроенные в UAG средства безопасности. with no added protection available from the currently discontinued Forefront TMG. Для защиты сети без Forefront TMG можно использовать следующие конфигурации:
Вопрос выбора конкретного брандмауэра лежит за рамками данной статьи. На рынке доступна масса наименований. Кроме того, для обеспечения корректной работы сервера UAG потребуется выставить корректные настройки портов.