Features für Forefront TMG Secure Web Gateway
Veröffentlicht: November 2009
Letzte Aktualisierung: Februar 2010
Betrifft: Forefront Threat Management Gateway (TMG)
In diesem Thema finden Sie eine Übersicht zu den Forefront TMG Secure Web Gateway-Features sowie Informationen zur Ermittlung der Secure Web Gateway-Bereitstellungsziele, die für Ihre Organisation geeignet sind. Je nach den Bereitstellungszielen können Sie auswählen, ob Sie alle Secure Web Gateway-Features implementieren möchten oder nur eine Kombination der Features, die Ihren spezifischen Zielen entsprechen. Weitere Informationen finden Sie unter Ermitteln der Secure Web Gateway-Bereitstellungsziele .
Secure Web Gateway-Features – Überblick
Forefront TMG Secure Web Gateway umfasst die folgenden Features:
URL-Filterung – Ziel-URLs werden auf die Einhaltung der Unternehmensrichtlinien sowie auf das böswillige Potenzial der Zielwebsites überprüft. Mithilfe der URL-Filterung werden bestimmte Typen von Websites (z. B. bekannte schädliche Sites oder Sites mit ungeeigneten oder pornografischen Inhalten) identifiziert, um den Zugriff auf diese Websites anhand entsprechender vordefinierter URL-Kategorien zuzulassen oder zu sperren. Sie können den Zugriff auf die konfigurierten Kategorien an ausgewählten Tagen der Woche (z. B. am Wochenende) oder für bestimmte Tageszeiten (z. B. während der normalen Arbeitszeit) zulassen oder blockieren).
Hinweis
Die Ziel-URLs beziehen sich auf HTTP-Anforderungen, die von Clients in Netzwerken stammen, die durch Forefront TMG geschützt werden.
Bei der URL-Filterung wird die URLs mit dem Microsoft-Zuverlässigkeitsdienst abgeglichen, bei dem verschiedene Quellen kombiniert werden, um die URL-Abdeckung und die Kategorisierung und die Features von über 90 URL-Kategorien (z. B. schädlich, Anonymisierungssites oder illegale Drogen). Je nach der vom Forefront TMG-Administrator erstellten Richtlinie wird die angeforderte Website von der URL-Filterung entweder blockiert oder zugelassen.
Sie können die URL-Filterung auch im Berichtsmodus ausführen, wobei der Datenverkehr überprüft und Berichte erstellt werden, ohne das der Zugriff gewährt oder blockiert wird. Sie können die Berichte und Protokolleinträge verwenden, um Daten zur Internetverwendung in Ihrem Unternehmen zu ermitteln, z. B. die am häufigsten aufgerufenen URL-Kategorien. Weitere Informationen finden Sie unter Planen der URL-Filterung (https://go.microsoft.com/fwlink/?LinkId=168614).
HTTPS-Überprüfung – Ermöglicht Forefront TMG die Überprüfung des SSL-verschlüsselten Webdatenverkehrs der Benutzer. Durch die Überprüfung dieser verschlüsselten Sitzungen hat Forefront TMG die Möglichkeit, sowohl potenzielle Malware zu ermitteln als auch eine Unternehmensrichtlinie zu erzwingen, um beispielsweise den Zugriff auf Websites zu blockieren, die veraltete Zertifikate aufweisen. Bestimmte sensible Websites, z. B. von Banken, können aus Datenschutzgründen von der Überprüfung ausgenommen werden. Weitere Informationen finden Sie unter Planen der HTTPS-Überprüfung (https://go.microsoft.com/fwlink/?LinkId=168613).
Malwareüberprüfung – Ausgehender Webdatenverkehr, einschließlich Dateien aus archivierten Ordnern, wird auf Viren und Malware überprüft. Verschlüsselte Dateien können blockiert werden.
Hinweis
Die ausgehende Überprüfung bezieht sich auf HTTP-Anforderungen, die von Clients in Netzwerken stammen, die durch Forefront TMG geschützt werden.
Da Malwareüberprüfung eine Verzögerung der Inhaltsübermittlung vom Server zum Client verursachen kann, ermöglicht Forefront TMG ein benutzerfreundlicheres Durchsuchen von Webinhalten nach Malware. Hierfür kann eine der folgenden Übermittlungsmethoden für überprüften Inhalt ausgewählt werden:
Blockweise Übermittlung – Während der Überprüfung der Dateien werden von Forefront TMG Teile des Inhalts an den Benutzer gesendet. Dadurch wird verhindert, dass Clientanwendungen das Zeitlimit überschreiten, bevor der gesamte Inhalt heruntergeladen und überprüft wurde.
Statusbenachrichtigung – Es wird von Forefront TMG eine HTML-Seite an den Clientcomputer gesendet, auf der der Benutzer darüber informiert wird, dass der angeforderte Inhalt überprüft wird, und der Download- und Überprüfungsstatus angezeigt wird. Nach dem Herunterladen und Überprüfen der Inhalte wird der Benutzer auf der Seite informiert, dass die Inhalte bereit stehen, und es wird eine Schaltfläche zum Herunterladen der Inhalte angezeigt.
Weitere Informationen finden Sie unter Planen des Schutzes vor schädlichen Webinhalten (https://go.microsoft.com/fwlink/?LinkId=168615).
Netzwerküberprüfungssystem (NIS) – Der Datenverkehr kann auf die Ausnutzung bekannter Sicherheitsrisiken von Betriebssystemen und Anwendungen überprüft werden. Auf der Grundlage der Protokollanalyse kann NIS Angriffe blockieren und zugleich falsch positive Ergebnisse minimieren. Die Signatursätze und Module werden kontinuierlich automatisch aktualisiert, um neue Bedrohungen und Sicherheitsrisiken zu behandeln, beispielsweise durch regelmäßige Microsoft-Sicherheitsupdates jeden zweiten Dienstag im Monat.
NIS, das eine Signaturkomponente in Bezug auf Sicherheitsrisiken des Forefront TMG-Eindringschutzsystems darstellt, verfügt über eine vordefinierte, empfohlene Standardrichtlinie. Darüber hinaus ermöglicht NIS eine gezielte Steuerung und Richtlinienkonfiguration gemäß der spezifischen Anforderungen Ihrer Organisation sowie im Hinblick auf Problembehandlungs- und Überprüfungsanforderungen. Weitere Informationen finden Sie unter Planen des Schutzes vor bekannten Sicherheitsrisiken (https://go.microsoft.com/fwlink/?LinkId=168616).
Zwischenspeicherung – Für Organisationen mit hohem Datenverkehr wird von Forefront TMG eine Zwischenspeicherungsfunktion bereitgestellt, mit der der Benutzerkomfort bei der Internetnutzung optimiert und die Bandbreitenkosten reduziert werden können. Durch den zentralisierten Zwischenspeicherungsmechanismus von Forefront TMG können Sie festlegen fest, wie Objekte im Cache zwischengespeichert bzw. wie diese abgerufen und vom Cache zur Verfügung gestellt werden können. Weitere Informationen finden Sie unter Planen der Webinhalt-Zwischenspeicherung (https://go.microsoft.com/fwlink/?LinkId=168617).
Für Zweigstellenbereitstellungen ist auch die Interoperabilität von Forefront TMG und BranchCache möglich, einem Feature von Windows 7 und Windows Server 2008 R2, mit dem das Zwischenspeichern von Webinhalten auf einem WAN (Fernnetz, Wide Area Network) auf Computern in einer lokalen Zweigstelle ermöglicht wird. Das Ergebnis sind eine verbesserte Antwortzeit der Anwendung und eine Verringerung des WAN-Netzwerkverkehrs. Weitere Informationen hierzu finden Sie in den folgenden englischsprachigen Artikeln:
Hinweis
Für die Malwareüberprüfung und NIS werden Microsoft-Produktupdates verwendet, damit die Schutzdefinitionen ständig auf dem neuesten Stand bleiben. Weitere Informationen finden Sie unter Planen der Aktualisierungen von Schutzdefinitionen.
Ermitteln der Secure Web Gateway-Bereitstellungsziele
In der folgenden Tabelle sind die möglichen Bereitstellungsziele für das Forefront TMG Secure Web Gateway aufgeführt. Nachdem Sie die für Ihr Unternehmen relevanten Ziele ermittelt haben, können Sie sie den relevanten Forefront TMG-Features zuordnen.
| Bereitstellungsziel | Forefront TMG-Features |
|---|---|
Schutz Ihres Unternehmens vor Malware und anderen webbasierten Bedrohungen |
|
Schutz des Netzwerks vor Sicherheitsrisiken für Ihr Betriebssystem und Ihre Anwendungen |
NIS |
Reduzierung der Bandbreitenkosten |
|
Verbesserung der Leistung und Reaktionszeiten für Webanforderungen |
Zwischenspeicherung |