Wstęp do Forefront TMG 2010 – część 1
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2011-02-09
Wprowadzenie
Niniejszym artykułem rozpoczynamy cykl materiałów poświęconych środowisku Forefront. Na wstępie omówimy zagadnienia związane z bezpieczeństwem brzegowym – punktem styku z Internetem lub innym sieciami. Tu rolę sztandarowego produktu pełni Forefront Threat Management Gateway 2010.
Trochę historii
Serwer ISA 2006 był ostatnim 32-bitowym produktem odpowiedzialnym za zabezpieczenie punktu styku z Internetem lub innymi sieciami. Dla zabezpieczenia systemów 64-bitowych (Windows Server 2008) Microsoft wprowadził trzy nowe produkty z rodziny Forefront Edge Security. Są to Forefront Threat Management Gateway Medium Business Edition (zwany dalej w skrócie Forefront TMG MBE) oraz Forefront Threat Management Gateway 2010 w dwóch wersjach – Standard oraz Enterprise Edition.
Wraz z pojawieniem się rodziny produktów Windows Server 2008 zaistniała konieczność udostępnienia klientom nowego rozwiązania zapewniającego ochronę punktu styku z Internetem i innymi sieciami. Jako pierwszy został zaprezentowany produkt mający być bezpośrednim następcą serwera ISA 2006 Standard Edition, choć wbudowano w niego pewne mechanizmy znane z wersji Enterprise Edition serwera ISA 2006. Jego pojawienie się wynika z braku możliwości instalacji serwera ISA 2006 na serwerze Windows Server 2008 (w związku z nowym jądrem systemu i przeprojektowanymi funkcjonalnościami obsługi „sieci”).
Forefront TMG MBE występuje w dwóch odmianach – jako samodzielny produkt dla firm mających podpisane umowy wolumenowe oraz jako komponent zestawu Windows Essentials Business Server 2008. Jest to kolejny produkt występujący wyłącznie jako 64-bitowy, może być zatem instalowany jedynie w systemie Windows Server 2008 edycja x64 (aczkolwiek sam jest procesem 32-bitowym).
Przeznaczenie
Produkty Forefront TMG MBE oraz TMG 2010 mogą pełnić w organizacji wiele funkcji. Poza najważniejszą – tj. funkcjonalnością firewalla (praca od warstwy sieciowej do aplikacyjnej, w pełnym trybie statefull), mogą pełnić również funkcje serwera dostępowego dla komunikacji VPN zarówno dla klientów indywidualnych, jak i w trybie site-to-site, jak również rolę serwera Web Proxy oraz Reverse Proxy.
Serwery TMG zapewniają filtrowanie na warstwie aplikacji dzięki dostępnym filtrom dla wielu wykorzystywanych powszechnie protokołów warstwy aplikacji, jak: HTTP, SMTP, POP3 czy tak powszechnie wykorzystywany w środowisku Microsoft protokół RPC. Dzięki pełnej integracji z usługą Active Directory posiadają możliwość bezpośredniego wykorzystania jej funkcjonalności, takich jak np. automatyczne uwierzytelnianie czy przekazywanie poświadczeń z wykorzystaniem protokołu kerberos. Mogą być również instalowane jako członkowie grup roboczych dla zapewnienia zwiększonego poziomu bezpieczeństwa.
Zarządzanie
TMG posiada intuicyjny, graficzny panel administracyjny w postaci przystawki (ang. Snap-in) do konsoli mmc, wzorowany na znanym z serwera ISA 2006. Produkt współpracuje z wieloma klientami, nie tylko opartymi na systemach Windows. Zapewnia buforowanie treści pobieranej z sieci (mechanizm Web Caching), która w wersji TMG 2010 Enterprise Edition – dzięki protokołowi CARP – zapewnia funkcjonalność określaną jako rozproszony Web Caching.
Forefront TMG posiada też zaawansowane funkcje zarządzania, które ułatwiają poprawę bezpieczeństwa sieci dzięki unikaniu błędnych konfiguracji. Funkcje interfejsu użytkownika obejmują okienka zadań, okienka pomocy kontekstowej oraz kreatora rozpoczęcia pracy. Nowe kreatory konfiguracji ułatwiają publikowanie produktów Windows SharePoint Services, Exchange i ogólnych witryn sieci WWW. Produkt został wyposażony w intuicyjny i prosty mechanizm eksportu i importu konfiguracji do i z plików w formacie .xml.
Produkt Forefront TMG 2010 umożliwia konfigurację jednej lub więcej sieci, z których każda może mieć różne relacje z innymi sieciami. Polityki dostępu są definiowane względem dowolnej sieci, ale niekoniecznie względem określonej sieci wewnętrznej. Funkcja wielu sieci obsługuje również sieci określane jako sieci typu perimeter, znane także jako strefa zdemilitaryzowana albo DMZ. Dodatkowo obsługiwane są też podsieci objęte działaniem mechanizmu NAT, co ułatwia konfigurowanie sposobu, w jaki klienci w różnych sieciach uzyskują dostęp do sieci DMZ lub sieci wewnętrznych.
Środowisko umożliwia definiowanie relacji typu routing — dla dwukierunkowej komunikacji między sieciami. Niekiedy jednak może być potrzebna bezpieczniejsza, mniej przezroczysta komunikacja między sieciami. Dla takich scenariuszy można zdefiniować relację typu NAT. Produkt TMG został wyposażony również w możliwość określenia typu relacji NAT 1:n lub 1:1, co jest bardzo przydatne przy udostępnianiu pewnego rodzaju zasobów i usług jak komunikacja VOIP (SIP).
Dane przesyłane między sieciami w relacji typu NAT przechodzą pełną inspekcję ruchu w trybach: packet filtering, stateful filtering oraz application layer filtering – dzięki pośrednictwu wbudowanych filtrów aplikacji. Polityka HTTP umożliwia zaporze sieciowej wykonywanie głębokiej inspekcji ruchu HTTP dzięki filtrom aplikacyjnym typu Web filter. Zakres inspekcji jest konfigurowany na podstawie reguł. Korzystając z tej funkcji, można konfigurować niestandardowe ograniczenia przychodzącego i wychodzącego ruchu bazującego na protokole HTTP.
Rozszerzona obsługa klientów wewnętrznych, typu SecureNAT, zapewnia dostęp do Internetu bez konieczności instalowania w systemie użytkownika oprogramowania klienta TMG. To rozwiązanie zwiększa bezpieczeństwo sieci korporacyjnych, wymuszając na klientach typu SecureNAT określoną politykę ruchu.
TMG jako Firewall i serwer Proxy
Produkt posiada bogate możliwości definiowania obiektów sieciowych typu: komputery, sieci, zestawy sieci, zakresy adresów, podsieci, zestawy komputerów i zestawy nazw domen. Obiekty sieciowe służą do definiowania ustawień źródłowych i docelowych dla reguł zapory. W celu utworzenia obiektu sieciowego nie trzeba wychodzić z kreatora reguł.
Kreator reguł zapory umożliwia tworzenie niestandardowych grup firewalla, składających się z grup istniejących wstępnie w bazie danych kont lokalnych lub domenie usług katalogowych Active Directory. Zwiększa to elastyczność kontroli dostępu na podstawie członkostwa użytkowników lub grup, ponieważ administrator może tworzyć niestandardowe grupy zabezpieczeń, korzystając z istniejących grup. Dzięki temu administrator firewalla nie musi być administratorem domeny, aby mógł tworzyć niestandardowe grupy zabezpieczeń na potrzeby kontroli dostępu ruchu przychodzącego i wychodzącego.
Reguły zapory mają postać uporządkowanej listy, na której parametry połączenia są porównywane w kolejności ze zdefiniowanymi regułami. Reguły przetwarzane są w dół listy, aż znaleziona zostanie reguła pasująca do charakterystyki danego ruchu. Takie podejście do polityki firewalla ułatwia stwierdzenie, dlaczego określone połączenie jest dozwolone lub zabronione. Rozszerzone reguły umożliwiają definiowanie źródła i celu dla każdego protokołu, do którego może uzyskać dostęp użytkownik lub grupa. Znacznie zwiększa to elastyczność kontroli dostępu ruchu przychodzącego i wychodzącego. Reguły mogą być grupowane, co znacznie ułatwia poruszanie się administratorowi TMG po dużej liście utworzonych reguł zapory.
Kreator konfiguracji dostępu do sieci WWW umożliwia klientom skonfigurowanie dostępu do sieci, w tym ochronę przed złośliwym oprogramowaniem oraz blokowanie dostępu do niepożądanych miejsc docelowych przy użyciu zestawów adresów URL lub domen. Mechanizm ten (określany jako URL filtering) został bardzo przebudowany i rozszerzony zwłaszcza w Service Pack 1 do TMG 2010, jako dodatkowy komponent filtrujący dostęp do witryn udostępniających niepożądaną treść z wielu tzw. kategorii (URL category: Games, chat, Blogs, Pornography, Spyware i wiele innych).
Produkt umożliwia zarządzanie protokołami obsługi mediów strumieniowych oraz aplikacji głosowych i wideo, a jego łatwy w użyciu kreator pozwala na ich proste definiowanie. Kontrola numeru portu źródłowego i docelowego dla dowolnego protokołu, dla którego jest tworzona reguła zapory, zapewnia administratorowi wysoki poziom kontroli nad tym, jakie pakiety przychodzące i wychodzące przez firewall są dozwolone. Konfigurowanie opcji IP daje precyzyjną kontrolę nad zaawansowanymi funkcjonalnościami warstwy internetowej protokołu TCP/IP.
Politykę FTP można skonfigurować tak, aby umożliwić użytkownikom przekazywanie i pobieranie danych przez FTP. Można również ograniczyć dostęp użytkowników FTP tylko do pobierania. Dostępna jest opcja wyboru trybu działania protokołu FTP Active/Passive. Opcji tej bardzo brakowało w poprzednim produkcie, tzn. w ISA 2006.
Korzystając ze scentralizowanego mechanizmu reguł buforowania produktu, można skonfigurować sposób pobierania i obsługiwania obiektów przechowywanych w pamięci podręcznej. Mechanizm buforowania dla danych odbieranych za pośrednictwem funkcjonalności BITS (ang. Background Intelligent Transfer Service) dostępny jest dla dowolnej utworzonej reguły buforowania. Zmniejszanie rozmiarów pobieranych danych możliwe jest dzięki użyciu algorytmów kompresji podczas transmisji opartej na protokole HTTP. Produkt zawiera też nową funkcję nadawania priorytetów strumieniom danych protokołu HTTP (udostępnianą przez filtr sieci Web Diffserv), która skanuje adres URL lub domenę i przypisuje priorytet danemu strumieniowi przy użyciu identyfikatorów Diffserv.
Publikacja zasobów wewnętrznych
Publikacja serwera na alternatywnych numerach portów wymaga jedynie prostej modyfikacji reguły publikowania. Forefront odbiera połączenie na jednym numerze portu i przekierowuje żądanie do innego numeru portu na publikowanym serwerze.
Umieszczanie serwerów za firewallem (w sieci korporacyjnej lub sieci DMZ) oraz publikowanie ich usług przy wykorzystaniu ulepszonego kreatora bezpiecznego publikowania serwerów sieci WWW pozwala użytkownikom na zdalny, szyfrowany protokołem SSL dostęp do opublikowanych serwerów sieci WWW. Mapowanie ścieżek dla reguł publikowania w sieci WWW zwiększa elastyczność publikowania serwerów, ponieważ możliwe jest przekierowanie ścieżki wysłanej do firewalla przez użytkownika na dowolnie wybraną ścieżkę na opublikowanym serwerze sieci WWW. Zachowywanie źródłowego adresu IP w regułach publikowania w sieci WWW na postawie reguł umożliwia wybór, czy firewall powinien zastępować oryginalny adres IP własnym adresem, czy przekazywać oryginalny adres IP zdalnego klienta do docelowego serwera [mechanizm określony jako Full-NAT i Half-NAT lub jako DNAT i SNAT]. TMG 2010 obsługuje funkcję tłumaczenia łączy, umożliwiającą utworzenie słownika definicji dla wewnętrznych nazw komputera (ang. Link translation), które będą mapowane na nazwy znane publicznie. Tłumaczenie łączy jest implementowane automatycznie podczas publikowania w sieci WWW.
Uwierzytelniony dostęp
Produkt zapewnia uwierzytelnianie użytkowników za pomocą wybudowanych funkcji uwierzytelniania Windows, LDAP, RADIUS lub RSA SecurID. Dla publikowanych serwerów WWW zapewnia mechanizm jednokrotnego logowania SSO (ang. Single Sign On) przy przejściu pomiędzy witrynami. Możliwe jest również rozszerzanie wbudowanych mechanizmów uwierzytelniania o dodatkowe – przy użyciu zestawu SDK. Produkt wspiera obsługę serwera RADIUS do uwierzytelniania klienta typu Web Proxy. Także reguły publikowania w sieci WWW mogą używać serwera RADIUS do uwierzytelniania połączeń zdalnego dostępu. Delegowanie uwierzytelniania w trybie Basic ułatwia ochronę opublikowanych witryn sieci WWW przed nieuwierzytelnionym dostępem, wymagając, aby przed przekazaniem połączenia do opublikowanej witryny sieci WWW firewall uwierzytelnił użytkownika.
Produkt wspiera również uwierzytelnianie połączeń zdalnych przy użyciu funkcji uwierzytelniania dwuskładnikowego SecurID. Zapewnia to wysoki poziom bezpieczeństwa uwierzytelniania, ponieważ użytkownik musi „coś wiedzieć” i „coś posiadać”, aby uzyskać dostęp do opublikowanego serwera sieci WWW. Uwierzytelnianie oparte na formularzach jest obecnie dostępne dla wszystkich opublikowanych witryn sieci WWW, a nie tylko dla witryn Outlook Web Access. Zarządzanie sesją obejmuje ulepszoną kontrolę sesji opartych na plikach cookie, zapewniając tym samym większe bezpieczeństwo. Uwierzytelnianie LDAP umożliwia uwierzytelnianie użytkowników niebędących członkami domeny.
Współpraca z Exchange oraz SharePoint
TMG 2010 zapewnia generowanie form używanych np. przez witryny Outlook Web Access na potrzeby uwierzytelniania typu Form-based. Reguły publikowania serwerów pocztowych zapewniają użytkownikom zdalnym połączenie z serwerem Exchange przy użyciu w pełni funkcjonalnego klienta MAPI programu Microsoft Office Outlook przez Internet. Kreator publikowania Outlook Web Access zapewnia zdalny dostęp za pośrednictwem połączeń SSL bez użycia klientów pocztowych do korporacyjnej poczty elektronicznej i serwerów Exchange, w tym 2007/2010. Za pomocą kreatora można utworzyć automatycznie wszystkie niezbędne obiekty sieciowe wykorzystywane przez reguły publikacji zasobów. Nowy kreator publikuje wiele witryn produktu Windows SharePoint Services, w tym SharePoint 2010 jednocześnie (od Service Pack 1), oraz umożliwia automatyczne tłumaczenie łączy (linków). Wykorzystanie mechanizmów antyspamowych i antywirusowych dla ochrony poczty elektronicznej wymaga integracji roli Edge serwera Exchange 2007/2010 oraz produktu Forefront Protection 2010 for Exchange Servers. Zarządzanie całością kompleksowej ochrony przeniesione zostało do konsoli Forefront TMG 2010 – na poziom E-mail Policy.
Serwer VPN
Kreator łączności VPN umożliwia automatyczną konfigurację połączenia VPN typu site-to-site między dwoma oddzielnymi biurami. Zawiera też lepiej zintegrowany mechanizm wirtualnych sieci prywatnych, oparty na funkcjonalnościach znanych z systemów Windows Server 2003 i Windows 2000 Server. Dostępny jest również nowy protokół tunelowania SSTP (w TMG 2010).
Klienci VPN konfigurowani są jako oddzielna strefa sieci. Dzięki temu możliwe jest tworzenie różnych polityk dla klientów VPN. Reguły zapory sprawdzają żądania od klientów VPN również w trybie statefull oraz dynamicznie otwierają połączenia na podstawie określonej polityki dostępu.
Inteligentny filtr aplikacji PPTP umożliwia kompleksowe zarządzanie połączeniami VPN tego typu, pełniąc rolę zarówno serwera, jak i przezroczystego tunelu dla sesji VPN inicjowanych z wnętrza sieci. Forefront TMG obsługuje również funkcjonalność NAT-T dla ruchu L2TP/IPSec oraz wspiera tunele oparte na „czystym” IPSec dla urządzeń nieposiadających obsługi L2TP/IPSec. Zapewnia to współdziałanie produktu TMG 2010 z szeroką gamą rozwiązań VPN innych firm. Filtrowanie ruchu w trybie statefull oraz inspekcja komunikacji przechodzącej przez tunel VPN typu site-to-site zapewniają kontrolę zasobów, do których określone hosty lub sieci mogą mieć dostęp po drugiej stronie łącza. System umożliwia również integrację z mechanizmem ochrony sieci NAP (ang. Network Access Protection).
Zaawansowane raportowanie i monitorowanie
Konsola zarządzania umożliwia przeglądanie wszystkich aktywnych połączeń z firewallem. W widoku sesji można sortować lub rozłączać poszczególne sesje bądź grupy sesji. Ponadto, używając wbudowanej funkcji filtrowania sesji, można filtrować wpisy w interfejsie sesji, aby skoncentrować się na sesjach interesujących administratora.
Przystawka zarządzania produktem umożliwia przeglądanie logów firewalla, funkcjonalności Proxy oraz logów w czasie rzeczywistym, a także ich rejestrowanie w pliku. Zapytania do logów są konfigurowalne, co pozwala na wybór informacji ze ściśle określonych pól logów oraz określonych ram czasowych. Wyniki pojawiają się w przystawce zarządzania produktu TMG 2010 i mogą być kopiowane do schowka, a następnie wklejane do innej aplikacji w celu przeprowadzenia bardziej szczegółowych analiz. Rozszerzone funkcje dostosowywania raportów umożliwiają dodawanie większej ilości informacji w raportach serwera TMG. Kreator zadań raportowania umożliwia przygotowanie raportów w trybie automatu określonego harmonogramem, z możliwością automatycznego zapisywania kopii raportu w folderze lokalnym lub w sieciowym udziale plików. Dodatkowa funkcjonalność umożliwia też mapowanie folderów lub udziałów plikowych na katalog wirtualny witryny sieci WWW, aby zapewnić innym użytkownikom dostęp do wygenerowanego raportu. Po wygenerowaniu raportu dostępna jest opcja wysyłania powiadomienia za pomocą e-maili. Raporty oparte są na informacjach zawartych w podsumowaniach logów. Użytkownik może łatwo dostosować czas tworzenia podsumowań logów, co daje większą elastyczność podczas określania pory dnia, w której są tworzone raporty.
Oprócz plików .txt i baz danych Microsoft SQL Server do przechowywania logów może też służyć plik .mdb. Logowanie do lokalnej bazy danych zwiększa szybkość i elastyczność zapytań. Serwer zapewnia również logowanie do komputera z bazą danych SQL Server zlokalizowaną na innym komputerze w sieci wewnętrznej. To rozwiązanie zostało zoptymalizowane tak, aby zapewnić dużo większą wydajność.
Pakiet SCOM do zarządzania umożliwia monitorowanie zdarzeń na poziomie korporacji oraz konsolidację typowych działań firewalla. Dostępny kompleksowy zestaw SDK narzędzi programowania umożliwia tworzenie samodzielnych dodatków i rozszerzeń funkcjonalności produktu TMG 2010. Dzięki temu rozwiązaniu niezależni dostawcy mogą oferować produkty, na przykład programy do wykrywania wirusów, narzędzia do zarządzania oraz programy do filtrowania i raportowania czy ograniczania pasma ruchu sieciowego, które działają i integrują się z produktem TMG 2010.
Ochrona przed szkodliwym oprogramowaniem i spamem
Filtr aplikacyjny HTTP umożliwia zablokowanie wszystkich prób nawiązania połączenia z plikami wykonywalnymi systemu operacyjnego niezależnie od rozszerzenia pliku. Dodatkowe opcje filtra to także polityka typu „zezwalaj na wszystkie rozszerzenia oprócz określonej grupy rozszerzeń” lub „blokuj wszystkie rozszerzenia oprócz określonej grupy”. Inspekcja HTTP może ułatwić wykorzystanie „sygnatur HTTP”, które można następnie porównywać w komunikatach „RequestHeader” i „ReplyHeader”. Zapewnia to precyzyjną kontrolę nad tym, do jakiej zawartości mogą mieć dostęp użytkownicy wewnętrzni i zewnętrzni za pośrednictwem firewalla. Filtr umożliwia ustawienie kontroli dostępu do witryn WWW wyłącznie przez określone metody protokołu HTTP. Na przykład można ograniczyć metodę HTTP POST, aby uniemożliwić użytkownikom wysyłanie danych do witryn sieci WWW.
W celu ochrony przed atakami osadzonymi w ruchu HTTPS mostkowanie SSL (ang. SSL Bridging) umożliwia deszyfrowanie, sprawdzanie i ponowne szyfrowanie danych chronionych protokołem SSL przez produkt TMG 2010.
Oprogramowanie TMG 2010 oraz TMG MBE zawiera opcjonalną, opartą na subskrypcji internetowej usługę antywirusową mającą chronić użytkowników sieci przed złośliwym oprogramowaniem. Funkcje antywirusowe (dla protokołu HTTP wyłącznie) zapewniają czyszczenie zainfekowanych plików, blokowanie plików zawierających zagrożenia o małej i średniej ważności, podejrzanych plików, uszkodzonych plików, plików, których nie można przeskanować, plików zaszyfrowanych. Dodatkowo umożliwia blokowanie plików, gdy czas skanowania przekracza maksymalny czas skanowania zdefiniowany przez użytkownika; plików, których rozmiar przekracza maksymalny zdefiniowany rozmiar, blokowanie archiwów, których rozmiar zawartości po rozpakowaniu przekracza maksymalny zdefiniowany rozmiar, czy też blokowanie archiwów, których poziom głębokości przekracza maksymalny zdefiniowany poziom. Kolejna funkcjonalność to elastyczność wykluczania witryn z inspekcji na podstawie adresów IP, zestawów nazw domen czy zestawów adresów URL.
Produkty Forefront TMG wyposażone zostały w funkcję stopniowego przepuszczania do użytkownika końcowego fragmentów zawartości w miarę sprawdzania plików, aby zwiększyć wygodę użytkownika podczas przeprowadzania inspekcji chroniącej przed złośliwym oprogramowaniem. Mechanizm ten określany jest jako Content Trickling. Produkt może również wysyłać powiadomienia informujące użytkownika o tym, że trwa inspekcja żądanej zawartości.
Ochrona przed szkodliwym oprogramowaniem licencjonowana jest na rok w modelu dla użytkownika. Klienci, którzy zakupili Windows Essential Business Server 2008, otrzymują roczną subskrypcję, która po roku wymaga odnowienia. Wersja autonomiczna wymaga zakupu subskrypcji już na samym początku, niezależnie od zakupu samego produktu Forefront TMG MBE.
Wersje produktu
Produkt Forefront Threat management Gateway występuje w dwóch (a właściwie trzech) wersjach. Porównanie wersji przedstawiono w tabeli 1.1 poniżej. TMG MBE Medium Business Edition dostępny jest jako produkt samodzielny w ramach umów licencjonowania zbiorowego oraz jako komponent zintegrowany z Windows Essentials Business Server 2008. Dodatkowe porównanie funkcjonalności pomiędzy ISA 2006 a TMG MBE i TMG 2010 zebrano w tabeli 1.2.
Tabela 1.1. Porównanie funkcjonalności pomiędzy Forefront TMG MBE a Forefront TMG 2010 Standard i Enterprise Edition.
| Funkcjonalność | TMG MBE | TMG 2010 Standard | TMG 2010 Enterprise |
| Praca w środowisku Server 2008/2008 x64 | Na win 2k8 x64 jako proces 32-bitowy (tylko Windows Server 2008 x64) | TAK (wspierany jest zarówno Windows Server 2008 x64, jak i 2008 R2) | TAK (wspierany jest zarówno Windows Server 2008 x64, jak i 2008 R2) |
| Integracja z Windows Filtering Platform (WFP) | TAK | TAK | TAK |
| Ochrona antywirusowa dla filtru Web-Proxy | TAK – jako dodatkowo licencjonowany komponent | TAK – jako dodatkowo licencjonowany komponent | TAK – jako dodatkowo licencjonowany komponent |
| Web Access Policy | TAK | TAK | TAK |
| Raportowanie przez SQL Reporting Service (SRS) | Tak (SQL 2005 Express Edition) | TAK SQL 2008 Express Edition | Tak SQL 2008 (Standard lub Enterprise) |
| SSTP VPN oraz NAP | NIE | TAK | TAK |
| ISP LoadBalancing | NIE | TAK | TAK |
| Rozszerzony NAT | NIE | TAK | TAK |
| Ochrona antywirusowa poczty elektronicznej (tylko SMTP) | NIE | TAK (poprzez integrację z Forefront Protection 2010 for Exchange) | TAK (poprzez integrację z Forefront Protection 2010 for Exchange) |
| Ochrona antyspamowa poczty elektronicznej (tylko SMTP) | NIE | TAK – poprzez integrację z rolą Edge serwera Exchange 2007 SP2/ 2010 oraz poprzez integrację z Forefront Protection 2010 for Exchange) | TAK – poprzez integrację z rolą Edge serwera Exchange 2007 SP2/ 2010 oraz poprzez integrację z Forefront Protection 2010 for Exchange) |
| URL Filtering | TAK – jako dodatkowo licencjonowany komponent | TAK – jako dodatkowo licencjonowany komponent | |
| Zaawansowane raportowanie | Tylko dla funkcjonalności antywirusowej | IPS, URL i wiele innych | IPS, URL i wiele innych |
| Praca w konfiguracji macierzowej (ARRAY configuration) | NIE | NIE | TAK |
| Praca w grupie roboczej | NIE | TAK | TAK |
| Wysoka dostępność i/lub load-balancing | NIE | NIE | TAK |
Tabela 1.2. Porównanie funkcjonalności pomiędzy ISA 2006 a Forefront TMG MBE i Forefront TMG 2010.
| Funkcjonalność | ISA 2006 | TMG MBE | TMG 2010 |
| Firewall na warstwie sieciowej | TAK | TAK | TAK |
| Firewall na warstwie transportowej (pełny statefull) | TAK | TAK | TAK |
| Firewall na warstwie aplikacyjnej (poprzez filtry aplikacyjne oraz filtry Web) | TAK | TAK | TAK |
| Funkcjonalność Web Proxy | TAK | TAK | TAK |
| Publikacja protokołu http (Basic OWA, SharePoint) | TAK | TAK | TAK |
| Publikacja Exchange (RPC over HTTPS) | TAK | TAK | TAK |
| IPSec VPN (Client i Site-to-Site) | TAK | TAK | TAK |
| Web caching, kompresja HTTP | TAK | TAK | TAK |
| Wsparcie dla Windows Server 2008 x64 /2008 R2 | NIE – tylko Windows Server 2003 x86 | TAK – tylko 2008 x64 (jako proces 32-bitowy) | TAK – zarówno 2008 x64 jak i 2008 R2 |
| Web antivirus, anti-malware | NIE | TAK | TAK |
| Uaktualniony interfejs użytkownika, zarządzanie oraz raportowanie | --- | TAK | TAK |
| E-mail anti-malware, anti-spam | NIE | NIE | TAK |
| URL filtering | NIE | NIE | TAK |
| Network Intrusion Prevention (IDS/IPS) | NIE | NIE | TAK |
| ISP redundancy (2 łącza, load-balancing lub fail-over) | NIE | NIE | TAK |
Licencjonowanie
W przypadku wersji Standard licencjonowana jest konfiguracja do czterech procesorów fizycznych. Wersja Enterprise nie ma ograniczeń ilości wykorzystywanych procesorów.
Wersje Standard i Enterprise dostępne są w ramach umów wolumenowych:
- Enterprise Agreement
- Enterprise Agreement Subscription
- Select
- Academic Select
- Government Select
- ISV Royalty
- OEM
- Open
- Open Value
- Open Value Subscription
- Server Provider License Agreement
- Campus and School Agreements
Natomiast wersja Standard dostępna jest również jako produkt detaliczny (FPP – ang. Full Packaged Product) u dystrybutorów/partnerów.
Produkt licencjonowany jest w modelu licencji na procesor fizyczny lub wirtualny. Nie są wymagane żadne licencje dostępowe CAL, jednakże komponent Forefront TMG Web Protection Service wymaga dodatkowej subskrypcji na każdego użytkownika lub urządzenie. Licencje oferowane są w identycznych kanałach dystrybucyjnych jak sam produkt TMG, z wykluczeniem kanałów:
- ISV Royalty
- OEM
- Open
- FPP
Autonomiczny produkt TMG MBE nie jest objęty ochroną Software Assurance i nie upoważnia do uaktualnienia do następnej wersji TMG.
Podsumowanie
W tym artykule poznaliśmy ogólnie funkcjonalności Forefront TMG 2010.
W kolejnym artykule omówimy zagadnienia wstępne związane z przygotowaniem środowiska do instalacji oraz wykorzystaniem narzędzia Forefront TMG Preparation Tool.