Forefront TMG (бывш. Microsoft ISA) - предлагался Microsoft как комплекс сетевой безопасности с ключевыми компонентами:
HTTP proxy; (именно так TMG, чаще всего используется в крупных организациях)
Firewall;
VPN; (этот функционал заложен в TMG, чаще в небольших и средних организациях )
Публикация приложений.
01.12.2012 – окончание продаж Forefront TMG как отдельного продукта (остаются доступны только OEM-лицензии)
14.04.2015 – окончание основного цикла поддержки Forefront TMG
31.12.2015 – окончание поддержки Forefront TMG Web Protection Service (WPS)
14.04.2020 – окончание поддержки программно-аппаратных комплексов Forefront TMG со стороны OEM-партнеров
14.04.2020 – окончание расширенного цикла поддержки Forefront TMG
Microsoft, при необходимости замены Forefront TMG, предлагает партнерам использовать решения сторонних компаний. В качестве таких решений, мы предлагаем устройства McAfee и CheckPoint.
При принятии решения о замене TMG самое главное не ошибиться с выбором, очень важно понять какую функцию выполнял TMG. В разрезе безопасности выглядит это следующим образом:
Forefront TMG
1) Защита доступа в интернет (Firewall, VPN) CheckPoint SWG
2) Контроль интернет доступа (в качестве Proxy-сервера) McAfee WG
McAfee Web Gateway (MWG) – Решение класса Web Security Gateway. Является идеальной заменой для TMG который выполняет функции защищенного прокси-сервера.
UTM CheckPoint Security Web Gateway (SWG) – Отлично подходит в качестве замены TMG который выполняет функции межсетевого экрана и VPN сервера, иными словами CheckPoint SWG это решение для защиты Web-трафика с возможностью глубокого анализа событий ИБ.
Замена Microsoft TMG на решения CheckPoint:
Задачи безопасности, которые выполняет TMG, и даже больше, полностью выполняются программно-аппаратными решениями UTM CheckPoint UTM-1. Система может быть установлена как на физических устройствах производимых компанией и сторонними производителями, так и на виртуальных серверах. Некоторые устройства линейки UTM-1 имеют возможности для добавления необходимого количества и типа сетевых интерфейсов. Решения на основе программно-аппаратных средств компании CheckPoint, в полной мере закрывают не только задачи решаемые TMG, но и позволяют реализовать комплексный подход к решению проблем ИБ в рамках одного производителя и поставщика решений безопасности, в компаниях любого размера. Продукция компании CheckPoint выделяется удобным централизованным управлением всеми устройствами, а также логгированием событий и построением отчетов, как в реальном времени, так и за определенный период. Консоль управления имеет понятный графический интерфейс, разобраться с ними администраторам Microsoft не составит труда; также присутствует полный комплект инструментов командной строки, дублирующий все настройки графического Web-интерфейса на случай начальной настройки и обслуживания системы.
Преимущества CheckPoint перед Microsoft TMG:
Межсетевой экран с запатентованной технологией Stateful Inspection. Данная технология позволяет контролировать сетевой трафик и содержит гибкий механизм проверки потока данных и принятия решений в отношении его защиты на основе предварительно сохраненной таблицы состояний. Программный блейд Check Point VPN обеспечивает безопасное соединение к корпоративным сетям, региональным отделениям, удаленным и мобильным пользователям, бизнес-партнерам. Существует несколько вариантов подключения: клиент CheckPoint Mobile (Apple OS, Android OS, Windows Phone), SSL VPN Портал, защищенная рабочая область (виртуальный рабочий стол), двухфакторная аутентификация, клиент по требованию. Программный блейд CheckPoint «Application Control» - позволяет идентифицировать огромное количество приложений, благодаря чему для конкретного пользователя/группы пользователей можно выборочно блокировать Torrent, Skype, DropBox, ICQ, RDP, SSH и еще более 5000 приложений и протоколов. Данное решение препятствует посещению сотрудниками посторонних и нежелательных web-сайтов и помогает организациям обеспечивать безопасность и контроль тысячи различных приложений Web 2.0 и интернет-приложений. Программный блейд CheckPoint IPS — отличная система предотвращения вторжений. На протяжении многих лет этот факт подтверждается независимыми исследовательскими лабораториями по ИБ, а также реальным пользовательским опытом, в том числе среди российских потребителей. В то время как TMG нельзя серьёзно относить к устройствам IPS/IDS. «Anti-Bot + Anti-Virus» - этот блейд защищает от угроз, передаваемых по протоколам HTTP, FTP, SMTP и POP3. Модуль Anti-Bot выявляет уже зараженные ПК в организации по специфической сетевой активности и блокирует сетевую активность вредоносных модулей на них.
Замена Microsoft TMG на решения McAfee:
В случае если TMG использовался как прокси-сервер для контроля доступа к ресурсам сети интернет – отличным вариантом замены будет McAfee WG. Основные задачи MWG - препятствовать проникновению вредоносного ПО (вирусы, трояны, черви и пр.) в корпоративную сеть при использовании доступа в Интернет (включая анализ поведения динамических элементов на веб-страницах, включая Java-script, ActiveX и т.д.). MWG обеспечивает максимально гранулярный контроль использования доступа в Интернет: URL фильтрация по категориям, фильтрация по репутации IP\домена\URL, фильтрация по типам файлов, назначение квот по объему\времени, ограничение полосу пропускания по различным критериям, контроль использования веб-приложений и пр. Модуль написания политики фильтрации в McAfee Web Gateway, например, предоставляет более 500 критериев для максимально гранулярного составления политики под любые задачи, проще говоря возможность тонкой настройки всех правил и политик присутствуетJ.
McAfee WG представлен как в виде аппаратно-программного комплекса, так и в виде софта. Поддерживает централизованное управление всеми шлюзами с любого другого через веб консоль, так же поддерживает иерархию управления, проще говоря, система управления полностью настраивается под любые требования.
Преимущества McAfee перед Microsoft TMG:
В McAfee WG используется одновременно 2 антивируса, по принципу эшелонированной защиты. Все решения McAfee могут использовать в своей работе информацию о вредоносных объектах из глобальной базы GTI, информация в которую добавляется со всех решений McAfee по всему миру, что позволяет использовать проактивный подход к безопасности. При необходимости расширения функционала безопасности до FW/VPN/IPS стоит совместно использовать McAfee NGFW (Stonesoft).
Огромным плюсом выбора McAfee является возможность приобретения McAfee WG вместе с McAfee Email Gateway (для защиты почты) в составе бандла McAfee Content Security Suite по цене на 10% дороже чем лицензия на McAfee WG! McAfee Email Gateway, как и McAfee WG, может поставляться в виде физических устройств или образов виртуальных устройств под VMWare ESX\ESXi (лицензия не ограничивает количество виртуальных устройств и количество кластеров). Кроме того, внедрение McAfee WG в инфраструктуру, дает в дальнейшем практически неограниченные возможности для расширения функционала всей системы безопасности, такими решениями как: McAfee DLP для защиты от утечек информации, McAfee NSP для защиты от сетевых угроз, McAfee ATD для анализа кода в изолированной среде, McAfee SIEM для корреляции событий ИБ и другими средствами защиты McAfee, в конечном итоге позволяя закрыть все нерешенные вопросы ИБ в организации заказчика под единой системой управления!
Сравнительная таблица.
|
Характеристика |
Check Point SWG |
TMG |
McAfee WG |
|
Функционал Web Proxy |
|||
|
Режимы работы |
Transparent Proxy, Non-Transparent Proxy, Router, Bridge. |
Явный прокси, роутер. |
Explicit proxy (явный прокси), Transparent router (маршрутизатор), Transparent bridge (прозрачный мост), Transparent proxy с поддержкой wccp |
|
Категории URL |
+ |
+ |
+ 119 категорий ~ 450М URL |
|
Категории приложений |
+ Обновляемая база сигнатур приложений всех типов |
+/- |
+ Обновляемая база приложений, 1024 приложения разбиты на 28 категорий |
|
Аутентификация пользователей |
+ Агентская/без агентская, через свой Web интерфейс и внутреннюю БД, MS AD, RADIUS, LDAP |
+ Агентская/без агентская, MS AD, RADIUS |
+ Без агентская, через свой Web интерфейс и внутреннюю БД, MS AD RADIUS, LDAP, eDirectory |
|
Интеграция с MS AD |
+ |
+ |
+, (NTLM v1/v2, LDAP, Kerberos), |
|
Система отчетности |
Check Point Smart Event – входит в состав лицензии |
Сторонний софт |
McAfee Web Reporter/McAfee Content Security Reporter – входит в состав лицензии |
|
Дешифровка HTTPS |
+ |
+/- |
+ |
|
Сетевой функционал (router, VPN, прочее) |
|||
|
Маршрутизация |
Динамическая, статическая |
Статическая реализована на базе возможностей Windows Server |
Динамическая (ospf, bgp), статическая |
|
NAT, публикация приложений |
+ |
+ |
+ |
|
Расширенная публикация приложений, в том числе Reverse Proxy |
+ |
+ |
+ |
|
Отказоустойчивость каналов провайдеров |
+, |
+/- |
-, Нет необходимости, т.к. работает за FW |
|
Отказоустойчивость самой системы (кластеризация) |
+, |
+/- |
+, VRRP (балансировка нагрузки без использования внешних балансировщиков) |
|
QoS |
+, |
+/- |
+, (Bandwidth management per Request) |
|
Функционал безопасности |
|||
|
Firewall |
+, |
+ |
+, (графическая надстройка над iptables) |
|
IPS |
+, больше 1000 настраиваемых сигнатур |
+/-, очень ограничены сигнатуры около десятка |
-, Нет необходимости, т.к. работает за системами защиты (например, McAfee NGFW (Stonesoft)) |
|
Антиспам |
+ |
- |
+/- защита почты с помощью Mail Gateway при доплате в 10% до бандла McAfee Content Security Suite |
|
Антивирус |
+ |
+ |
+, 2 движка, avira+mcafee, сигнатурный безсигнатурный. |
|
Функционал управления |
|||
|
Графическая консоль управления под Windows |
+ |
+ |
+ web консоль |
|
CLI консоль |
SSH, Unix like shell |
Cmd, powershell |
+ |
|
Централизованное управление |
Универсальное для всех продуктов компании |
Специализированное для FF TMG |
|
