Forefront TMG (бывш. Microsoft ISA) - предлагался Microsoft как комплекс сетевой безопасности с ключевыми компонентами:
HTTP proxy; (именно так TMG, чаще всего используется в крупных организациях)
Firewall;
VPN; (этот функционал заложен в TMG, чаще в небольших и средних организациях )
Публикация приложений.
01.12.2012 – окончание продаж Forefront TMG как отдельного продукта (остаются доступны только OEM-лицензии)
14.04.2015 – окончание основного цикла поддержки Forefront TMG
31.12.2015 – окончание поддержки Forefront TMG Web Protection Service (WPS)
14.04.2020 – окончание поддержки программно-аппаратных комплексов Forefront TMG со стороны OEM-партнеров
14.04.2020 – окончание расширенного цикла поддержки Forefront TMG
Microsoft, при необходимости замены Forefront TMG, предлагает партнерам использовать решения сторонних компаний. В качестве таких решений, мы предлагаем устройства McAfee и CheckPoint.
При принятии решения о замене TMG самое главное не ошибиться с выбором, очень важно понять какую функцию выполнял TMG. В разрезе безопасности выглядит это следующим образом:
Forefront TMG
1) Защита доступа в интернет (Firewall, VPN) CheckPoint SWG
2) Контроль интернет доступа (в качестве Proxy-сервера) McAfee WG
McAfee Web Gateway (MWG) – Решение класса Web Security Gateway. Является идеальной заменой для TMG который выполняет функции защищенного прокси-сервера.
UTM CheckPoint Security Web Gateway (SWG) – Отлично подходит в качестве замены TMG который выполняет функции межсетевого экрана и VPN сервера, иными словами CheckPoint SWG это решение для защиты Web-трафика с возможностью глубокого анализа событий ИБ.
Замена Microsoft TMG на решения CheckPoint:
Задачи безопасности, которые выполняет TMG, и даже больше, полностью выполняются программно-аппаратными решениями UTM CheckPoint UTM-1. Система может быть установлена как на физических устройствах производимых компанией и сторонними производителями, так и на виртуальных серверах. Некоторые устройства линейки UTM-1 имеют возможности для добавления необходимого количества и типа сетевых интерфейсов. Решения на основе программно-аппаратных средств компании CheckPoint, в полной мере закрывают не только задачи решаемые TMG, но и позволяют реализовать комплексный подход к решению проблем ИБ в рамках одного производителя и поставщика решений безопасности, в компаниях любого размера. Продукция компании CheckPoint выделяется удобным централизованным управлением всеми устройствами, а также логгированием событий и построением отчетов, как в реальном времени, так и за определенный период. Консоль управления имеет понятный графический интерфейс, разобраться с ними администраторам Microsoft не составит труда; также присутствует полный комплект инструментов командной строки, дублирующий все настройки графического Web-интерфейса на случай начальной настройки и обслуживания системы.
Преимущества CheckPoint перед Microsoft TMG:
Межсетевой экран с запатентованной технологией Stateful Inspection. Данная технология позволяет контролировать сетевой трафик и содержит гибкий механизм проверки потока данных и принятия решений в отношении его защиты на основе предварительно сохраненной таблицы состояний. Программный блейд Check Point VPN обеспечивает безопасное соединение к корпоративным сетям, региональным отделениям, удаленным и мобильным пользователям, бизнес-партнерам. Существует несколько вариантов подключения: клиент CheckPoint Mobile (Apple OS, Android OS, Windows Phone), SSL VPN Портал, защищенная рабочая область (виртуальный рабочий стол), двухфакторная аутентификация, клиент по требованию. Программный блейд CheckPoint «Application Control» - позволяет идентифицировать огромное количество приложений, благодаря чему для конкретного пользователя/группы пользователей можно выборочно блокировать Torrent, Skype, DropBox, ICQ, RDP, SSH и еще более 5000 приложений и протоколов. Данное решение препятствует посещению сотрудниками посторонних и нежелательных web-сайтов и помогает организациям обеспечивать безопасность и контроль тысячи различных приложений Web 2.0 и интернет-приложений. Программный блейд CheckPoint IPS — отличная система предотвращения вторжений. На протяжении многих лет этот факт подтверждается независимыми исследовательскими лабораториями по ИБ, а также реальным пользовательским опытом, в том числе среди российских потребителей. В то время как TMG нельзя серьёзно относить к устройствам IPS/IDS. «Anti-Bot + Anti-Virus» - этот блейд защищает от угроз, передаваемых по протоколам HTTP, FTP, SMTP и POP3. Модуль Anti-Bot выявляет уже зараженные ПК в организации по специфической сетевой активности и блокирует сетевую активность вредоносных модулей на них.
Замена Microsoft TMG на решения McAfee:
В случае если TMG использовался как прокси-сервер для контроля доступа к ресурсам сети интернет – отличным вариантом замены будет McAfee WG. Основные задачи MWG - препятствовать проникновению вредоносного ПО (вирусы, трояны, черви и пр.) в корпоративную сеть при использовании доступа в Интернет (включая анализ поведения динамических элементов на веб-страницах, включая Java-script, ActiveX и т.д.). MWG обеспечивает максимально гранулярный контроль использования доступа в Интернет: URL фильтрация по категориям, фильтрация по репутации IP\домена\URL, фильтрация по типам файлов, назначение квот по объему\времени, ограничение полосу пропускания по различным критериям, контроль использования веб-приложений и пр. Модуль написания политики фильтрации в McAfee Web Gateway, например, предоставляет более 500 критериев для максимально гранулярного составления политики под любые задачи, проще говоря возможность тонкой настройки всех правил и политик присутствуетJ.
McAfee WG представлен как в виде аппаратно-программного комплекса, так и в виде софта. Поддерживает централизованное управление всеми шлюзами с любого другого через веб консоль, так же поддерживает иерархию управления, проще говоря, система управления полностью настраивается под любые требования.
Преимущества McAfee перед Microsoft TMG:
В McAfee WG используется одновременно 2 антивируса, по принципу эшелонированной защиты. Все решения McAfee могут использовать в своей работе информацию о вредоносных объектах из глобальной базы GTI, информация в которую добавляется со всех решений McAfee по всему миру, что позволяет использовать проактивный подход к безопасности. При необходимости расширения функционала безопасности до FW/VPN/IPS стоит совместно использовать McAfee NGFW (Stonesoft).
Огромным плюсом выбора McAfee является возможность приобретения McAfee WG вместе с McAfee Email Gateway (для защиты почты) в составе бандла McAfee Content Security Suite по цене на 10% дороже чем лицензия на McAfee WG! McAfee Email Gateway, как и McAfee WG, может поставляться в виде физических устройств или образов виртуальных устройств под VMWare ESX\ESXi (лицензия не ограничивает количество виртуальных устройств и количество кластеров). Кроме того, внедрение McAfee WG в инфраструктуру, дает в дальнейшем практически неограниченные возможности для расширения функционала всей системы безопасности, такими решениями как: McAfee DLP для защиты от утечек информации, McAfee NSP для защиты от сетевых угроз, McAfee ATD для анализа кода в изолированной среде, McAfee SIEM для корреляции событий ИБ и другими средствами защиты McAfee, в конечном итоге позволяя закрыть все нерешенные вопросы ИБ в организации заказчика под единой системой управления!
Сравнительная таблица.
CAPEX
OPEX
CAPEX
OPEX
Плюсы:
· Очевидным плюсом является гибкость организации. У вас появился крупный проект и нужно нарастить штат, докупаешь нужное количество и лицензий и идешь в бой. Непредвиденные обстоятельства ужали бюджет проекта, оперативно сокращаешь штат и кол-во лицензий.
· Фин. Директора любят этот показатель за его предсказуемость.
Минусы:
Количество новых продуктов растет не менее чем на 10% в год. Более 70% из них- стартапы.