Не один, так другой! На что можно заменить Microsoft Forefront TMG

/
/ Не один, так другой! На что можно заменить Microsoft Forefront TMG

Forefront TMG (бывш. Microsoft ISA) - предлагался Microsoft как комплекс сетевой безопасности с ключевыми компонентами:

HTTP proxy; (именно так TMG, чаще всего используется в крупных организациях)

Firewall;

VPN;                                       (этот функционал заложен в TMG, чаще в небольших и средних организациях )

Публикация приложений.

 

01.12.2012 – окончание продаж Forefront TMG как отдельного продукта (остаются доступны только OEM-лицензии)

14.04.2015 – окончание основного цикла поддержки Forefront TMG

31.12.2015 – окончание поддержки Forefront TMG Web Protection Service (WPS)

14.04.2020 – окончание поддержки программно-аппаратных комплексов Forefront TMG со стороны OEM-партнеров

14.04.2020 – окончание расширенного цикла поддержки Forefront TMG

 

Microsoft, при необходимости замены Forefront TMG, предлагает партнерам использовать решения сторонних компаний. В качестве таких решений, мы предлагаем устройства McAfee и CheckPoint.

 

При принятии решения о замене TMG самое главное не ошибиться с выбором, очень важно понять какую функцию выполнял TMG. В разрезе безопасности выглядит это следующим образом:

Forefront TMG

1) Защита доступа в интернет (Firewall, VPN) CheckPoint SWG

2) Контроль интернет доступа  (в качестве Proxy-сервера) McAfee WG                                  

McAfee Web Gateway (MWG) – Решение класса Web Security Gateway. Является идеальной заменой для TMG который выполняет функции защищенного прокси-сервера.

UTM CheckPoint Security Web Gateway (SWG) – Отлично подходит в качестве замены TMG который выполняет функции межсетевого экрана и VPN сервера, иными словами CheckPoint SWG это решение для защиты Web-трафика с возможностью глубокого анализа событий ИБ.

 

Замена Microsoft TMG на решения CheckPoint:

Задачи безопасности, которые выполняет TMG, и даже больше, полностью выполняются программно-аппаратными решениями UTM CheckPoint UTM-1. Система может быть установлена как на физических устройствах производимых компанией и сторонними производителями, так и на виртуальных серверах. Некоторые устройства линейки UTM-1 имеют возможности для добавления необходимого количества и типа сетевых интерфейсов. Решения на основе программно-аппаратных средств компании CheckPoint, в полной мере закрывают не только задачи решаемые TMG, но и позволяют реализовать комплексный подход к решению проблем ИБ в рамках одного производителя и поставщика решений безопасности, в компаниях любого размера. Продукция компании CheckPoint выделяется удобным централизованным управлением всеми устройствами, а также логгированием событий и построением отчетов, как в реальном времени, так и за определенный период. Консоль управления имеет понятный графический интерфейс, разобраться с ними администраторам Microsoft не составит труда; также присутствует полный комплект инструментов командной строки, дублирующий все настройки графического Web-интерфейса на случай начальной настройки и обслуживания системы.

 

Преимущества CheckPoint перед Microsoft TMG:

Межсетевой экран с запатентованной технологией Stateful Inspection. Данная технология позволяет контролировать сетевой трафик и содержит гибкий механизм проверки потока данных и принятия решений в отношении его защиты на основе предварительно сохраненной таблицы состояний. Программный блейд Check Point VPN обеспечивает безопасное соединение к корпоративным сетям, региональным отделениям, удаленным и мобильным пользователям, бизнес-партнерам. Существует несколько вариантов подключения: клиент CheckPoint Mobile (Apple OS, Android OS, Windows Phone), SSL VPN Портал, защищенная рабочая область (виртуальный рабочий стол), двухфакторная аутентификация, клиент по требованию. Программный блейд CheckPoint «Application Control» - позволяет идентифицировать огромное количество приложений, благодаря чему для конкретного пользователя/группы пользователей можно выборочно блокировать Torrent, Skype, DropBox, ICQ, RDP, SSH и еще более 5000 приложений и протоколов. Данное решение препятствует посещению сотрудниками посторонних и нежелательных web-сайтов и помогает организациям обеспечивать безопасность и контроль тысячи различных приложений Web 2.0 и интернет-приложений. Программный блейд CheckPoint IPS — отличная система предотвращения вторжений. На протяжении многих лет этот факт подтверждается независимыми исследовательскими лабораториями по ИБ, а также реальным пользовательским опытом, в том числе среди российских потребителей. В то время как TMG нельзя серьёзно относить к устройствам IPS/IDS. «Anti-Bot + Anti-Virus» - этот блейд защищает от угроз, передаваемых по протоколам HTTP, FTP, SMTP и POP3. Модуль Anti-Bot выявляет уже зараженные ПК в организации по специфической сетевой активности и блокирует сетевую активность вредоносных модулей на них.

Замена Microsoft TMG на решения McAfee:

В случае если TMG использовался как прокси-сервер для контроля доступа к ресурсам сети интернет – отличным вариантом замены будет McAfee WG. Основные задачи MWG - препятствовать проникновению вредоносного ПО (вирусы, трояны, черви и пр.) в корпоративную сеть при использовании доступа в Интернет (включая анализ поведения динамических элементов на веб-страницах, включая Java-script, ActiveX и т.д.). MWG обеспечивает максимально гранулярный контроль использования доступа в Интернет: URL фильтрация по категориям, фильтрация по репутации IP\домена\URL, фильтрация по типам файлов, назначение квот по объему\времени, ограничение полосу пропускания по различным критериям, контроль использования веб-приложений и пр. Модуль написания политики фильтрации в McAfee Web Gateway, например, предоставляет более 500 критериев для максимально гранулярного составления политики под любые задачи, проще говоря возможность тонкой настройки всех правил и политик присутствуетJ.

McAfee WG представлен как в виде аппаратно-программного комплекса, так и в виде софта. Поддерживает централизованное управление всеми шлюзами с любого другого через веб консоль, так же поддерживает иерархию управления, проще говоря, система управления полностью настраивается под любые требования.

 

Преимущества McAfee перед Microsoft TMG:

В McAfee WG используется одновременно 2 антивируса, по принципу эшелонированной защиты. Все решения McAfee могут использовать в своей работе информацию о вредоносных объектах из глобальной базы GTI, информация в которую добавляется со всех решений McAfee по всему миру, что позволяет использовать проактивный подход к безопасности. При необходимости расширения функционала безопасности до FW/VPN/IPS стоит совместно использовать McAfee NGFW (Stonesoft).

Огромным плюсом выбора McAfee является возможность приобретения McAfee WG вместе с  McAfee Email Gateway (для защиты почты) в составе бандла McAfee Content Security Suite по цене на 10% дороже чем лицензия на McAfee WG! McAfee Email Gateway, как и McAfee WG, может поставляться в виде физических устройств или образов виртуальных устройств под VMWare ESX\ESXi (лицензия не ограничивает количество виртуальных устройств и количество кластеров). Кроме того, внедрение McAfee WG в инфраструктуру, дает в дальнейшем практически неограниченные возможности для расширения функционала всей системы безопасности, такими решениями как: McAfee DLP для защиты от утечек информации, McAfee NSP для защиты от сетевых угроз, McAfee ATD для анализа кода в изолированной среде, McAfee SIEM для корреляции событий ИБ и другими средствами защиты McAfee, в конечном итоге позволяя закрыть все нерешенные вопросы ИБ в организации заказчика под единой системой управления!

 

Сравнительная таблица.

Характеристика

Check Point SWG

TMG

McAfee WG

Функционал Web Proxy

Режимы работы

Transparent Proxy,

Non-Transparent Proxy, Router, Bridge.

Явный прокси, роутер.

Explicit proxy (явный прокси), Transparent router (маршрутизатор), Transparent bridge (прозрачный мост), Transparent proxy с поддержкой wccp

Категории URL

+

+

+

119 категорий ~ 450М URL

Категории приложений

+

Обновляемая база сигнатур приложений всех типов

+/-
Ограниченный набор приложений использующих http/s

+

Обновляемая база приложений, 1024 приложения разбиты на 28 категорий

Аутентификация пользователей

+

Агентская/без агентская, через свой Web интерфейс и внутреннюю БД, MS AD, RADIUS, LDAP

+

Агентская/без агентская, MS AD, RADIUS

+

Без агентская, через свой Web интерфейс и внутреннюю БД, MS AD RADIUS, LDAP, eDirectory

Интеграция с MS AD

+

+

+,

(NTLM v1/v2, LDAP, Kerberos),

Система отчетности

Check Point Smart Event – входит в состав лицензии

Сторонний софт

McAfee Web Reporter/McAfee Content Security Reporter – входит в состав лицензии

Дешифровка HTTPS

+

+/-

+

Сетевой функционал (router, VPN, прочее)

 

Маршрутизация

Динамическая, статическая

Статическая реализована на базе возможностей Windows Server

Динамическая (ospf, bgp), статическая

NAT, публикация приложений

+

+

+

Расширенная публикация приложений, в том числе Reverse Proxy

+

+

+

Отказоустойчивость каналов провайдеров

+,
в том числе в кластерных конфигурациях

+/-

-,

Нет необходимости, т.к. работает за FW

Отказоустойчивость самой системы (кластеризация)

+,
VRRP, ClusterXL (собственная технология)

+/-

+,

VRRP (балансировка нагрузки без использования внешних балансировщиков)

QoS

+,
полноценное решение

+/-

+,

(Bandwidth management per Request)

Функционал безопасности

 

Firewall

+,
Stateful firewall

+

+,

(графическая надстройка над iptables)

IPS

+,

больше 1000 настраиваемых сигнатур

+/-,

очень ограничены сигнатуры около десятка

-,

Нет необходимости, т.к. работает за системами защиты

(например, McAfee NGFW (Stonesoft))

Антиспам

+

-

+/- защита почты с помощью Mail Gateway при доплате в 10% до бандла McAfee Content Security Suite

Антивирус

+

+

+, 2 движка, avira+mcafee, сигнатурный безсигнатурный.

Функционал управления

 

Графическая консоль управления под Windows

+

+

+ web консоль

CLI консоль

SSH, Unix like shell

Cmd, powershell

+

Централизованное управление

Универсальное для всех продуктов компании

Специализированное для FF TMG

ИНТЕРЕСНЫЕ МАТЕРИАЛЫ В IT-СФЕРЕ
СМОТРЕТЬ ВСЕ
Гордость и предубеждение системного интегратора

Или длиннопост о жизни в интеграции

Автор статьи - Джавид Юсубов
Ведущий специалист департамента интеграции

Пожалуй, практически каждый системный администратор или ИТ-директор встречались с таким явлением как «системный интегратор». Для кого-то это понятие стало синонимом успешно внедренного проекта, для кого-то – символом дорогого и провального сервиса. Откуда такая коренная разница в восприятии? Давайте разбираться.

Холодные звонки – это надоедливо и не работает

Самый разгар рабочего дня, вы ведете кропотливый поиск причины сбоя в сетевой инфраструктуре и раздается звонок на рабочий телефон. «Добрый день, *username*, наша компания занимается поставками серверного и сетевого оборудования…». Ни тебе представиться, ни спросить, удобно ли говорить. Первое желание – отправить звонящего в далекое пешее путешествие, но природная интеллигентность вынуждает дослушать до конца. Знакомое ощущение? После такого впечатления отношение к холодным звонкам будет, мягко говоря, отрицательное.

А что, если я скажу, что рядовой холодный звонок приведет к обороту в 25 миллионов рублей уже в первый год работы с клиентом? И это не обещание уровня Тони Робинсона, а вполне реальный кейс. Вопрос умения звонящего быть уместным и банально соблюдать этикет. И без доли удачи тоже никуда, конечно.

Холодный звонок – это реальный рабочий инструмент в сфере b2b, практически не имеющий отрицательных сторон для звонящего. Ведь даже если сейчас вам ничего не нужно от системного интегратора, а разговор оставил негативное впечатление, едва ли вы вспомните название этой компании (если вообще услышали его по телефону) при поиске нужного поставщика. И вполне может оказаться, что вы случайно набредете именно на него.


Интегратор должен быть большой. Еще больше!

Бытует мнение, что хорошо и качественно проект может реализовать крупная компания с большим штатом инженеров и филиалами по всей стране. Что имеем по факту? Весь штат распределен по отдельным проектам, а вашим проектом занимается один единственный инженер в паре с менеджером проекта, которых более чем достаточно.

Можно ли получить аналогичный сервис в другой компании? Конечно, ведь проект делают люди, а не компании. А оборудование и ПО может быть одно и то же. Да и накладные расходы у крупной компании выше, а значит и стоимость их услуг. В конечном счете все решает компетентность сотрудников и умение разговаривать на языке бизнеса.

Сделайте красиво. И чтоб без лишних вопросов

Не получится. Работа с интегратором – это совместная работа, требующая временны́х вложений с обеих сторон, как при подготовке проекта, так и при его внедрении. И чем подробнее отвечать на вопросы инженеров интегратора, тем выше вероятность получить необходимый результат. Возможно, задача упростится с появлением устройств для телепатической связи. А пока мы ждем ответы на вопросы.

Я не вижу вашу компанию в списке партнеров производителя. Вы плохой

Допустим. А вы знаете как часто производители обновляют список партнеров на своем сайте? Некоторые настолько часто, что там до сих пор можно увидеть «РиК» и «Компьютерный мир» в списке. А потому лучше спросить о статусе интегратора у представителя производителя или у него самого. Доказательства в виде сертификата всегда найдутся.

Дайте мне инженера, не буду общаться с менеджером

Не стоит сразу начинать общение с инженером. Да простят меня все системные инженеры, которые это читают, но давайте объективно – как часто системный администратор мысленно ругает пользователей на чем свет стоит, потому что они не могут нормально описать требования к задаче или свою проблему? То-то же. Примерно такое может услышать менеджер проекта от инженера, а пропустив через себя, выдать красиво оформленные вопросы конечному клиенту. Нервная это работа, знаете ли, инженерный негатив в радугу трансформировать. Зато клиенту спокойнее.


Очень дорого стоит работа, я сам смогу сделать

Вне всякого сомнения, все что может сделать интегратор, способен сделать администратор компании (должности волшебников в штатное расписание интеграторов пока не ввели). Вопрос времени: сколько нужно времени чтобы разобраться, внедрить и настроить для бесперебойной работы. На одних даташитах проект не реализуешь – зачастую необходим полученный ранее опыт. Вот и получается, что 1000 шт. лицензий на внедрение Microsoft System Center Operations Manager куплены, а внедрить уже третий год некогда, потому что текучка занимает все свободное время. А какая вещь самая дорогая? Которую купил, но не пользуешься.


Я почитал в интернете, эта штука мне подходит, но давайте сравним

По уже приобретенному опыту могу сказать, что если человек потратил время, почитал в интернете и выбрал решение, то он с высокой долей вероятности уже сделал финальный выбор. От интегратора в данном случае требуется предоставить аналоги для сравнения, но желательно, чтобы они только подтверждали ранее сделанный выбор. Можно ли убедить человека выбрать другое решение? Вполне вероятно. Но будьте готовы к тому, что, если ваше предложенное решение хотя бы немного не будет соответствовать ожиданиям, вам достанется.

В магазине дешевле, куплю там

Возможно. Если покупать наушники или телевизор. К тому же, вам часто помогают продавцы в магазинах? На моей памяти помощь заканчивается на уровне размера телевизора и глубины микроволной печи. А что делать, когда необходимо взять на тест и получить отсрочку платежа?

Резюмируя вышесказанное, хочется подчеркнуть – b2b это тоже работа между людьми. И чем теснее контакт, тем больше шансов на успех.

 

Читать подробнее