+7 (812) 703-30-60

Forefront TMG (бывш. Microsoft ISA) - предлагался Microsoft как комплекс сетевой безопасности с ключевыми компонентами:

  • HTTP proxy; (именно так TMG, чаще всего используется в крупных организациях)
  • Firewall;
  • VPN; (этот функционал заложен в TMG, чаще в небольших и средних организациях )
  • Публикация приложений.

 

01.12.2012 – окончание продаж Forefront TMG как отдельного продукта (остаются доступны только OEM-лицензии)

14.04.2015 – окончание основного цикла поддержки Forefront TMG

31.12.2015 – окончание поддержки Forefront TMG Web Protection Service (WPS)

14.04.2020 – окончание поддержки программно-аппаратных комплексов Forefront TMG со стороны OEM-партнеров

14.04.2020 – окончание расширенного цикла поддержки Forefront TMG

 

Microsoftпри необходимости замены Forefront TMG, предлагает партнерам использовать решения сторонних компаний. В качестве таких решений, мы предлагаем устройства McAfee и CheckPoint.

 

При принятии решения о замене TMG самое главное не ошибиться с выбором, очень важно понять какую функцию выполнял TMG.

 

В разрезе безопасности выглядит это следующим образом:

Forefront TMG

1) Защита доступа в интернет (Firewall, VPN) CheckPoint SWG

2) Контроль интернет доступа (в качестве Proxy-сервера) McAfee WG                                  

 

McAfee Web Gateway (MWG) – Решение класса Web Security Gateway. Является идеальной заменой для TMG который выполняет функции защищенного прокси-сервера.

UTM CheckPoint Security Web Gateway (SWG) – Отлично подходит в качестве замены TMG который выполняет функции межсетевого экрана и VPN сервера, иными словами CheckPoint SWG это решение для защиты Web-трафика с возможностью глубокого анализа событий ИБ.

 

Замена Microsoft TMG на решения CheckPoint:

Задачи безопасности, которые выполняет TMG, и даже больше, полностью выполняются программно-аппаратными решениями UTM CheckPoint UTM-1. Система может быть установлена как на физических устройствах производимых компанией и сторонними производителями, так и на виртуальных серверах.

Некоторые устройства линейки UTM-1 имеют возможности для добавления необходимого количества и типа сетевых интерфейсов. Решения на основе программно-аппаратных средств компании CheckPoint, в полной мере закрывают не только задачи решаемые TMG, но и позволяют реализовать комплексный подход к решению проблем ИБ в рамках одного производителя и поставщика решений безопасности, в компаниях любого размера.

Продукция компании CheckPoint выделяется удобным централизованным управлением всеми устройствами, а также логгированием событий и построением отчетов, как в реальном времени, так и за определенный период. Консоль управления имеет понятный графический интерфейс, разобраться с ними администраторам Microsoft не составит труда; также присутствует полный комплект инструментов командной строки, дублирующий все настройки графического Web-интерфейса на случай начальной настройки и обслуживания системы.

 

Преимущества CheckPoint перед Microsoft TMG:

Межсетевой экран с запатентованной технологией Stateful Inspection. Данная технология позволяет контролировать сетевой трафик и содержит гибкий механизм проверки потока данных и принятия решений в отношении его защиты на основе предварительно сохраненной таблицы состояний.

Программный блейд Check Point VPN обеспечивает безопасное соединение к корпоративным сетям, региональным отделениям, удаленным и мобильным пользователям, бизнес-партнерам. Существует несколько вариантов подключения: клиент CheckPoint Mobile (Apple OS, Android OS, Windows Phone), SSL VPN Портал, защищенная рабочая область (виртуальный рабочий стол), двухфакторная аутентификация, клиент по требованию.

Программный блейд CheckPoint «Application Control» - позволяет идентифицировать огромное количество приложений, благодаря чему для конкретного пользователя/группы пользователей можно выборочно блокировать Torrent, Skype, DropBox, ICQ, RDP, SSH и еще более 5000 приложений и протоколов. Данное решение препятствует посещению сотрудниками посторонних и нежелательных web-сайтов и помогает организациям обеспечивать безопасность и контроль тысячи различных приложений Web 2.0 и интернет-приложений.

Программный блейд CheckPoint IPS — отличная система предотвращения вторжений. На протяжении многих лет этот факт подтверждается независимыми исследовательскими лабораториями по ИБ, а также реальным пользовательским опытом, в том числе среди российских потребителей. В то время как TMG нельзя серьёзно относить к устройствам IPS/IDS. «Anti-Bot + Anti-Virus» - этот блейд защищает от угроз, передаваемых по протоколам HTTP, FTP, SMTP и POP3. Модуль Anti-Bot выявляет уже зараженные ПК в организации по специфической сетевой активности и блокирует сетевую активность вредоносных модулей на них.

 

Замена Microsoft TMG на решения McAfee:

В случае если TMG использовался как прокси-сервер для контроля доступа к ресурсам сети интернет – отличным вариантом замены будет McAfee WG. Основные задачи MWG - препятствовать проникновению вредоносного ПО (вирусы, трояны, черви и пр.) в корпоративную сеть при использовании доступа в Интернет (включая анализ поведения динамических элементов на веб-страницах, включая Java-script, ActiveX и т.д.).

MWG обеспечивает максимально гранулярный контроль использования доступа в Интернет: URL фильтрация по категориям, фильтрация по репутации IP\домена\URL, фильтрация по типам файлов, назначение квот по объему\времени, ограничение полосу пропускания по различным критериям, контроль использования веб-приложений и пр.

Модуль написания политики фильтрации в McAfee Web Gateway, например, предоставляет более 500 критериев для максимально гранулярного составления политики под любые задачи, проще говоря возможность тонкой настройки всех правил и политик присутствует.

McAfee WG представлен как в виде аппаратно-программного комплекса, так и в виде софта. Поддерживает централизованное управление всеми шлюзами с любого другого через веб консоль, так же поддерживает иерархию управления, проще говоря, система управления полностью настраивается под любые требования.

 

Преимущества McAfee перед Microsoft TMG:

В McAfee WG используется одновременно 2 антивируса, по принципу эшелонированной защиты. Все решения McAfee могут использовать в своей работе информацию о вредоносных объектах из глобальной базы GTI, информация в которую добавляется со всех решений McAfee по всему миру, что позволяет использовать проактивный подход к безопасности. При необходимости расширения функционала безопасности до FW/VPN/IPS стоит совместно использовать McAfee NGFW (Stonesoft).

Огромным плюсом выбора McAfee является возможность приобретения McAfee WG вместе с  McAfee Email Gateway (для защиты почты) в составе бандла McAfee Content Security Suite по цене на 10% дороже чем лицензия на McAfee WG! McAfee Email Gateway, как и McAfee WG, может поставляться в виде физических устройств или образов виртуальных устройств под VMWare ESX\ESXi (лицензия не ограничивает количество виртуальных устройств и количество кластеров).

Кроме того, внедрение McAfee WG в инфраструктуру, дает в дальнейшем практически неограниченные возможности для расширения функционала всей системы безопасности, такими решениями как: McAfee DLP для защиты от утечек информации, McAfee NSP для защиты от сетевых угроз, McAfee ATD для анализа кода в изолированной среде, McAfee SIEM для корреляции событий ИБ и другими средствами защиты McAfee, в конечном итоге позволяя закрыть все нерешенные вопросы ИБ в организации заказчика под единой системой управления!

 

Сравнительная таблица

Характеристика

Check Point SWG

TMG

McAfee WG

Функционал Web Proxy

Режимы работы

Transparent Proxy,

Non-Transparent Proxy, Router, Bridge.

Явный прокси, роутер.

Explicit proxy (явный прокси), Transparent router (маршрутизатор), Transparent bridge (прозрачный мост), Transparent proxy с поддержкой wccp

Категории URL

+

+

+

119 категорий ~ 450М URL

Категории приложений

+

Обновляемая база сигнатур приложений всех типов

+/-
Ограниченный набор приложений использующих http/s

+

Обновляемая база приложений, 1024 приложения разбиты на 28 категорий

Аутентификация пользователей

+

Агентская/без агентская, через свой Web интерфейс и внутреннюю БД, MS AD, RADIUS, LDAP

+

Агентская/без агентская, MS AD, RADIUS

+

Без агентская, через свой Web интерфейс и внутреннюю БД, MS AD RADIUS, LDAP, eDirectory

Интеграция с MS AD

+

+

+,

(NTLM v1/v2, LDAP, Kerberos),

Система отчетности

Check Point Smart Event – входит в состав лицензии

Сторонний софт

McAfee Web Reporter/McAfee Content Security Reporter – входит в состав лицензии

Дешифровка HTTPS

+

+/-

+

Сетевой функционал (router, VPN, прочее)

 

Маршрутизация

Динамическая, статическая

Статическая реализована на базе возможностей Windows Server

Динамическая (ospf, bgp), статическая

NAT, публикация приложений

+

+

+

Расширенная публикация приложений, в том числе Reverse Proxy

+

+

+

Отказоустойчивость каналов провайдеров

+,
в том числе в кластерных конфигурациях

+/-

-,

Нет необходимости, т.к. работает за FW

Отказоустойчивость самой системы (кластеризация)

+,
VRRP, ClusterXL (собственная технология)

+/-

+,

VRRP (балансировка нагрузки без использования внешних балансировщиков)

QoS

+,
полноценное решение

+/-

+,

(Bandwidth management per Request)

Функционал безопасности

 

Firewall

+,
Stateful firewall

+

+,

(графическая надстройка над iptables)

IPS

+,

больше 1000 настраиваемых сигнатур

+/-,

очень ограничены сигнатуры около десятка

-,

Нет необходимости, т.к. работает за системами защиты

(например, McAfee NGFW (Stonesoft))

Антиспам

+

-

+/- защита почты с помощью Mail Gateway при доплате в 10% до бандла McAfee Content Security Suite

Антивирус

+

+

+, 2 движка, avira+mcafee, сигнатурный безсигнатурный.

Функционал управления

 

Графическая консоль управления под Windows

+

+

+ web консоль

CLI консоль

SSH, Unix like shell

Cmd, powershell

+

Централизованное управление

Универсальное для всех продуктов компании

Специализированное для FF TMG

+

Если у вас остались вопросы  по данному решению, обязательно уточняйте подробности у специалистов компании ОЛЛИ, по телефону +7 (812) 703-30-60 или по электронной почте zakaz@olly.ru 

Компания «ОЛЛИ» осуществляет оказание комплекса услуг, направленных на разработку, создание и внедрение ИТ-технологий и систем управления предприятиями. Квалифицированная интеграция технологий и систем позволят повышать эффективность деятельности коммерческих организаций и государственных структур.