Совсем недавно вопрос выбора между решениями Forefront TMG и Forefront UAG стоял в полный рост. Сегодня не менее остро стоит другой вопрос: есть ли необходимость и существует ли возможность перехода с устаревшего решения Forefront TMG на продолжающую развиваться платформу Forefront UAG? Для ответа на этот вопрос необходимо в первую очередь перечислить возможности, предоставляемые обоими решениями, и рассмотреть типичные сценарии использования каждого продукта.
Главной и очевидной причиной, по которой компании начинают процесс миграции с платформы TMG, является прекращение развития данной платформы, анонсирование компанией Microsoft в декабре 2012 года. Компания объявила о снятии продукта с производства, что означает прекращение выхода новых версий TMG и, в частности, отсутствие поддержки новых версий продуктов – к примеру, Exchange Server 2013. И если в случае с Exchange Server 2013 возможность публикации всё-таки существует, пользователям других пакетов может не повезти, и очередное обновление способно нарушить работу системы.
У Forefront TMG десятки тысяч пользователей, в основном – корпоративных. Принять решение о переходе на альтернативную платформу для компаний непросто. В данной статье мы попытаемся дать ответ на вопрос, имеет ли смысл миграция в сторону Forefront UAG. Будут рассмотрены поддерживаемые и не поддерживаемые сценарии, совместимость с последними версиями популярных продуктов и требования к платформе, на которой может быть запущена вся система.
Итак, давайте внимательно посмотрим, что из себя представляют Forefront TMG и Forefront UAG.
Forefront TMG – краткое обозначение продукта, полное название которого – Microsoft Forefront Threat Management Gateway 2010. Forefront TMG пришёл на смену популярному брандмауэру ISA Server 2006. Forefront TMG предоставляет возможности сетевой маршрутизации и кэширования данных, обеспечивая безопасное соединение локальной сети с Интернетом. В продукте задействованы такие меры безопасности, как контентный анализ и фильтрация трафика, анализ пакетов данных и многоуровневая защита.
Forefront TMG способен выполнять следующие функции:
В продукте доступны следующие функции, обеспечивающие сетевую безопасность:
· Защита от вирусов и вредоносного ПО
Еще одна роль, с которой хорошо справляется Forefront TMG – это оптимизация производительности локальной сети, позволяющая ускорить выполнение многих операций и сэкономить внешний трафик.
Forefront TMG доступен в стандартной версии (Standard) и версии для предприятий (Enterprise).
Исторически, Forefront Unified Access Gateway 2010 (UAG) пришёл на смену интернет-шлюзу Microsoft IAG (Intelligent Application Gateway), выпущенному тремя годами ранее в 2007. Forefront UAG выполняет роль безопасного шлюза, обеспечивая возможность безопасного удалённого доступа к внутренним ресурсам компании извне – например, из сети Интернет. В продукте доступно множество технологий удалённого доступа, включая обратный прокси-сервер, VPN, сервисы DirectAccess и службу удалённого доступа Remote Desktop Services.
В состав Forefront UAG включены службы безопасной сети VPN (через протокол SSL), брандмауэр для веб-приложений, а также управление безопасностью конечных точек с обеспечением аутентификации, авторизации и проверки содержимого для широкого диапазона приложений.
Forefront UAG способен выполнять следующие функции:
Пакет предоставляет следующие возможности:
Важным различием между Forefront UAG и Forefront TMG является то, что UAG устанавливается в качестве шлюза, в то время как Forefront TMG устанавливается поверх UAG в качестве брандмауэра, после чего настраивается для обеспечения безопасности сервера UAG.
С другой стороны, Forefront UAG расширяет возможности Forefront TMG в области интеллектуальной веб-публикации. В отличие от TMG, Forefront UAG распознаёт опубликованные приложения, и способен осуществлять контроль за состоянием используемого оборудования. Кроме того, UAG и способен распознавать авторизованных пользователей.
Интересным инструментом является возможность настройки политики доступа к конечной точке. Данная политика позволяет сетевым администраторам определять правила, согласно которым клиент может получить доступ к внутренним сетевым ресурсам. Благодаря использованию политики доступа, клиент получит доступ к ресурсу в том и только в том случае, если выполняются все определённые политикой условия.
Требования Forefront UAG к аппаратной части отличаются от запросов Forefront TMG тем, что для работы UAG необходимо наличие как минимум двух сетевых адаптеров. Два сетевых адаптера требуются для обеспечения связи между локальной и внешней сетями (например, внутренней сетью организации и интернет). Соответственно, Forefront UAG не будет работать на рабочих станциях с одним сетевым адаптером.
В то же время, Forefront TMG запустится только будучи установленным на 64-разрядной версии Windows (UAG может работать как на 32-разрядных, так и на 64-битных ОС). Таким образом, для обеспечения совместной работы Forefront TMG и UAG требуется сервер под управлением Windows 2003/2008 Server x64, оборудованный двумя сетевыми адаптерами.
На первый взгляд разница между Forefront TMG и Forefront UAG невелика. Оба продукта могут использоваться в одних и тех же сценариях, выполняя одни и те же задачи. На самом же деле, между двумя продуктами существует принципиальная разница, определяющая выбор того или иного решения в каждом конкретном сценарии.
Что интересно, существует достаточно большое количество сценариев, задачи которых могут быть выполнены как Forefront TMG, так и Forefront UAG. В то же время взвешенный подход к выбору платформы позволяет избежать многочисленных коллизий и осложнений.
В этом разделе мы рассмотрим поддерживаемые и не поддерживаемые сценарии, обсудим разницу между ними, и рассмотрим, в каких именно ситуациях следует использовать тот или иной продукт.
Начнём с Forefront TMG.
Forefront TMG – это безопасный брандмауэр, обрабатывающий входящие и исходящие запросы. Forefront TMG обеспечивает как безопасность внутренних ресурсов сети от внешней угрозы, так и обеспечивающий безопасный доступ к защищаемым ресурсам из внешних сетей. В состав продукта входят гибкие правила публикации, позволяющие настроить доступ к корпоративным ресурсам (Outlook Web Access, Exchange Active Sync и так далее) для удалённых пользователей. Однако попытки использовать Forefront TMG в качестве интеллектуального решения дистанционного доступа быстро упираются в ограничения продукта.
Forefront UAG работает как интеллектуальный шлюз уровня приложений. UAG обрабатывает только входящие запросы, обеспечивая удобный и безопасный удалённый доступ к внутренним ресурсам компании. С помощью Forefront UAG можно существенно расширить возможности правил публикации, встроенных в пакет TMG. Интеллектуальные правила публикации Forefront UAG позволяют создавать безопасные порталы и сети VPN. С помощью политик DirectAccess Endpoint Access возможен контроль за удалёнными клиентами.
Forefront TMG может быть установлен в качестве интегральной части пакета Forefront UAG. В этом случае TMG используется как брандмауэр, обеспечивающий безопасность работы сервера UAG.
Итак, мы выяснили, что Forefront UAG обрабатывает входящие запросы и обеспечивает интеллектуальное шлюзование на уровне приложений, а Forefront TMG обрабатывает как входящий, так и исходящий трафик, устанавливается как брандмауэр и обеспечивает функции безопасности.
Исходя из перечисленного, можно составить таблицу поддерживаемых и не поддерживаемых сценариев для каждого из двух продуктов.
TMG | UAG | |
---|---|---|
Интеллектуальная публикация приложений | ||
Безопасность точки доступа | ||
SSL-туннелированные | ||
Защита от информационных утечек | ||
Поддержка стойких систем аутентификации (KCD, ADFS, OTP) | ||
Сертификаты продуктов (Common Criteria) | ||
Интеграция с NAP | ||
Интеграция с Terminal Services | ||
Управление массивами | ||
Расширенное управление и мониторинг (MOM Pack) | ||
Мобильные решения | ||
Настраиваемый пользовательский портал | ||
Конфигурирование с помощью мастеров настройки | ||
Поддержка множества языков RTL |
Итак, у каждого из двух продуктов есть свои поддерживаемые и не поддерживаемые конфигурации. Forefront TMG НЕ ПОДДЕРЖИВАЕТ работу в следующих конфигурациях:
У Forefront UAG также есть свои поддерживаемые и не поддерживаемые сценарии.
Подобно Forefront TMG, с помощью Forefront UAG можно опубликовать веб-сервер, расположенный на компьютере из локальной сети. Это можно сделать как напрямую, так и через веб-портал.
Кроме того, Forefront UAG расширяет функционал DirectAccess, доступный в Windows Server 2008 R2, выступая в роли сервера DirectAccess. При этом необходимо иметь в виду следующее:
Поддержка IPv6 в Forefront UAG ограничена. Продукт поддерживает только тот функционал IPv6, который необходим для поддержки DirectAccess, базирующегося на этом протоколе. Соответственно, Forefront UAG поддерживает следующие типы трафика IPv6:
Остальные типы трафика IPv6 не поддерживаются.
Итак, мы рассмотрели работу двух продуктов по отдельности. Настало время изучить режим, в котором оба продукта работают параллельно. В то же время попробуем ответить на вопрос: можно ли заменить устаревший и снятый с производства Forefront TMG более новым продуктом Forefront UAG?
Forefront UAG обладает множеством продвинутых возможностей публикации, что само по себе представляет интерес для пользователей TMG. Тем не менее, прежде чем принять решение о переходе с одного продукта на другой, необходимо иметь в виду следующее:
While some configuration changes can be done to Forefront TMG via the TMG Management console (MMC), the following configurations are explicitly not supported:
Некоторые настройки могут быть выполнены с использованием Forefront TMG Management Console (MMC).
Развитие Forefront TMG было прекращено в декабре 2012 года. Соответственно, выход очередного пакета обновлений для публикуемого сервера (например, новой версии Exchange Server) способен заблокировать работу уже настроенной и отлаженной системы. Обычно такие проблемы решаются выпуском соответствующего пакета обновлений или сервис-пака. Но в связи со снятием продукта с производства таких обновлений не предвидится. Соответственно, многие пользователи будут вынуждены мигрировать на Forefront UAG, оказываясь без брандмауэрной защиты и полагаясь исключительно на встроенные в UAG средства безопасности. with no added protection available from the currently discontinued Forefront TMG. Для защиты сети без Forefront TMG можно использовать следующие конфигурации:
Вопрос выбора конкретного брандмауэра лежит за рамками данной статьи. На рынке доступна масса наименований. Кроме того, для обеспечения корректной работы сервера UAG потребуется выставить корректные настройки портов.