Microsoft Forefront TMG и UAG: что выбрать?

Все статьи

Совсем недавно вопрос выбора между решениями Forefront TMG и Forefront UAG стоял в полный рост. Сегодня не менее остро стоит другой вопрос: есть ли необходимость и существует ли возможность перехода с устаревшего решения Forefront TMG на продолжающую развиваться платформу Forefront UAG? Для ответа на этот вопрос необходимо в первую очередь перечислить возможности, предоставляемые обоими решениями, и рассмотреть типичные сценарии использования каждого продукта.

Миграция с Forefront TMG на Forefront UAG: самое время?

Главной и очевидной причиной, по которой компании начинают процесс миграции с платформы TMG, является прекращение развития данной платформы, анонсирование компанией Microsoft в декабре 2012 года. Компания объявила о снятии продукта с производства, что означает прекращение выхода новых версий TMG и, в частности, отсутствие поддержки новых версий продуктов – к примеру, Exchange Server 2013. И если в случае с Exchange Server 2013 возможность публикации всё-таки существует, пользователям других пакетов может не повезти, и очередное обновление способно нарушить работу системы.

У Forefront TMG десятки тысяч пользователей, в основном – корпоративных. Принять решение о переходе на альтернативную платформу для компаний непросто. В данной статье мы попытаемся дать ответ на вопрос, имеет ли смысл миграция в сторону Forefront UAG. Будут рассмотрены поддерживаемые и не поддерживаемые сценарии, совместимость с последними версиями популярных продуктов и требования к платформе, на которой может быть запущена вся система.

Итак, давайте внимательно посмотрим, что из себя представляют Forefront TMG и Forefront UAG.

Forefront TMG

Forefront TMG – краткое обозначение продукта, полное название которого – Microsoft Forefront Threat Management Gateway 2010. Forefront TMG пришёл на смену популярному брандмауэру ISA Server 2006. Forefront TMG предоставляет возможности сетевой маршрутизации и кэширования данных, обеспечивая безопасное соединение локальной сети с Интернетом. В продукте задействованы такие меры безопасности, как контентный анализ и фильтрация трафика, анализ пакетов данных и многоуровневая защита.

Функции маршрутизации и удалённого доступа

Forefront TMG способен выполнять следующие функции:

  • Маршрутизация доступа
  • Безопасный шлюз в Интернет
  • VPN-сервер
  • NAT-сервер
  • Прокси-сервер
  • Шлюз электронной почты

Службы безопасности

В продукте доступны следующие функции, обеспечивающие сетевую безопасность:

  • Брандмауэр с многоуровневой системой безопасности
  • Анализ сетевого трафика
  • Анализ защищённых соединений HTTPS

· Защита от вирусов и вредоносного ПО

  • Защита на уровне приложений
  • Защита от уязвимостей
  • Анализ содержимого в соответствие с предопределенными политиками безопасности
  • Контроль доступа к ресурсам по адресу (URL)
  • Защита электронной почты
  • Система обнаружения и предотвращения вторжений

Оптимизация производительности сети

Еще одна роль, с которой хорошо справляется Forefront TMG – это оптимизация производительности локальной сети, позволяющая ускорить выполнение многих операций и сэкономить внешний трафик.

  • Сжатие трафика
  • Кэширование доступа в интернет
  • Прямой и обратный прокси-сервер
  • Кэширование данных сервиса Background Intelligent Transfer Service, в т.ч. обновлений через Microsoft Update
  • Балансировка нагрузки на сеть

Forefront TMG доступен в стандартной версии (Standard) и версии для предприятий (Enterprise).

Forefront UAG

Исторически, Forefront Unified Access Gateway 2010 (UAG) пришёл на смену интернет-шлюзу Microsoft IAG (Intelligent Application Gateway), выпущенному тремя годами ранее в 2007. Forefront UAG выполняет роль безопасного шлюза, обеспечивая возможность безопасного удалённого доступа к внутренним ресурсам компании извне – например, из сети Интернет. В продукте доступно множество технологий удалённого доступа, включая обратный прокси-сервер, VPN, сервисы DirectAccess и службу удалённого доступа Remote Desktop Services.

Служба маршрутизации и удаленного доступа

В состав Forefront UAG включены службы безопасной сети VPN (через протокол SSL), брандмауэр для веб-приложений, а также управление безопасностью конечных точек с обеспечением аутентификации, авторизации и проверки содержимого для широкого диапазона приложений.

Forefront UAG способен выполнять следующие функции:

  • Маршрутизатор
  • Шлюз DirectAccess
  • Обеспечение безопасного удаленного доступа к ресурсам локальной сети
  • Безопасный шлюз в интернет
  • Безопасный VPN-сервер (через SSL)
  • NAT-сервер
  • Прямой и обратный прокси
  • Безопасный шлюз электронной почты

Службы безопасности

Пакет предоставляет следующие возможности:

  • Безопасный шлюз удалённого доступа
  • Политика доступа к конечной точке
  • Безопасный удалённый доступ к веб-приложениям Outlook, соединениям Remote Desktop, SSL VPN, Microsoft CRM, SharePoint и прочих бизнес-приложений
  • Поддержка ряда провайдеров аутентификации включая Active Directory, Netscape, LDAP, RADIUS, OTP и т.д.
  • Анализ HTTPS трафика
  • Защита на уровне приложений
  • Контентный анализ
  • Анализ пакетов
  • Контроль доступа к ресурсам по адресу (URL)
  • Защита электронной почты

Важным различием между Forefront UAG и Forefront TMG является то, что UAG устанавливается в качестве шлюза, в то время как Forefront TMG устанавливается поверх UAG в качестве брандмауэра, после чего настраивается для обеспечения безопасности сервера UAG.

С другой стороны, Forefront UAG расширяет возможности Forefront TMG в области интеллектуальной веб-публикации. В отличие от TMG, Forefront UAG распознаёт опубликованные приложения, и способен осуществлять контроль за состоянием используемого оборудования. Кроме того, UAG и способен распознавать авторизованных пользователей.

Интересным инструментом является возможность настройки политики доступа к конечной точке. Данная политика позволяет сетевым администраторам определять правила, согласно которым клиент может получить доступ к внутренним сетевым ресурсам. Благодаря использованию политики доступа, клиент получит доступ к ресурсу в том и только в том случае, если выполняются все определённые политикой условия.

Требования к аппаратному обеспечению

Требования Forefront UAG к аппаратной части отличаются от запросов Forefront TMG тем, что для работы UAG необходимо наличие как минимум двух сетевых адаптеров. Два сетевых адаптера требуются для обеспечения связи между локальной и внешней сетями (например, внутренней сетью организации и интернет). Соответственно, Forefront UAG не будет работать на рабочих станциях с одним сетевым адаптером.

В то же время, Forefront TMG запустится только будучи установленным на 64-разрядной версии Windows (UAG может работать как на 32-разрядных, так и на 64-битных ОС). Таким образом, для обеспечения совместной работы Forefront TMG и UAG требуется сервер под управлением Windows 2003/2008 Server x64, оборудованный двумя сетевыми адаптерами.


Сравнение возможностей Forefront TMG и Forefront UAG

На первый взгляд разница между Forefront TMG и Forefront UAG невелика. Оба продукта могут использоваться в одних и тех же сценариях, выполняя одни и те же задачи. На самом же деле, между двумя продуктами существует принципиальная разница, определяющая выбор того или иного решения в каждом конкретном сценарии.

Что интересно, существует достаточно большое количество сценариев, задачи которых могут быть выполнены как Forefront TMG, так и Forefront UAG. В то же время взвешенный подход к выбору платформы позволяет избежать многочисленных коллизий и осложнений.

В этом разделе мы рассмотрим поддерживаемые и не поддерживаемые сценарии, обсудим разницу между ними, и рассмотрим, в каких именно ситуациях следует использовать тот или иной продукт.

Начнём с Forefront TMG.

Forefront TMG – это безопасный брандмауэр, обрабатывающий входящие и исходящие запросы. Forefront TMG обеспечивает как безопасность внутренних ресурсов сети от внешней угрозы, так и обеспечивающий безопасный доступ к защищаемым ресурсам из внешних сетей. В состав продукта входят гибкие правила публикации, позволяющие настроить доступ к корпоративным ресурсам (Outlook Web Access, Exchange Active Sync и так далее) для удалённых пользователей. Однако попытки использовать Forefront TMG в качестве интеллектуального решения дистанционного доступа быстро упираются в ограничения продукта.

Forefront UAG работает как интеллектуальный шлюз уровня приложений. UAG обрабатывает только входящие запросы, обеспечивая удобный и безопасный удалённый доступ к внутренним ресурсам компании. С помощью Forefront UAG можно существенно расширить возможности правил публикации, встроенных в пакет TMG. Интеллектуальные правила публикации Forefront UAG позволяют создавать безопасные порталы и сети VPN. С помощью политик DirectAccess Endpoint Access возможен контроль за удалёнными клиентами.

Forefront TMG может быть установлен в качестве интегральной части пакета Forefront UAG. В этом случае TMG используется как брандмауэр, обеспечивающий безопасность работы сервера UAG.

Сценарии использования Forefront TMG и Forefront UAG

Итак, мы выяснили, что Forefront UAG обрабатывает входящие запросы и обеспечивает интеллектуальное шлюзование на уровне приложений, а Forefront TMG обрабатывает как входящий, так и исходящий трафик, устанавливается как брандмауэр и обеспечивает функции безопасности.

Исходя из перечисленного, можно составить таблицу поддерживаемых и не поддерживаемых сценариев для каждого из двух продуктов.

   TMG       UAG   
Интеллектуальная публикация приложений
Безопасность точки доступа
SSL-туннелированные
Защита от информационных утечек
Поддержка стойких систем аутентификации (KCD, ADFS, OTP)
Сертификаты продуктов (Common Criteria)
Интеграция с NAP
Интеграция с Terminal Services
Управление массивами
Расширенное управление и мониторинг (MOM Pack)
Мобильные решения
Настраиваемый пользовательский портал
Конфигурирование с помощью мастеров настройки
Поддержка множества языков RTL


Граничные условия использования Forefront TMG

Итак, у каждого из двух продуктов есть свои поддерживаемые и не поддерживаемые конфигурации. Forefront TMG НЕ ПОДДЕРЖИВАЕТ работу в следующих конфигурациях:

  • Работа в 32-разрядных Windows
    Forefront TMG может быть установлен только в 64-разрядных версиях Windows, включая Windows Server 2008 SP2 или 2008 R2
  • Не поддерживается работа в Windows Server 2003 и Windows 2000 (требуется Windows Server 2008 или выше)
  • Не поддерживается редакция “Windows Server Core” Windows Server 2008
    Forefront TMG будет работать только в редакциях Standard, Enterprise и Datacenter
  • При работающем Forefront TMG не поддерживается Enterprise Management Server
  • Не поддерживается прямая миграция с ISA Server 2004/2006
    Пользователи ISA Server должны экспортировать настройки, после чего импортировать их в TMG Server
  • Невозможно прямое обновление с Windows Server 2008 SP2 на Windows Server 2008 R2
    При установленном Forefront TMG прямое обновление с Windows Server 2008 SP2 на Windows 2008 R2 невозможно
  • Установка Forefront TMG на доменный контроллер не поддерживается
    Исключение: вы можете установить Forefront TMG SP1 на Read Only Domain Controller (RODC)
  • Не поддерживается Firewall Client 2000
  • Forefront TMG обладает рядом ограничений при развёртывании в рабочей группе.
    - Аутентификация по протоколам LDAP (сценарии публикации) и RADIUS (входящий/исходящий доступ) возможна только для групп пользователей
    - Клиентские сертификаты не могут быть использованы в качестве средства первичной аутентификации
    - Не поддерживается отображение пользователей (за исключением PAP и SPAP)
    - Не поддерживаются групповые политики развертывания сертификатов для проверки HTTPS
    - Не поддерживается автоматическое определение веб-прокси при использовании Active Directory Auto Discover
  • При установленном Forefront TMG Server не разрешается использование других брандмауэров.


Граничные условия использования Forefront UAG

У Forefront UAG также есть свои поддерживаемые и не поддерживаемые сценарии.

Forefront UAG: функционал DirectAccess

Подобно Forefront TMG, с помощью Forefront UAG можно опубликовать веб-сервер, расположенный на компьютере из локальной сети. Это можно сделать как напрямую, так и через веб-портал.

Кроме того, Forefront UAG расширяет функционал DirectAccess, доступный в Windows Server 2008 R2, выступая в роли сервера DirectAccess. При этом необходимо иметь в виду следующее:

  • Forefront UAG может одновременно использоваться в качестве сервера публикации и сервера DirectAccess на одном и том же компьютере.
  • Массив серверов Forefront UAG Array может быть сконфигурирован таким образом, чтобы обеспечивать дистанционный доступ к опубликованным серверам. В то же самое время, этот же массив может выступать и в роли сервера DirectAcccess.
  • При использовании Forefront UAG в качестве сервера DirectAccess приложение Network Connector будет недоступно.

IPv6

Поддержка IPv6 в Forefront UAG ограничена. Продукт поддерживает только тот функционал IPv6, который необходим для поддержки DirectAccess, базирующегося на этом протоколе. Соответственно, Forefront UAG поддерживает следующие типы трафика IPv6:

  • Входящий авторизованный трафик IPv6 через IPsec.
  • Двусторонний трафик IPv6 серверов Forefront UAG DirectAccess.
  • Двусторонний трафик переходных технологий IPv6 (6to4, Teredo, IP-HTTPS и ISATAP).

Остальные типы трафика IPv6 не поддерживаются.


Совместная работа Forefront UAG и Forefront TMG

Итак, мы рассмотрели работу двух продуктов по отдельности. Настало время изучить режим, в котором оба продукта работают параллельно. В то же время попробуем ответить на вопрос: можно ли заменить устаревший и снятый с производства Forefront TMG более новым продуктом Forefront UAG?

Forefront UAG обладает множеством продвинутых возможностей публикации, что само по себе представляет интерес для пользователей TMG. Тем не менее, прежде чем принять решение о переходе с одного продукта на другой, необходимо иметь в виду следующее:

  • Forefront TMG не является самостоятельным продуктом, и устанавливается в составе Forefront UAG. Установить или деинсталлировать Forefront TMG как самостоятельный продукт – невозможно.
  • Forefront UAG использует возможности Forefront TMG, но не наоборот.
  • Forefront TMG обеспечивает серверу Forefront UAG дополнительную безопасность, выступая в роли брандмауэра.
  • При изменении настроек Forefront UAG, соответствующие изменения вступают в силу и в настройках Forefront TMG, но не наоборот.
  • Опубликовать сервер с использованием Forefront TMG намного проще, чем в UAG. Соответственно, если ваша цель – публикация веб-сервера, удалённого доступа к электронной почте или доступа по протоколу RDP, использование Forefront TMG упростит их установку и поддержку.

Что не поддерживает Forefront TMG

While some configuration changes can be done to Forefront TMG via the TMG Management console (MMC), the following configurations are explicitly not supported:

  • Не поддерживается отдельная установка Forefront TMG. Продукт поставляется в составе пакета Forefront UAG.
  • Аналогично, не поддерживается и отдельная деинсталляция Forefront TMG. Продукт будет деинсталлирован при деинсталляции Forefront UAG.
  • Если Forefront TMG уже установлен, то установить Forefront UAG на том же компьютере не удастся.
  • Настройка Forefront TMG в качестве прямого прокси для исходящего доступа в интернет невозможна.
  • Невозможно настроить Forefront TMG в качестве промежуточного VPN-сервера.
  • Forefront TMG невозможно настроить в качестве системы защиты от вторжений.
  • Невозможна публикация Forefront TMG через Forefront UAG.

Что поддерживает Forefront TMG

Некоторые настройки могут быть выполнены с использованием Forefront TMG Management Console (MMC).

  • Можно создавать правила удалённого доступа к VPN для пользователей, групп и сетей. При этом любые дополнительные правила доступа должны размещаться ниже политик брандмауэра, автоматически созданных Forefront UAG.
  • Доступны настройки мониторинга, записи и создания отчётов.
  • Политики Forefront TMG могут быть настроены таким образом, чтобы обеспечить двусторонний обмен трафиком между Forefront TMG и внутренними серверами.
  • Можно опубликовать почтовые серверы Exchange с использованием протоколов SMTP/SMTPS, IMAP/IMAPS и POP3/POP3S.
  • Возможна публикация Office Communications Server (OCS)
    При этом публикация веб-доступа к OCS не поддерживается. Такая публикация доступна в Forefront UAG.

Forefront TMG снят с производства. Используем Forefront UAG без TMG

Развитие Forefront TMG было прекращено в декабре 2012 года. Соответственно, выход очередного пакета обновлений для публикуемого сервера (например, новой версии Exchange Server) способен заблокировать работу уже настроенной и отлаженной системы. Обычно такие проблемы решаются выпуском соответствующего пакета обновлений или сервис-пака. Но в связи со снятием продукта с производства таких обновлений не предвидится. Соответственно, многие пользователи будут вынуждены мигрировать на Forefront UAG, оказываясь без брандмауэрной защиты и полагаясь исключительно на встроенные в UAG средства безопасности. with no added protection available from the currently discontinued Forefront TMG. Для защиты сети без Forefront TMG можно использовать следующие конфигурации:

  • Установка Forefront UAG в демилитаризованной зоне (DMZ) за внешним брандмауэром.
  • Запуск Forefront UAG параллельно с существующим брандмауэром.

Вопрос выбора конкретного брандмауэра лежит за рамками данной статьи. На рынке доступна масса наименований. Кроме того, для обеспечения корректной работы сервера UAG потребуется выставить корректные настройки портов. 

Теги: TMG, UAG