Знакомьтесь, Forefront Threat Management Gateway (Встреча первая)
Согласно заверениям компании Майкрософт полная версия продукта Forefront Threat Management Gateway (Forefront TMG), являющегося прямым наследником Microsoft ISA Server, выйдет только в первом полугодии 2009 года. Но уже сейчас известно, что помимо всего функционала Microsoft ISA Server продукт будет включать в себя улучшения существующих, а также множество новых функций. Итак, по многочисленным просьбам трудящихся оглашаю весь список.
• Поддержка 64-разрядной архитектуры: Forefront TMG представляет собой продукт, полностью созданный на базе кода 64-разрядной платформы. Уже достоверно известно, что Forefront TMG можно будет инсталлировать только на 64-разрядные версии Windows Server 2008. Стоит отметить, что по аналогии с Microsoft Exchange Server 2007, бета-версия является 32-разрядной, что позволяет ознакомиться с продуктом в виртуальном окружении под управлением Microsoft Virtual PC или Microsoft Virtual Server.
• Поддержка IPv6: Это вряд ли можно назвать “фичей”, скорее реализацией обязательного на сегодняшний день функционала.
• Web Access Policy: В Forefront TMG появился новый узел конфигурации, именуемый Web Access Policy.
В данном узле располагаются все настройки службы веб-прокси, параметры доступа пользователей к ресурсам сети Интернет по протоколам HTTP, HTTPS, FTP-over-HTTP (туннелированный FTP), а также параметры конфигурации модуля проверки пользовательского трафика на наличие вредоносного кода – Malware Inspection.
Данный узел включает в себя специализированный мастер конфигурации Configure Web Access Policy.
За подробностями по использованию этого мастера можно обратиться к этой статье Томаса Шиндера.
• Malware Content Inspection: Forefront TMG имеет в своём арсенале модуль проверки веб-трафика на наличие вредоносного кода. Данный модуль использует движок Microsoft Antimalware Engine и позволяет инспектировать HTTP и туннелированный FTP-трафик клиентов веб-прокси.
Более того, можно проверять трафик даже исходящих HTTPS-соединений! При этом пользователь, чья SSL-сессия проверяется модулем Malware Inspection, получает уведомление об этом процессе. Также есть возможность исключать определённые веб-узлы из проверки.
Примечание: На данный момент администраторы ISA Server могут реализовать проверку HTTPS-трафика пользователей за счёт использования стороннего фильтра SSL Decoder, входящего в бесплатный набор утилит ISA Server (Forefront TMG) Toolkit компании RedLine Software.
Модуль проверки предоставляет гибкие возможности настройки.
При загрузке файлов большого объёма пользователю может быть продемонстрирована информация о процессе проверки загружаемых файлов на наличие вредоносного кода.
Подробнее об этом функционале можно почитать в этой статье Томаса Шиндера.
• Технология активной защиты от атак: Forefront TMG будет включать в себя систему обнаружения вторжений уровня сети (Network based Intrusion Detection System, N-IDS), разработанную Microsoft Research и именуемую GAPA. В отличие от частичной реализации функционала механизма обнаружения сетевых вторжений, используемого в ISA Server, GAPA представляет собой полноценную систему N-IDS. Microsoft заявила, что сигнатуры сетевых атак для расширения функционала GAPA будут периодически поставляться в виде пакетов обновлений. Стоит отметить, что система GAPA также будет включена в следующую версию продукта Forefront Client Security.
• Поддержка SIP: В Forefront TMG реализована поддержка протокола SIP, а также функция VoIP (Voice over IP) NAT Traversal, позволяющая данному типу трафика проходить через шлюзы со службой преобразования сетевых адресов (NAT).
• Поддержка SSTP: В Forefront TMG реализована поддержка протокола SSTP (Secure Socket Tunneling Protocol), позволяющего туннелировать трафик VPN-сессии внутри обычного протокола HTTP в рамках SSL-сессии. Этот механизм позволяет без проблем устанавливать VPN-соединения вне зависимости от конфигурации межсетевого экрана, веб-прокси сервера или службы трансляции сетевых адресов. На данный момент эту технологию поддерживают только ОС Windows Vista SP1 и Windows Server 2008. Более подробно о применении данной технологии можно прочитать в этой статье.
Это далеко не полный перечень всех нововведений Forefront TMG. В рамках следующей встречи с молодым наследником Microsoft ISA Server мы рассмотрим возможность интеграции Forefront TMG с технологией Network Access Protection (NAP), представленной в Windows Server 2008, возможность объединения с другими технологиями интегрированной системы защиты Forefront Codename Stirling, новую архитектуру журналирования событий и возможность автоматического резервирования интернет-канала, а также многое другое.
Что-то непонятно по поводу IPv6. В доках сказано так:
Forefront TMG installed in an Essential Business Server scenario drops all IPv6 traffic. Following Forefront TMG installation note the following:
* Forefront TMG denies all IPv6 traffic.
* ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) is disabled.
* The 6to4 interface is disabled. This mechanism allows IPv6 packets to be transmitted over an IPv4 network.
* Whenever the Forefront TMG Control service restarts the Forefront TMG server reregisters with DNS to ensure that there is only an A record registered for the server, and no AAAA (IPv6) record. It also clears the DNS, Address Resolution Protocol (ARP), and Neighborhood Discovery (IPv6 version of ARP) caches.
При том что во всю двигают DirectAccess это вносит смуту по поводу DA vs TMG
felix, Ваше замечание вполне закономерно. Действительно, TMG НЕ поддерживает в полной мере протокол IPv6. Но работать с ним он умеет, как бы парадоксально это ни звучало)
Просто данная тема слишком обширна для обсуждения в комментариях. Я постараюсь осветить данные вопросы в одном из ближайших постов.
Под занавес постараюсь развеять Ваши сомнения насчет “DA vs TMG” – Forefront TMG может быть совмещён с ролью DirectAccess Server в рамках одной системы!!! В скором времени постараюсь этот сценарий подробно описать.
Оставайтесь на линии ;)
DA vs TMG интересно. У меня при установленном DA мастера TMG не показывали настройки сети.
Как и обещал, постараюсь в ближайшее время написать развернутую статейку на тему “Forefront TMG и Direct Access – вместе весело шагать по просторам” :)