Прошу любить и жаловать, Forefront Threat Management Gateway Public Beta 2
Свершилось чудо — друг спас друга… прошу прощения, отвлёкся. Но нечто чудесное действительно имеет место быть. Именно поэтому большинство поклонников корпоративного брандмауэра Microsoft ISA Server методично подбрасывают в воздух чепчики :) “Что же такого произошло?” — воскликнет уважаемый читатель. Но обо всём по порядку…
Итак, почти год назад общественности стала доступна первая бета-версия преемника Её Величества Microsoft ISA Server в составе продукта Forefront Codename Stirling. Каких бы то ни было заметных восторгов по поводу первой версии Forefront Threat Management Gateway (Forefront TMG) со стороны общественности замечено не было. Оно и понятно: совершенно сырая версия продукта, не отличающаяся практически ничем от Microsoft ISA Server 2006, кроме как встроенным модулем защиты от вредоносного ПО (и то работающим нестабильно). Моему удивлению не было предела, когда обнаружилось, что данная версия не интегрируется с другими системами Forefront Codename Stirling, хотя и поставляется исключительно в составе данного продукта. Говоря словами водителя такси из незабвенного шедевра отечественной киноиндустрии “Брат 2″, парадокс…
Долго ли, коротко ли прошло около полугода.15 сентября 2008 года было отмечено выходом Windows Essential Business Server 2008. Для нас этот продукт примечателен наличием в его составе особой редакции Microsoft Forefront Threat Management Gateway Medium Business Edition (TMG MBE). Но и этот релиз не вызвал у сообщества шквала ликования. Вполне заслуженно, по моему скромному мнению. Forefront TMG MBE опять-таки привнёс непростительно мало нововведений: поддержка 64-разрядной платформы и антивирусный модуль… на этом список окончен. Мало, мало и ещё раз мало огня…
Наше время. 4 февраля Yuri Diogenes в рамках мероприятия TechReady 8 в Сиэтле демонстрирует новую версию Forefront TMG Beta 2! Радости Вашего покорного слуги не было предела. Это означало лишь одно — в самом скором времени, после года ожидания, выйдет новая версия Forefront TMG Beta 2. И что Вы думаете?
7 февраля вышла в свет вторая публичная бета-версия Microsoft Forefront Threat Management Gateway Beta 2! И этот релиз действительно стоит того, чтобы писать о нём в восторженных тонах. Так чем же она хороша? На данный момент ограничусь общим списком (очень немаленьким, надо сказать) нововведений, представленных в Forefront TMG Beta 2.
• 64-разрядной архитектура. Исключительно 64-разрядная реализация. Forefront TMG Beta 2 устанавливается только на ОС Microsoft Windows Server 2008 x64.
• Поддержка протокола IPv6.
• HTTPS Inspection. Инспекция HTTP/HTTPS-трафика на наличие вирусного и шпионского кода, а также анализ веб-контента на соответствие корпоративным политикам (фильтрация ресурсов на основе классификации).
• ISP Link Redundancy. Поддержка нескольких интернет-каналов. Предварительную информацию об этой функции я приводил в одном из предыдущих сообщений. ISP Link Redundancy позволяет организовать отказоустойчивое подключение к сети Интернет посредством сразу двух ISP-каналов. Причем возможно как горячее резервирование интернет-канала, так и балансировка сетевой нагрузки между интернет-каналами. Наконец-то появилась возможность направления определенного сетевого трафика через конкретный интернет-канал!
• Network Inspection System. Технология обнаружения и предотвращения сетевых вторжений, основанная на IPS GAPA (Generic Application Layer Protocol Analyzer) . NIS представляет собой полноценное IDS/IPS-решение уровня предприятия. NIS производит анализ сетевого трафика на основе сигнатурного метода, а также методом определения аномальных действий. Причем сетевых атак обновляются на регулярной основе через службу Microsoft Update.
• Enhanced NAT. Возможность трансляции адресов по схеме 1-to-1 NAT. Это позволит опубликовать для внешнего доступа, к примеру, Ваш почтовый сервер на специально выделенном адресе.
• VoIP Traversal. Полноценная поддержка протокола SIP. Причем Forefront TMG не ограничивается поддержкой самого протокола SIP. Появился специальный мастер, позволяющий настроить Forefront TMG на работу с IP PBX-системой, использующей SIP.
• Email Protection. Возможность интеграции с ролью Microsoft Exchange Server 2007 Edge Transport Server почтовой системы Microsoft Exchange Server 2007 для защиты электронной почты от вредоносного ПО и спама на уровне сетевого периметра. Консоль управления Forefront TMG обладает всем необходимым для настройки данного функционала.
• Работа в массиве (Arrays). Появилась возможность создавать массив из стандартных редакций Forefront TMG Standard Edition! Напомню, что раннее в массив можно было добавить только редакции ISA Server Enterprise Edition. Причем теперь Вы можете добавлять Forefront TMG в массив или выводить из массива тогда, когда Вам угодно прямо из консоли управления.
• Простота конфигурации. Настройка производится с широким использованием интуитивно понятных сценариев (Wizards).
• Возможность интеграции с Forefront Security Suite (codename Stirling). Forefront TMG может обмениваться информацией о состоянии защиты с другими системами безопасности посредством механизма Security Assessment Sharing. Это позволяет интегрировать Forefront TMG в целостную систему защиты всех типов информационных активов компании. За подробностями можете обратиться к записи моего доклада, посвященного Forefront codename Stirling.
Это далеко не полный список функций Forefront TMG. В ближайшее время я постараюсь подробно описать каждую из функций на страницах этого блога. Держите руку на пульсе, а точнее на RSS-канале =)
Подводя итоги. Наследный принц Forefront TMG представляет собой новое поколение систем защиты периметра корпоративной сети и в ближайшем будущем (гораздо раньше, чем Вы думаете) потеснит на престоле ISA Server 2006, служившую долгое время верой и правдой. Что поделать, время неумолимо бежит вперед. Мы можем лишь быть готовыми к грядущим переменам!
Сделайте первый шаг в будущее прямо сейчас, загрузив публичную бета-версию Forefront TMG Beta 2.
Related Posts
- Знакомьтесь, Forefront Threat Management Gateway (Встреча первая)
- Знакомство с Forefront Codename Stirling
- Новый механизм автообнаружения в Forefront TMG Beta 2
- На шаг ближе с выходом Forefront TMG Beta 3
- Запись вебкаста “Защита электронной почты с помощью Forefront TMG” | Forefront Ninjutsu Sono Itchi (#1)
Очень привлекательно, но все меркнет перед стоимостью данного решения. Небольшие предприятия тоже имеют потребность в новых фичах.
А Вы с чем, простите, сравниваете?
В отличие от большинства продуктов данной категории ISA Server лицензируется на физический процессор (то есть на сокет, в который можно установить и 4х ядерный процессор).
Стоимость лицензии ISA Server 2006 Standard Edition составляет примерно 1500$. С учетом того, что ISA Server потребляет ну ооочень мало ресурсов, одного процессора Вам точно хватит для обслуживания до 500 пользователей.
А теперь посмотим на продукт Kerio Winroute Firewall. Его стоимость из расчета на 250 пользователей составит более 5000 и не долларов, а евро. Про CheckPoint Firewall-1 я вообще молчу =)
Так что ISA Server далеко не самое дорогое решение с очень удобной моделью лицензирования. Официально цены на Forefront TMG не объявлены, но скорее всего они не будут существенно отличаться.
Одно огорчает, прямого апгрейда с ISA Server до Forefront TMG не будет (даже для подписчиков Software Assurance) :(
А как насчет 50-100 пользователей?
Это напоминает урок занимательной арифметики =)
Смена количества пользователей на значение 50-100 ситуацию не изменит. По приведенной мною ссылке находиться полный расчет стоимости лицензий для Kerio Winroute Firewall для 50 пользователей. Стоимость составит 1067€. Таким образом примерная стоимость лицензий для 50-100 пользователей составит 1067-2011€, что в любом случае больше, чем лицензия на ISA Server.
Помимо этого, функционально продукт ISA Server выглядит более выгодно, чем Kerio Winroute Firewall.
И напоследок. Не припомню, чтобы Kerio Winroute Firewall прошел сертификацию ФСТЭК и тем более ФСБ РФ. Тогда как ISA Server 2006 успешно прошла названные сертификационные испытания.
Судя по всему, данный продукт явно позиционируется не для малого бизнеса, а как минимум для Meduim, а то и Enterprise. В свете этого особо полезными кажутся функции ISP Link Redundancy и Enhanced NAT. Очень хочется посмотреть на сетевую инфраструктуру достаточно большой компании, которая использует этот замечательный продукт вместо какого-то там пограничного маршрутизатора :)
Ну почему же не для малого бизнеса? ISA Server 2004 входит в состав продукта Microsoft Small Business Server 2003 (SBS). А этот продукт позиционируется именно для малого бизнеса, как видно из названия.
Всё дело в потребностях конкретной компании. Некоторым и на 10 пользователей нужен полноценный прокси-сервер и сетевой брандмауэр. В случае сравнения с продуктом компании Kerio выигрыш в стоимости наблюдается уже для 50 пользователей.
Лично я полагаю, что функция ISP Link Redundancy будет включена только в редакцию Forefront TMG Enterprise Edition, так как эта функция вряд ли будет широко востребована у компаний малого бизнес-сектора.
Насчет компаний, реально использующих ISA Server вместо “какого-то там пограничного маршрутизатора” сходу смог вспомнить 8 таких компаний. Про Forefront TMG ничего не могу сказать. Нормальные ИТ-специалисты бета-версии продуктов в продакшн не выводят, а тихонько тестируют в виртуальном окружении, терпеливо дожидаясь релиза продукта =)
Насколько я понимаю статья посвящена TMG, а не ISA Server 2004 :) Для какого рынка позиционируется TMG? Да, и еще, насколько малому бизнесу интересны массивы из нескольких TMG?
Ага, а значит средний и большой бизнес готов отказаться от нормальной сетевой инфраструктуры и подключить каналы от ISP прямо в сервер…
Сколько из ний является достаточно большими (как я писал в своем письме) и можно ли посмотреть на их сетевую инфраструктуру? Опять таки, речь не о ISA 2004 :) В предыдущем постее я написал “которая использует этот замечательный продукт вместо какого-то там пограничного маршрутизатора”. Правильнее было бы “собирается использовать”, поскольку речь именно о TMG.
Я надеюсь Вы поняли, что моя ирония связана с очередной попыткой Майкрософта залезть на совершенно не свойственный ей рынок, сделать нечто, существующее на этом рынке уже десятилетия (причем весьма коряво) и заявить на весь мир: “Смотрите что еще научились делать наши замечательные продукты”. В качестве второго примера могу привести NAP.
Что еще интересно, что благодаря такой политике вполне нормальный продукт превращается в какого-то монстра.
Теперь о деньгах. Никогда не мог понять, почему всегда считается только стоимость самого продукта. Неужели Windows Server 2008 x64 (как единственная OS, на которую данный продукт устанавливается) в хорошие руки отдается бесплатно? А стоимость сервера, на котором это все будет работать? Маршрутизатор Cisco серии 2800 стоит от $2000 до $5000 по GPL (от которого вполне получаема скидка 15-20%) в зависимости от конкретной модели и комплектации. Но эта железка справится с функцией сетевого брэндмауэра немного лучше. Правда в ней нет (и скорее всего никогда не будет) прокси и антивируса. Так почему Майкрософт не выпускает просто хороший прокси сервер? Зачем на него навесили весь этот тюнинг?
Давайте окончательно разберемся с терминологией. Я говорю о продукте ISA Server, который в последнем поколении сменил имя на Forefornt TMG. По сути это разные названия разных поколений одного продукта. К слову о малом и среднем бизнесе, уже в прошлом году вышла специальная редакция Forefront TMG Medium Business Edition.
В принципе, я готов признать, что большинству компаний (но далеко не всем) малого бизнеса ни к чему траты на выделенный интернет-сервер с установленным ISA Server. Чего не скажешь о средних компаниях и компаниях enterprise-сектора.
Повторюсь, это зависит от конкретной компании. Но, если компания не захочет тратить деньги на приобретение дополнительных маршрутизаторов, можно подключить интернет-каналы прямо к серверу Forefront TMG. Но опять же сложно говорить о продукте, который находиться в данный момент в стадии бета-тестирования. А вообще ISA Server может обрабатывать трафик до 4,5 Гбит/сек (заявлениям компании Майкрософт) и 1,5 Гбит/сек (согласно практическому опыту). И уж тем более с точки зрения безопасности в подобном сценарии нет никаких изъянов.
Информацией о компаниях собирающихся переходить на Forefront TMG после его выхода, я не располагаю. Но не испытываю ни малейшего сомнения, что такие найдутся.
Ваш ироничный тон я, конечно же, понял. Надо признаться, не в первый раз мне приходиться слышать подобные фразы от поклонников продуктов компании Cisco =) Но причина этого тона мне до сих пор не ясна.
Компания Майкрософт не пыталась и не пытается залезть на рынок сетевых решений. Там действительно уже десятилетиями доминируют совсем другие компании. Я никого не призывал и не призываю стоить сетевую инфраструктуру на ISA Server/Forefront TMG. Разговор идёт о безопасном доступе к ресурсам сети Интернет, объединению сетей посредством сети Интернет и предоставлении доступа к внутренним корпоративным информационным ресурсам из сети Интернет.
Надо понимать, что современный бизнес предъявляет совсем иные требования к интернет-шлюзу, чем десятилетие назад. Время пакетных файрволов давно прошло. И даже функционала отслеживания соединений (statefull inspection) в наше время недостаточно для приемлемого уровня безопасности соединения с сетью Интернет.
Современный пограничный шлюз должен предоставлять возможности полнофункционального прокси-сервера (как прямого так и обратного), возможность инспектирования сетевого трафика на уровне приложений, в том числе и зашифрованного, сканирования трафика на наличие вредоносного кода, а также поддерживать самые современные методы аутентификации. Это далеко не весь список требований.
К примеру, если для соединения головного офиса и филиала используется Site-2-Site VPN, организованный посредством ISA Server, распространение недавнего вирусного триумфатора в лице W32.Conficker можно было предотвратить. Если филиал оказался заражён, можно предотвратить распространение вируса на уровне ISA Server.
Опять же с помощью того же Cisco PIX или ASA можно заблокировать трафик Skype? Буду благодарен, если подскажете. А с помощью ISA Server/Forefront TMG это делается в два клика за счет инспекции HTTPS-трафика на уровне приложений.
Я уже молчу про предоставление удаленного доступа. Что может предложить PIX? IPSec, Port Forwarding, NAT? Даже комментировать не буду. А с помощью ISA Server Вы можете создать красивый, как это модно говорить, user friendly-портал доступа на великом множестве языков, заставлять пользователя вводить верительные данные только один раз за счет Single Sign On (SSO), использовать сертификаты инфраструктруы открытых ключей для аутентификации пользователей и многое-многое другое…Расширемость ISA Server практически безгранична за счет открытой SDK и огромного количества партнерских решений. И соответственно решения на основе ISA Server гораздо более масштабируемы, чем аппаратные брандмауэры.
Напоследок отмечу, что для любителей hardware appliance существует великое множество партнерских решений на платформе ISA Server форм-фактора 1U (-:
Стоимость серверной лицензии Windows Server 2008 x64 составляет порядка 1000$. Суммируя с лицензией на ISA Server получается порядка 2500$. Опять же ISA Server прекрасно фугкционирует в вирутальном окружении, что значительно снижает затраты на оборудование, его поддержку, серверную площадку и т.д.
Простите, а причем тут маршрутизатор? Речь идет об организации безопасного доступа к/из сети Интернет. А маршрутизатор максимум обладает функцией пакетного файрволла.
Майкрософт выпускает продукт призванный не эксплуатировать определенную технологию, а решить определенную задачу. В данном случае задачу организации безопасного, простого и максимально масштабируемого доступа к ресурсам сети Интернет, защищенного удаленного доступа к информационным ресурсам и приложениям внутренней сети компании, а также простой работы пользователей без снижения приемлемого уровня безопасности. Просто давно пора понять, что подключение к сети Интернет в современном бизнесе выходит далеко за рамки сетевого уровня.
В заключении отмечу, что ISA Server не в коем случае не исключает требование наличия хорошо организованной сетевой инфраструктуры на основе специализированного сетевого оборудования (в частности производства компании Cisco). Peace Vm =)
Архитектурное решение по включению ISA или TMG не диктует прямое включение провайдера в сервер: можно включить канал в сервер, а можно через сетевые аппаратные устройства, если это необходимо. Надо исходить из конкретной ситуации. На практике провайдер подключается через устройство доступа, которое как правило выполняет функции маршрутизатора/фаэвола – для ISA это без разницы.
ISA сервер по определению не может считаться продуктом для “малого” бизнеса, т.к. рассчитан на применение главным образом в среде AD! “Малый” бизнес должен настолько “большим”, чтобы испытавать потребность в AD как минимум и как минимум потянуть по деньгам SBS 2003 сервер.
TMG будет маштабироваться аналогично ISA: от интергрированный решений Windows Essential Server 2008 до стационарных TMG.
Что касается сравнения с Cisco, то тут надо учесть два момента. Первое, что дыр в IOS полно, а без оплаченной поддержки их не залатать. Второе, вся поддержка Cisco платная, причем платить надо постоянно покупая SA! Таким образом решение Cisco влетает в очень существенные затраты даже на уровне “малого” бизнеса. Поддержка Microsoft может быть платной, но это не требуется безусловно как в случае с Cisco.
Что касается “железка справится с функцией сетевого брэндмауэра немного лучше”, то все же о чем говорим? Если о шлюзе безопасности, чем является TMG, то надо сравнивать с Cisco ASA, а не с Cisco 2800 – цена уже другая :-) Cisco 2800 логичнее сравнивать с Windows Server 2008 Std – он имеет вполне сопоставимый фаэрвол, да еще RRAS.
Илья, спасибо за полезную информацию о модели лицензирования устройств компании Cisco. Никогда бы не подумал, что для получения обновлений, закрывающих обнаруженные уязвимости требуется платить деньги :)
Напротив обновления безопасности для продуктов компании Microsoft распространяются бесплатно. Но в случае с ISA Server 2006 это не важно, потому как с момента релиза этого продукта в нем не было найдено ни одной уязвимости.
Что касается позиционирования продукта ISA Server/Forefront TMG. Во времена ISA Server 2004 компания Microsoft попыталась “ввести” его в сектор малого бизнеса в качестве компонента Small Business Server 2003. Собственно, эта попытка особым успехом не увенчалась. Скорее всего потому, что большинству компании малого бизнеса выделенный сервер безопасности ни к чему.
Подтвержение этому можно увидеть в вышедшем в конце прошлого года Small Business Server 2008, который уже не содержит в своем составе ни ISA Server, ни Forefront TMG. Зато новый продукт для средних компаний, получивший название Windows Essential Business Server 2008 (EBS 2008), неотъемлемо включает в себя роль Security Server. Эта роль базируется на специальной версии Forefront TMG Medium Business Edition. Тем самым Microsoft окончательно сдвинула акцент Forefront TMG на средний бизнес и enterprise-класс.
В заключении, соглашусь со словами Ильи. Нужно четко разделять понятия сетевого уровня и шлюза безопасности. Не буду спорить, что возможности маршрутизации ISA Server/Forefront TMG уступают возможностям специализированных маршрутизаторов Cisco. Но при проектировании ISA Server такой задачи и не ставилось.
Если компании необходимы широкие возможности организации сетевого взаимодействия и маршрутизации, пожалуйста, приобретайте выделенный маршрутизатор(ы) и используйте вместе с ISA Server. А если компании среднего размера требует объединить пару филиалов с головным офисом, организовать пару VPN-туннелей до сетей компаний-партнеров и при этом получить выделенный шлюз безопасности подключения к сети Интернет и защищенный удаленный доступ к приложениям и ресурсам внутренней сети компании, с этой задачей прекрасно справиться и один ISA Server/Forefront TMG. При этом, повторюсь, можно съэкономить, приобретая hardware appliance на базе ISA Server или EBS 2008.
Интересно будет поглядеть на этот продукт. В свое время я юзал isa 2000 и 2004. На данный момент cisco плюс Squid.
Вот если бы продукт – маршрутизация и ВПН как у циско, ресурсопотребление и нарезка канала по пользователям прокси как у сквида, фаевол уровня приложения от ISA. То я бы однозначно его использовал :)
@Serg
Описанный Вами продукт без сомнения пользовался бы популярностью =)) Но мы имеем дело с реальностью. А в нашей реальности такой продукт вряд ли увидит свет. Хотя… Однако, по пунктам.
Про маршрутизацию я уже писал – ISA Server не позиционируется как полноценный маршрутизатор. Если у Вас сложная сетевая инфраструктура, лучше воспользоваться для этих целей специализированным устройством.
А вот VPN от Cisco – это для меня больная мозоль. Вынужден пользоваться ПО Cisco VPN Client v5.0. Уважаемые, кто в наше время так отвратительно пишет софт?! Это же без слёз нельзя использовать. Встроенный VPN-клиент OC Windows XP/Vista на порядок удобнее и стабильнее. Отмечу, что в данном вопросе руководствуюсь только личным опытом.
ISA Server вообще отличается исключительно низким потреблением системных ресурсов (обратите внимание на данное руководство).
Нарезку канала и квотирование трафика можно реализовать за счет сторонних фильтров приложений для ISA Server (к примеру, Bandwidth Splitter или TrafficQuota).
И последнее. Брандмауэра с инспекцией на уровне приложений, реализованной лучше чем в ISA Server, лично я не встречал. ИМХО =)
@Артём [d.raven] Синицын
Ну, например, с решениями на базе xBSD либо Linux.
Интересное сравнение. А что же за ПО на базе xBSD/Linux обладает таким же функционалом, как Forefront TMG?
Уже давно известно, что общая стоимость владения более-менее сложной инфраструктурой, построенной исключительно на базе *nix-систем, ни в коем случае не меньше аналогичной инфраструктуры на базе серверных OC Windows.
Тем более, каким образом Вы планируете получать поддержку подобного решения? Наверняка, Вам обеспечат поддержку прекрасные и оперативные форумы с девизом “Понравился вопрос – отвечу, если не лень. Ну а не понравился – не обесудьте” =)
Артем, Ваша позиция понятна. Но многие вещи Вы откровенно преукрашиваете. Я тоже большой поклонник ISA 2006, но не нужно путать теплое с мягким. На мой взгляд ISA это СТРОГО back фаервол в back-to-back конфигурации. Вот тут она во всей красе может предложить все свои возможности. Ставить ее наружу в качестве front фаервола – только для оч маленьких компаний, и то в данном случае проще что нить аппаратное купить. По сетевому функционалу – извините но Вы не правы. Cisco ASA – мощнейший аппартный фаерволл с кучей фич. Одни динамичские протоколы маршрутизации чего стоят. Про VPN на кошках – не нужно так говорить, нашей ISA до него как до марса. Это факт. Я когда первый раз увидел был сильно удивлен. Кстати, он отлично работает в паре с МС клиентом, не нужно никаких др клиентов. В нем и еще есть куча фич которых у ISA нет, и возможно не будет. Но безусловно это продукты исключительно для сидл и энтерпрайз.
Из каких соображений Вы определяете ISA Server СТРОГО в качестве back-end брандмауэра? Неужели, потому что “ISA Server – это небезопасно, поэтому нужно прикрывать его нормальным аппаратным брандмауэром” =) ISA Server можно развернуть в топологии Back-2-Back Firewall, как в качестве Front-End, так и Back-End Firewall.
И в чем же я не прав? Я в сотый раз повторяю, если Вам необходим мощный маршрутизатор для сложной сетевой инфраструктуры – ISA Server не Ваш выбор. Маршрутизация ISA Server базируется исключительно на службе RRAS в составе Windows Server 2003. К слову сказать, RRAS также поддерживает динамические протоколы маршрутизации: и RIPv2, и OSPF. Но когда я говорил, что ISA Server заменяет специализированный маршрутизатор?! С помощью ISA Server можно выполнять только базовые задачи маршрутизации, часто этого функционала хватает с лихвой.
Что касается VPN – я говорил про конкретную реализацию VPN-доступа с помощью Cisco PIX. Честно говоря, не понимаю, чем может не устраивать реализации VPN-сетей в ISA Server. Более того, Вы можете использовать ISA Server в качестве конечной точки VPN Site-2-Site совместно с устройствами Cisco на другом конце туннеля.
Коль скоро Вы упомянули Cisco ASA, насколько мне известно этот продукт стоит дороже ISA Server. А если учесть, что поддержка у компании Cisco обязательна для получения обновлений IOS (в том числе и обновлений безопасности), то общая стоимость владения данным решением выглядит никак не выгоднее решения на ISA Server.
В завершение отмечу, что выгоду от использования того или иного продукта необходимо рассматривать исключительно в контексте конкретной решаемой задачи.