Макс Кислов :

На мой взгляд ISA это СТРОГО back фаервол в back-to-back конфигурации.

Из каких соображений Вы определяете ISA Server СТРОГО в качестве back-end брандмауэра? Неужели, потому что “ISA Server – это небезопасно, поэтому нужно прикрывать его нормальным аппаратным брандмауэром” =) ISA Server можно развернуть в топологии Back-2-Back Firewall, как в качестве Front-End, так и Back-End Firewall.

Макс Кислов :По сетевому функционалу – извините но Вы не правы. Cisco ASA – мощнейший аппаратный фаерволл с кучей фич. Одни динамичские протоколы маршрутизации чего стоят. Про VPN на кошках – не нужно так говорить, нашей ISA до него как до марса. Это факт.

И в чем же я не прав? Я в сотый раз повторяю, если Вам необходим мощный маршрутизатор для сложной сетевой инфраструктуры – ISA Server не Ваш выбор. Маршрутизация ISA Server базируется исключительно на службе RRAS в составе Windows Server 2003. К слову сказать, RRAS также поддерживает динамические протоколы маршрутизации: и RIPv2, и OSPF. Но когда я говорил, что ISA Server заменяет специализированный маршрутизатор?! С помощью ISA Server можно выполнять только базовые задачи маршрутизации, часто этого функционала хватает с лихвой.

Что касается VPN – я говорил про конкретную реализацию VPN-доступа с помощью Cisco PIX. Честно говоря, не понимаю, чем может не устраивать реализации VPN-сетей в ISA Server. Более того, Вы можете использовать ISA Server в качестве конечной точки VPN Site-2-Site совместно с устройствами Cisco на другом конце туннеля.

Коль скоро Вы упомянули Cisco ASA, насколько мне известно этот продукт стоит дороже ISA Server. А если учесть, что поддержка у компании Cisco обязательна для получения обновлений IOS (в том числе и обновлений безопасности), то общая стоимость владения данным решением выглядит никак не выгоднее решения на ISA Server.

В завершение отмечу, что выгоду от использования того или иного продукта необходимо рассматривать исключительно в контексте конкретной решаемой задачи.

mikas :
Очень привлекательно, но все меркнет перед стоимостью данного решения. Небольшие предприятия тоже имеют потребность в новых фичах.

Артём [d.raven] Синицын :
А Вы с чем, простите, сравниваете?

Ну, например, с решениями на базе xBSD либо Linux.

Про маршрутизацию я уже писал – ISA Server не позиционируется как полноценный маршрутизатор. Если у Вас сложная сетевая инфраструктура, лучше воспользоваться для этих целей специализированным устройством.

А вот VPN от Cisco – это для меня больная мозоль. Вынужден пользоваться ПО Cisco VPN Client v5.0. Уважаемые, кто в наше время так отвратительно пишет софт?! Это же без слёз нельзя использовать. Встроенный VPN-клиент OC Windows XP/Vista на порядок удобнее и стабильнее. Отмечу, что в данном вопросе руководствуюсь только личным опытом.

ISA Server вообще отличается исключительно низким потреблением системных ресурсов (обратите внимание на данное руководство).
Нарезку канала и квотирование трафика можно реализовать за счет сторонних фильтров приложений для ISA Server (к примеру, Bandwidth Splitter или TrafficQuota).

И последнее. Брандмауэра с инспекцией на уровне приложений, реализованной лучше чем в ISA Server, лично я не встречал. ИМХО =)

Напротив обновления безопасности для продуктов компании Microsoft распространяются бесплатно. Но в случае с ISA Server 2006 это не важно, потому как с момента релиза этого продукта в нем не было найдено ни одной уязвимости.

Что касается позиционирования продукта ISA Server/Forefront TMG. Во времена ISA Server 2004 компания Microsoft попыталась “ввести” его в сектор малого бизнеса в качестве компонента Small Business Server 2003. Собственно, эта попытка особым успехом не увенчалась. Скорее всего потому, что большинству компании малого бизнеса выделенный сервер безопасности ни к чему.

Подтвержение этому можно увидеть в вышедшем в конце прошлого года Small Business Server 2008, который уже не содержит в своем составе ни ISA Server, ни Forefront TMG. Зато новый продукт для средних компаний, получивший название Windows Essential Business Server 2008 (EBS 2008), неотъемлемо включает в себя роль Security Server. Эта роль базируется на специальной версии Forefront TMG Medium Business Edition. Тем самым Microsoft окончательно сдвинула акцент Forefront TMG на средний бизнес и enterprise-класс.

В заключении, соглашусь со словами Ильи. Нужно четко разделять понятия сетевого уровня и шлюза безопасности. Не буду спорить, что возможности маршрутизации ISA Server/Forefront TMG уступают возможностям специализированных маршрутизаторов Cisco. Но при проектировании ISA Server такой задачи и не ставилось.

Если компании необходимы широкие возможности организации сетевого взаимодействия и маршрутизации, пожалуйста, приобретайте выделенный маршрутизатор(ы) и используйте вместе с ISA Server. А если компании среднего размера требует объединить пару филиалов с головным офисом, организовать пару VPN-туннелей до сетей компаний-партнеров и при этом получить выделенный шлюз безопасности подключения к сети Интернет и защищенный удаленный доступ к приложениям и ресурсам внутренней сети компании, с этой задачей прекрасно справиться и один ISA Server/Forefront TMG. При этом, повторюсь, можно съэкономить, приобретая hardware appliance на базе ISA Server или EBS 2008.

ISA сервер по определению не может считаться продуктом для “малого” бизнеса, т.к. рассчитан на применение главным образом в среде AD! “Малый” бизнес должен настолько “большим”, чтобы испытавать потребность в AD как минимум и как минимум потянуть по деньгам SBS 2003 сервер.

TMG будет маштабироваться аналогично ISA: от интергрированный решений Windows Essential Server 2008 до стационарных TMG.

Что касается сравнения с Cisco, то тут надо учесть два момента. Первое, что дыр в IOS полно, а без оплаченной поддержки их не залатать. Второе, вся поддержка Cisco платная, причем платить надо постоянно покупая SA! Таким образом решение Cisco влетает в очень существенные затраты даже на уровне “малого” бизнеса. Поддержка Microsoft может быть платной, но это не требуется безусловно как в случае с Cisco.

Что касается “железка справится с функцией сетевого брэндмауэра немного лучше”, то все же о чем говорим? Если о шлюзе безопасности, чем является TMG, то надо сравнивать с Cisco ASA, а не с Cisco 2800 – цена уже другая :-) Cisco 2800 логичнее сравнивать с Windows Server 2008 Std – он имеет вполне сопоставимый фаэрвол, да еще RRAS.

Alex :

Насколько я понимаю статья посвящена TMG, а не ISA Server 2004 :) Для какого рынка позиционируется TMG?

Давайте окончательно разберемся с терминологией. Я говорю о продукте ISA Server, который в последнем поколении сменил имя на Forefornt TMG. По сути это разные названия разных поколений одного продукта. К слову о малом и среднем бизнесе, уже в прошлом году вышла специальная редакция Forefront TMG Medium Business Edition.
В принципе, я готов признать, что большинству компаний (но далеко не всем) малого бизнеса ни к чему траты на выделенный интернет-сервер с установленным ISA Server. Чего не скажешь о средних компаниях и компаниях enterprise-сектора.

Ага, а значит средний и большой бизнес готов отказаться от нормальной сетевой инфраструктуры и подключить каналы от ISP прямо в сервер…

Повторюсь, это зависит от конкретной компании. Но, если компания не захочет тратить деньги на приобретение дополнительных маршрутизаторов, можно подключить интернет-каналы прямо к серверу Forefront TMG. Но опять же сложно говорить о продукте, который находиться в данный момент в стадии бета-тестирования. А вообще ISA Server может обрабатывать трафик до 4,5 Гбит/сек (заявлениям компании Майкрософт) и 1,5 Гбит/сек (согласно практическому опыту). И уж тем более с точки зрения безопасности в подобном сценарии нет никаких изъянов.

Правильнее было бы “собирается использовать”, поскольку речь именно о TMG.

Информацией о компаниях собирающихся переходить на Forefront TMG после его выхода, я не располагаю. Но не испытываю ни малейшего сомнения, что такие найдутся.

Я надеюсь Вы поняли, что моя ирония связана с очередной попыткой Майкрософта залезть на совершенно не свойственный ей рынок, сделать нечто, существующее на этом рынке уже десятилетия (причем весьма коряво)

Ваш ироничный тон я, конечно же, понял. Надо признаться, не в первый раз мне приходиться слышать подобные фразы от поклонников продуктов компании Cisco =) Но причина этого тона мне до сих пор не ясна.
Компания Майкрософт не пыталась и не пытается залезть на рынок сетевых решений. Там действительно уже десятилетиями доминируют совсем другие компании. Я никого не призывал и не призываю стоить сетевую инфраструктуру на ISA Server/Forefront TMG. Разговор идёт о безопасном доступе к ресурсам сети Интернет, объединению сетей посредством сети Интернет и предоставлении доступа к внутренним корпоративным информационным ресурсам из сети Интернет.
Надо понимать, что современный бизнес предъявляет совсем иные требования к интернет-шлюзу, чем десятилетие назад. Время пакетных файрволов давно прошло. И даже функционала отслеживания соединений (statefull inspection) в наше время недостаточно для приемлемого уровня безопасности соединения с сетью Интернет.
Современный пограничный шлюз должен предоставлять возможности полнофункционального прокси-сервера (как прямого так и обратного), возможность инспектирования сетевого трафика на уровне приложений, в том числе и зашифрованного, сканирования трафика на наличие вредоносного кода, а также поддерживать самые современные методы аутентификации. Это далеко не весь список требований.
К примеру, если для соединения головного офиса и филиала используется Site-2-Site VPN, организованный посредством ISA Server, распространение недавнего вирусного триумфатора в лице W32.Conficker можно было предотвратить. Если филиал оказался заражён, можно предотвратить распространение вируса на уровне ISA Server.
Опять же с помощью того же Cisco PIX или ASA можно заблокировать трафик Skype? Буду благодарен, если подскажете. А с помощью ISA Server/Forefront TMG это делается в два клика за счет инспекции HTTPS-трафика на уровне приложений.
Я уже молчу про предоставление удаленного доступа. Что может предложить PIX? IPSec, Port Forwarding, NAT? Даже комментировать не буду. А с помощью ISA Server Вы можете создать красивый, как это модно говорить, user friendly-портал доступа на великом множестве языков, заставлять пользователя вводить верительные данные только один раз за счет Single Sign On (SSO), использовать сертификаты инфраструктруы открытых ключей для аутентификации пользователей и многое-многое другое…Расширемость ISA Server практически безгранична за счет открытой SDK и огромного количества партнерских решений. И соответственно решения на основе ISA Server гораздо более масштабируемы, чем аппаратные брандмауэры.
Напоследок отмечу, что для любителей hardware appliance существует великое множество партнерских решений на платформе ISA Server форм-фактора 1U (-:

Теперь о деньгах. Никогда не мог понять, почему всегда считается только стоимость самого продукта. Неужели Windows Server 2008 x64 (как единственная OS, на которую данный продукт устанавливается) в хорошие руки отдается бесплатно?

Стоимость серверной лицензии Windows Server 2008 x64 составляет порядка 1000$. Суммируя с лицензией на ISA Server получается порядка 2500$. Опять же ISA Server прекрасно фугкционирует в вирутальном окружении, что значительно снижает затраты на оборудование, его поддержку, серверную площадку и т.д.

Маршрутизатор Cisco серии 2800 стоит от $2000 до $5000 по GPL (от которого вполне получаема скидка 15-20%) в зависимости от конкретной модели и комплектации.

Простите, а причем тут маршрутизатор? Речь идет об организации безопасного доступа к/из сети Интернет. А маршрутизатор максимум обладает функцией пакетного файрволла.

Так почему Майкрософт не выпускает просто хороший прокси сервер?

Майкрософт выпускает продукт призванный не эксплуатировать определенную технологию, а решить определенную задачу. В данном случае задачу организации безопасного, простого и максимально масштабируемого доступа к ресурсам сети Интернет, защищенного удаленного доступа к информационным ресурсам и приложениям внутренней сети компании, а также простой работы пользователей без снижения приемлемого уровня безопасности. Просто давно пора понять, что подключение к сети Интернет в современном бизнесе выходит далеко за рамки сетевого уровня.
В заключении отмечу, что ISA Server не в коем случае не исключает требование наличия хорошо организованной сетевой инфраструктуры на основе специализированного сетевого оборудования (в частности производства компании Cisco). Peace Vm =)

Артём [d.raven] Синицын :Ну почему же не для малого бизнеса? ISA Server 2004 входит в состав продукта Microsoft Small Business Server 2003 (SBS). А этот продукт позиционируется именно для малого бизнеса, как видно из названия.

Насколько я понимаю статья посвящена TMG, а не ISA Server 2004 :) Для какого рынка позиционируется TMG? Да, и еще, насколько малому бизнесу интересны массивы из нескольких TMG?

Лично я полагаю, что функция ISP Link Redundancy будет включена только в редакцию Forefront TMG Enterprise Edition, так как эта функция вряд ли будет широко востребована у компаний малого бизнес-сектора.

Ага, а значит средний и большой бизнес готов отказаться от нормальной сетевой инфраструктуры и подключить каналы от ISP прямо в сервер…

сходу смог вспомнить 8 таких компаний

Сколько из ний является достаточно большими (как я писал в своем письме) и можно ли посмотреть на их сетевую инфраструктуру? Опять таки, речь не о ISA 2004 :) В предыдущем постее я написал “которая использует этот замечательный продукт вместо какого-то там пограничного маршрутизатора”. Правильнее было бы “собирается использовать”, поскольку речь именно о TMG.

Я надеюсь Вы поняли, что моя ирония связана с очередной попыткой Майкрософта залезть на совершенно не свойственный ей рынок, сделать нечто, существующее на этом рынке уже десятилетия (причем весьма коряво) и заявить на весь мир: “Смотрите что еще научились делать наши замечательные продукты”. В качестве второго примера могу привести NAP.
Что еще интересно, что благодаря такой политике вполне нормальный продукт превращается в какого-то монстра.
Теперь о деньгах. Никогда не мог понять, почему всегда считается только стоимость самого продукта. Неужели Windows Server 2008 x64 (как единственная OS, на которую данный продукт устанавливается) в хорошие руки отдается бесплатно? А стоимость сервера, на котором это все будет работать? Маршрутизатор Cisco серии 2800 стоит от $2000 до $5000 по GPL (от которого вполне получаема скидка 15-20%) в зависимости от конкретной модели и комплектации. Но эта железка справится с функцией сетевого брэндмауэра немного лучше. Правда в ней нет (и скорее всего никогда не будет) прокси и антивируса. Так почему Майкрософт не выпускает просто хороший прокси сервер? Зачем на него навесили весь этот тюнинг?