Полноценный, интегрированный шлюз для защиты компаний от web-угроз.
Forefront Threat Management Gateway 2010 (TMG) позволяет работникам безопасно и продуктивно для бизнеса использовать интернет, не беспокоясь о вирусах и других угрозах. Он предоставляет несколько уровней постоянно обновляемой защиты, которые интегрированы в объединенный, легко управляемый шлюз, уменьшающий стоимость и сложность решений по безопасности Web.
Forefront Threat Management Gateway 2010 (TMG) включает два отдельно лицензируемых компонента:
- Forefront TMG server обеспечивает URL-фильтрацию, антивирусную проверку, систему предотвращения вторжений, брандмауэр сетевого уровня и уровня приложений, проверку HTTP/HTTPS в едином решении.
- Forefront TMG Web Protection Service обеспечивает постоянные обновления для антивирусного компонента и доступ к «облачным» технологиям web-фильтрации, предоставляемыми различными производителями в области web-безопасности для защиты от новейших web-угроз.
Новые возможности
| Функция |
Описание |
| URL-фильтрация |
Запрашиваемые URL проверяются на соответствие корпоративной политике и на потенциальную опасность web-сайта. Forefront TMG использует репутационные сервисы Microsoft для web-фильтрации, комбинируя несколько источников информации для увеличения категоризированных URL. |
|
Антивирусная защита web-трафика
|
Входящий и исходящий web-трафик, включая архивы, проверяется на вирусы и нежелательные программы. Зашифрованные файлы могут блокироваться. При проверке больших файлов происходит постепенная отдача части файла пользователю для непрерывности загрузки.
|
|
Проверка протокола HTTPS
|
Шифрованные сессии HTTPS могут быть проверены на наличие вирусов и эксплойтов. Определенные группы сайтов, например онлайн-банкинга, могут быть исключены из проверки для сохранения конфиденциальности. Пользователи TMG Firewall Client могут быть предупреждены о проверке.
|
|
Проверка сетевого трафика (NIS)
|
Трафик может проверяться на наличие кода, использующего уязвимости в продуктах Microsoft. Основываясь на анализе сетевых протоколов, NIS может блокировать атаки с минимальным количеством ложных срабатываний. Защита может обновляться.
|
|
Улучшенная технология трансляции сетевых адресов (NAT)
|
Сейчас Forefront TMG предоставляет возможность определить сервера электронной почты, которые могут быть опубликованы на основе технологии 1-to-1 NAT.
|
|
Улучшенная поддержка IP-телефонии (VoIP)
|
Forefront TMG включает трансляцию SIP, упрощающую внедрение технологии VoIP
|
|
Поддержка Windows Server 64-bit
|
Forefront TMG устанавливается на Windows Server 2008 64-bit
|
Возможности брандмауэра
|
Функция
|
Описание
|
|
Многоуровневый брандмауэр
|
Forefront TMG осуществляет контроль доступа на трех уровнях: проверка пакетов, фильтрация с учётом контекста и проверка на уровне приложений
|
|
Проверка на уровне приложений
|
Forefront TMG осуществляет глубокую фильтрацию на основе встроенных фильтров уровня приложений
|
|
Гранулярное управление HTTP
|
Forefront TMG предоставляет возможность гранулярного, настраиваемого управления HTTP-протоколом, включая:
- Управление загрузкой файлов
- Блокирование по сигнатурам
- Контроль над методами HTTP
|
|
Защита от DoS-атак
|
Forefront TMG устойчив к атакам класса “отказ в обслуживании” и может перераспределять ресурсы для обеспечения лучшей безопасности.
|
|
Расширенная поддержка протоколов
|
Forefront TMG поддерживает множество протоколов сразу после установки. Новые протоколы могут быть добавлены в дальнейшем.
|
Безопасная публикация приложений
|
Функция
|
Описание
|
|
Безопасный доступ к электронной почте из клиента Outlook
|
Удаленные пользователи могут подключаться к серверу Exchange, используя полноценный MAPI-клиент Outlook, через интернет без установки VPN-соединения. Соединение шифруется для безопасности.
|
|
Простая публикация Outlook Web Access и Microsoft Office SharePoint Server
|
Простые мастера позволяют быстро настроить удаленный доступ для Outlook Web Access и Microsoft Office SharePoint Server. Пользователи Outlook Web Access могут проходить аутентификацию на Forefront TMG server для усиления защиты внутренних ресурсов.
|
|
Безопасная публикация web-серверов, внутренних и терминальных серверов
|
Удаленные пользователи могут более безопасно пользоваться внутренними ресурсами или web-серверами. Поддерживается трансляция ссылок.
|
|
Одноразовая аутентификация (Single sign on)
|
Forefront TMG позволяет пользователям получать доступ к группе опубликованных web-сайтов без необходимости проходить аутентификацию на каждом из них.
|
|
Делегирование простой аутентификации
|
Forefront TMG помогает защитить опубликованные web-сайты от неавторизованного доступа, требуя от брандмауэра аутентификации пользователя перед тем, как соединение будет перенаправлено на опубликованный web-сайт. Это предотвращает использование уязвимостей внутренних ресурсов неавторизованными пользователями.
|
|
Трансляция ссылок для внутренних имен
|
Forefront TMG включает функцию трансляции ссылок, которую вы можете использовать для сопоставления внутренних и внешних имен web-серверов. Трансляция ссылок включается автоматически при web-публикации.
|
|
Поддержка маршрутизации SSL
|
Для защиты от атак, встроенных в HTTPS трафик, маршрутизация SSL позволяет расшифровывать защищенные пакеты, проверять и снова зашифровывать.
|
Виртуальные частные сети (VPN)
|
Функция
|
Описание
|
|
VPN между сетями
|
Forefront TMG позволяет быстро настроить VPN-соединение между сетями с помощью мастера. Также для построения VPN может быть использован протокол IPSec, в случае использования устройств третьих фирм.
|
|
VPN для удаленного доступа
|
Forefront TMG может работать сервером доступа для VPN-сессий L2TP/IPSec и PPTP, использующих встроенный Windows VPN-клиент.
|
|
Проверка трафика VPN
|
VPN-трафик, приходящий на Forefront TMG сервер проверяется в соответствие политике безопасности
|
|
VPN-карантин
|
Forefront TMG обеспечивает глубокую проверку компьютера, на котором установлен VPN-клиент и интеграцию с политикой брандмауэра
|
|
Публикация VPN-серверов
|
Forefront TMG может быть использован для публикации внутренних серверов Windows в качестве VPN-серверов
|
Управление
|
Функция
|
Описание
|
|
Политика корпоративного уровня
|
Политика может быть применена к шлюзам, массивам или на корпоративном уровне
|
|
Простые мастера настройки
|
Настройка Forefront TMG упрощается множеством мастеров для таких функций, как web-публикация, web-доступ и конфигурирование массива
|
|
Мониторинг в реальном времени и отчетность
|
Журналы, включая активные сессии, могут просматриваться как в реальном времени, так и в исторической перспективе
|
|
Конструктор запросов
|
С инструментом построения запросов данные могут быть быстро найдены. Имеется возможность создания комплексных запросов.
|
|
Создание отчетов и публикация
|
Специализированные отчеты могут быть созданы и потом опубликованы локально или на общем сетевом ресурсе.
|
|
Внешнее журналирование
|
Журналы могут храниться на Microsoft SQL Server, находящемся во внутренней сети.
|
|
Делегирование полномочий
|
Административные роли могут быть делегированы пользователям или группам
|
Распределение нагрузки и производительность
|
Функция
|
Описание
|
|
Балансировка сетевой нагрузки
|
Forefront TMG может использовать балансировку сетевой нагрузки для обеспечения отказоустойчивости и увеличения производительности.
|
|
Настройка политик на основе сетевой принадлежности
|
Вы можете настроить одну или более сетей, каждую с отдельными отношениями с другими сетями. Политики доступа определяются относительно сетей и необязательно относительно определенной внутренней сети. Forefront TMG может применять политики безопасности и брандмауэра к трафику между любыми сетями или сетевыми объектами.
|
|
Кэширование
|
Forefront TMG обеспечивает кэширование для увеличения отклика и уменьшения стоимости интернет-услуг. С помощью централизованного механизма управления кэшем вы можете настраивать политики загрузки и хранения объектов.
|
|
Кэширование Background Intelligent Transfer Service (BITS)
|
Forefront TMG предоставляет кэширующий механизм для данных, получаемых через BITS.
|
|
Компрессия HTTP
|
Вы можете уменьшить размер файла, используя алгоритмы сжатия во время передачи HTTP-пакетов
|
|
Diffserv (Quality of Service)
|
Forefront TMG позволяет включать приоритезацию пакетов, используя Diffserv web-фильтр, который проверяет URL или домен и назначает приоритет пакета с помощью битов Diffserv.
|
Сравнение TMG с ISA Server 2006 и TMG MBE
|
|
ISA 2006
|
TMG MBE
|
TMG
|
|
Брандмауэр
|
√
|
√
|
√
|
|
VPN (межсетевой и удаленный доступ)
|
√
|
√
|
√
|
|
Web-прокси
|
√
|
√
|
√
|
|
Кэширование
|
√
|
√
|
√
|
|
Массивы для балансировки нагрузки и отказоустойчивости
|
√
|
|
√
|
|
Возможность использования шлюза вне домена
|
√
|
|
√
|
|
Поддержка Windows Server 2008 64-bit
|
|
√
|
√
|
|
Web-антивирус
|
|
√
|
√
|
|
Проверка HTTPS
|
|
|
√
|
|
Безопасность электронной почты
|
|
|
√
|
|
Проверка сетевых пакетов
|
|
|
√
|
|
Отказоустойчивость ISP
|
|
|
√
|
|
Совместное централизованное управление шлюзами Standard и Enterprise редакций (требует Enterprise Edition gateway)
|
|
|
√
|
Системные требования
Forefront Threat Management Gateway 2010 Standard Edition.
|
Системный компонент
|
Минимальная конфигурация
|
Рекомендованная конфигурация
|
|
Операционная система
|
Windows Server 2008 SP2 или Windows Server 2008 R2
|
Windows Server 2008 SP2 или Windows Server 2008 R2
|
|
Тип процессора
|
64-бит
|
64-бит
|
|
Ядра процессора
|
2
|
4
|
|
Память
|
2 Гб
|
4 Гб
|
|
Дисковое пространство
|
2.5 Гб свободного дискового пространства. Это выделенное пространство для кэша или временного размещения сканируемых файлов.
|
2.5 Гб свободного дискового пространства. Это выделенное пространство для кэша или временного размещения сканируемых файлов.
|
|
Диски
|
Один локальный дисковый раздел, отформатированный в формате NTFS.
|
Два локальных дисковых раздела, отформатированных в формате NTFS. Один диск для системы и журналов TMG и один для кэша и временного размещения сканируемых файлов.
|
|
Сеть
|
- Один сетевой адаптер совместимый с операционной системой компьютера для соединения с внутренней сетью.
- Дополнительные сетевые адаптеры для каждой сети, подключенной к Forefront TMG server.
|
- Один сетевой адаптер совместимый с операционной системой компьютера для соединения с внутренней сетью.
- Дополнительные сетевые адаптеры для каждой сети, подключенной к Forefront TMG server.
|
|
