(+84) 463.28.7979

Lý do để nâng cấp ISA server lên Forefront Threat Management gateway 2010


Trong bài viết này tôi sẽ cung cấp một nhận xét ​​về các tính năng mới có trong TMG và biện luận một cách thuyết phục để bắt đầu kế hoạch chuyển đổi của bạn từ ISA server lên TMG.

Forefront Threat Management Gateway

Giới thiệu

Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát hành ISA Server 2006 cách đây gần sáu năm. ISA là một lợi thế tuyệt vời cho giải pháp tường lửa, proxy và máy chủ VPN, nhưng nó thiếu khả năng bảo vệ web tiên tiến và cần thiết để bảo vệ người dùng của chúng ta từ các cuộc tấn công trên mạng Internet ngày nay. Với việc phát hành Forefront Threat Management Gateway (TMG) 2010, Microsoft đã cung cấp cho chúng ta một giải pháp bảo mật tích hợp cạnh đó có thể cung cấp mức độ bảo vệ các kỹ sư an ninh của chúng ta yêu cầu từ một cổng web hiện đại và an toàn. Với sự hỗ trợ chủ đạo cuối cùng của ISA server 2006 SP1 nhiều tổ chức bây giờ cuối cùng cũng đã bắt đầu xem xét việc nâng cấp cơ sở hạ tầng ISA hiện có của họ. Muộn còn hơn không, tôi nói rằng trong bài viết này tôi sẽ cung cấp một nhận xét ​​của các tính năng mới có trong TMG và biện luận một cách thuyết phục để bắt đầu kế hoạch chuyển đổi của bạn để TMG.

Ứng dụng TMG là 64 bit

TMG là ứng dụng 64-bit chạy trên hệ điều hành 64-bit mới nhất của Microsoft – Windows Server 2008 R2. Cũng được hỗ trợ cài đặt trên Windows Server 2008 SP2. Với sự hỗ trợ 64-bit TMG có thể giải quyết nhiều bộ nhớ hơn so với máy chủ ISA. Loại bỏ các bộ nhớ 4GB hạn chế đối với hệ điều hành 32-bit có nghĩa là TMG có thể mở rộng hiệu quả hơn và có thể xử lý lưu lượng truy cập nhiều hơn so với người tiền nhiệm của nó.

TMG chạy trên Windows Server 2008 SP2 R2

Ngoài việc truy cập vào bộ nhớ nhiều hơn, Windows Server 2008/R2 bao gồm một tăng cường kết nối mạng mới có thể làm tăng sự ổn định và cung cấp các cải tiến hiệu suất đáng kể trong một số môi trường. Tăng cường kết nối mạng thế hệ Windows bao gồm các tính năng như Receive Window Auto Tuning, Receive-Side Scaling (RSS), Compound TCP Explicit Congestion Notification (ECN). Cựu chiến binh ISA quản trị máy chủ biết rằng một số các tính năng này, bao gồm trong các mạng Scalable Networking Pack (SNP) và sau đó được bao gồm trong Service Pack 1 (SP1) cho Windows Server 2003, mâu thuẫn với ISA và đã được vô hiệu hóa. Không còn là một vấn đề với TMGWindows Server 2008/R2! Ngoài ra còn có cải tiến để phát hiện cổng chết và cải tiến trong việc phát hiện lỗ đen bộ định tuyến. Sự thay đổi quan trọng nhất trong tăng cường kết nối mạng mới là Windows Filtering Platform (WFP), cho phép TMG tích hợp với tăng cường kết nối mạng chặt chẽ nhiều hơn trong các phiên bản trước. Ngoài ra, các đặc điểm kỹ thuật mới NDIS cho phép các trình điều khiển tường lửa TMG để lọc lưu lượng truy cập ở tầng hai và cung cấp hỗ trợ VLAN và NIC. Bạn có thể đọc thêm về vô số những thay đổi và cải tiến tăng cường mạng Windows 2008/R2. Windows 2008/R2 máy chủ được đánh giá cao hơn, làm cho hiệu suất giám sát và xử lý sự cố dễ dàng hơn nhiều ở đây.

Bảo vệ Web nâng cao

Giống như người tiền nhiệm của nó, TMG là một hệ thống phòng thủ vành đai nhiều lớp ngoài ra còn cung cấp truy cập từ xa. Đa số các tính năng mới trong TMG được tập trung vào kịch bản proxy forward (gửi đi), tuy nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài nguyên trên Internet, TMG hiện nay bao gồm các khả năng sau đây web bảo vệ tiên tiến:

  • URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn truy cập đến các trang web được cho là độc hại hoặc không được phép bởi các chính sách sử dụng của công ty.
  • Web antimalware: Với chức năng quét virus và phần mềm độc hại được tích hợp, TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin. Người dùng được bảo vệ khi tải tập tin.
  • Network Inspection System (NIS): NIS là một phát hiện xâm nhập mới với tính năng hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên giao thức. Với chữ ký được phát triển bởi Microsoft Malware Protection Center (MMPC) và phát hành đồng thời với các cập nhật bảo mật vào ngày Thứ Ba tuần thứ 2 hàng tháng (bản vá thứ ba), NIS được thiết kế để ngăn chặn các lỗ hổng trong phần mềm Microsoft được khai thác từ xa.
  • HTTPS Inspection: HTTPS từ lâu đã được gọi là “giao thức vượt qua tường lửa”. HTTPS cung cấp mã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhất gần như vô dụng. TMG có khả năng chấm dứt và giải mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập đầy đủ lớp sẽ diễn ra.

Bảo vệ E-Mail nâng cao

Để cung cấp bảo vệ e-mail mở rộng, TMG có thể tích hợp mật thiết với môi trường Exchange 2007/2010 hiện tại của bạn. TMG hỗ trợ trong việc cài đặt vai trò Exchange edge transport trực tiếp trên tường lửa TMG, cũng như bảo vệ Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ chống phần mềm độc hại. Những lợi thế của kịch bản triển khai này là củng cố hệ thống cạnh và chính sách e-mail đơn giản hóa quản lý bằng cách sử dụng giao diện điều khiển quản lý TMG. Sử dụng một mảng nhóm tường lửa TMG cũng cung cấp cân bằng tải và khả năng chịu lỗi cho việc chuyển tiếp mail an toàn.

Cải tiến VPN

TMG hiện nay bao gồm hỗ trợ cho Secure Socket Tunneling Protocol (SSTP). SSTP sử dụng SSL để cung cấp an toàn, thông tin liên lạc mã hóa giữa máy khách đang chạy Windows Vista SP1 hoặc Windows 7 và tường lửa TMG. SSTP là tường lửa rất thân thiện, bằng cách sử dụng cổng TCP phổ biến 443 mà rất nhiều kinh nghiệm truy cập VPN từ xa và cung cấp truy cập rộng nhiều hơn nữa để các tài nguyên của công ty. Ngoài ra, TMG cũng hỗ trợ kết hợp Network Access Protection (NAP). Điều này cho phép quản trị viên TMG tận dụng cơ sở hạ tầng NAP hiện có của họ để thực thi chính sách cấu hình thiết bị đầu cuối cho client truy cập từ xa.

Cải tiến Log và Report

Cơ sở hạ tầng log trong TMG được cải thiện rất nhiều so với các phiên bản trước của máy chủ ISA. TMG tại cài đặt SQL Server 2008 Express theo mặc định, đó là tốt hơn đáng kể so với MSDE cung cấp trên ISA. Đối với khả năng phục hồi thêm, TMG có khả năng hàng đợi dữ liệu được ghi vào đĩa. Với truy vấn log, TMG có thể tiếp tục logp và yêu cầu dịch vụ ngay cả khi cơ sở dữ liệu đang offiline vì lý do nào. Quản trị viên ISA có kinh nghiệm quản lý môi trường rất bận rộn nhận thức được những gì sẽ xảy ra khi ISA không thể log vào cơ sở dữ liệu các dịch vụ tường lửa sẽ tắt và lưu lượng truy cập tất cả sẽ bị chặn. Những ngày trên! Báo cáo đã được cải thiện là tốt, với TMG bây giờ sử dụng SQL Server Reporting Services (SRSS) để tạo ra các bản báo cáo. Việc xem xét tổng thể và cảm nhận của báo cáo là tốt hơn nhiều quá.

Triển khai tùy chọn mới

TMG dễ dàng hơn nhiều để thực hiện nhờ vào việc hỗ trợ cho một kịch bản triển khai mới – mảng độc lập. Bây giờ bạn có thể cấu hình một mảng của phiên bản tường lửa TMG doanh nghiệp mà không cần phải cài đặt và cấu hình một máy chủ quản lý doanh nghiệp (EMS – trước đây gọi là máy chủ lưu trữ cấu hình, hoặc CSS). Ngoài ra, cả hai phiên bản StandardEnterprise của TMG bây giờ sử dụng Directory Services Active Directory Lightweight (AD LDS) cho việc lưu trữ cấu hình Local. Ngược lại, ISA máy chủ sử dụng Active Directory Application Mode (ADAM) cho phiên bản EnterpriseWindows registry cho phiên bản Standard. Sự thay đổi này làm cho nó có thể cho một tường lửa TMG để được tham gia vào một mảng sau khi TMG được cài đặt. Nó cũng có thể chia rẻ một mảng mà không cần phải gỡ bỏ cài đặt TMG.

Cải tiến Mạng bổ sung

Ngoài những cải tiến để tăng cường kết nối mạng của hệ thống hệ điều hành cơ bản được nêu trước đó, TMG hiện nay bao gồm hỗ trợ cho hai nhà cung cấp dịch vụ Internet khác nhau trong một kịch bản cân bằng tải hoặc chuyển đổi dự phòng. Thay đổi tới NAT trong TMG giờ đây cho phép người quản trị cấu hình chính sách NAT chi tiết hơn, bao gồm cả việc thiết lập một quy tắc NAT. Gần đây nhất, TMG Service Pack 2 (SP2) cung cấp khả năng để tận dụng việc xác thực Kerberos cho các client web proxy đã được cấu hình để sử dụng Network Load Balancing (NLB) địa chỉ IP ảo (virtual IP address – VIP).

Nhưng hãy đợi vẫn còn nhiều hơn nữa!

Như với bất kỳ việc nâng cấp sản phẩm chính nào có nhiều cải tiến nhỏ hơn mà có thể không chú ý được. TMG là không có ngoại lệ. Nhiều trong số những tính năng mới và khả năng sẽ làm cho cuộc sống của quản trị tường lửa ISA dễ dàng hơn nhiều. Chúng bao gồm:

  • SIP filter: Bảo vệ lưu lượng Voice over IP (VoIP) là dễ dàng hơn nhiều với việc bổ sung của Session Initiation Protocol (SIP) bộ lọc trong TMG.
  • TFTP filter: Một TFTP mới làm đơn giản hoá quá trình cung cấp truy cập an toàn tới các máy chủ TFTP.
  • Cải thiện trang thông báo lỗi: Với các gói dịch vụ mới nhất, xem và cảm nhận của trang báo lỗi được cải thiện nhiều. Chúng cũng dễ dàng tùy biến.
  • Kết hợp với SCOM: TMG bao gồm việc hỗ trợ tích hợp với System Center Operations Manager (SCOM) 2007 và các phiên bản sau đó.

Chuyển từ ISA lên TMG

Chuyển từ ISA Server lên TMG là một chuyện không đơn giản và đòi hỏi phải lập kế hoạch cẩn thận và chuẩn bị. Có con đường nâng cấp được hỗ trợ từ ISA Server 2004 SP3ISA Server 2006 SP1. Một cuộc thảo luận đầy đủ về việc di chuyển ngoài phạm vi của bài viết này. Tuy nhiên, bạn có thể tìm hiểu thêm về việc chuyển ISA lên TMG ở đây.

Kết luận

Vì vậy, bạn còn chờ gì nữa? Như bạn đã thấy, Forefront Threat Management Gateway (TMG) 2010 có rất nhiều cung cấp. Nó cung cấp bảo vệ nhiều hơn đáng kể hơn so với người tiền nhiệm của nó với việc hỗ trợ 64-bit và cải tiến hệ thống điều hành cơ bản ổn định, hiệu suất và khả năng mở rộng của TMG đến nay vượt trội hơn so bất kỳ phiên bản trước của máy chủ ISA. TMG bao gồm khả năng bảo vệ web tiên tiến nhiều không tìm thấy trong máy chủ ISA, bao gồm lọc URL, quét virus và phần mềm độc hại, phát hiện và phòng chống xâm nhập tiên tiến và khả năng kiểm tra HTTPS. Mặc dù những cải tiến được thực hiện trong TMG chủ yếu tập trung vào bảo mật gửi đi, TMG bao gồm hỗ trợ cho việc tích hợp với Exchange cung cấp bảo vệ e-mail tiên tiến. Ngoài ra, TMG vẫn cung cấp truy cập từ xa an toàn với sự hỗ trợ cho việc xuất bản Exchange 2010SharePoint 2010. Truy cập từ xa và VPN site-to-site vẫn được hỗ trợ, và với việc bổ sung hỗ trợ cho giao thức SSTP, truy cập của khách hàng dựa trên VPN là mạnh mẽ hơn bao giờ hết. Đã có những cải tiến trong khai thác và báo cáo và các tùy chọn triển khai mới. Cải tiến NAT hỗ trợ nhiều cho nhà cung cấp dịch vụ Internet là cả hai cải thiện chào đón rằng sẽ đáp ứng nhu cầu quan trọng đối với các quản trị viên ISA hiện tại nhiều. Cấu hình di chuyển từ ISA đến TMG được hỗ trợ đầy đủ, vì vậy bạn sẽ không phải phát minh lại bánh xe khi nói đến thời gian để nâng cấp. Forefront TMG đã được phát hành hơn hai năm, có hai gói dịch vụ đầy đủ là chứng nhận Common Criteria level EA4+. Với sự hỗ trợ chủ đạo cho ISA Server 2006 SP1 sẽ kết thúc vào đầu tháng 1 năm 2012, không cần phải chờ đợi lâu hơn bạn hãy bắt đầu lập kế hoạch nâng cấp của bạn ngày hôm nay.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>