Тут на работе спустили сверху настойчивое предложение избавиться от текущего файрвола (cisco + linux, iptables, squid) на красивое в кавычках решение на базе Forefront TMG (линуксы при этом выпиливаются, а циски работают как роутеры). Вопрос к знатокам, какие у него преимущества (помимо очевидной плотной интеграции с Windows-сетью) и недостатки?
Сеть большая: 2000 пользователей. Два интернет провайдера. 6 независимых сетей со своим зоопарком. Сети гетерогенные: есть обширные AD-леса (да, их не одна штука), есть линуксовые сервера, есть отдельный MacOS домен живущий своей жизнью. Множество VLANов по подразделениям, файловые шары как для интранета, так и доступные извне, VPNы, почта, интранет-порталы и прочие радости крупной компании.
Интересует:
— возможность удобного управление всем этим зоопарком из консоли TMG
— ведение учета трафика, шейпинг и квотирование по пользователям
— аудит используемых правил с целью дропать то, что реально не используется
— динамические правила на основе сетевой активности (аля fail2ban)
— да и вообще какая-либо автоматизация работы с ним. в линуксах я могу на нужное правило повесить логгирование и далее через tail -f повесить скрипт для раздачи банов/пряников. возможно ли это здесь?
— есть ли возможность выборочного логгирования — по примерам я так понял, что TMG пишет логи на все подряд. с нашим траффиком это терабайты в день одних только логов.
— и какая производительность всего этого дела в сравнении с линукс-решениями
Все это сейчас прекрасно управляется цисками, линуксами и башевскими/перловыми скриптами, но для руководства это не «ынтерпрайзненько». Буду благодарен как за личный опыт, так и просто за ссылки, желательно не на маркетинговые success-story, а на суровую правду жизни. Спасибо.
О, какая «прекрасная» новость! А наши и не в курсе (да и я тоже не на гуглил). Спасибо! Это весомый аргумент за то чтобы все оставить как есть, даже если TMG прекрасен, гибок и шустр.
Да, к сожалению TMG приказал долго жить, делать новую установку не имеет смысла.
Но справедливости ради, из того что вы хотите:
1. Не поддерживается учет трафика (что-то нагородить можно через систему отчетов, но настоящим учетом трафика не назовешь), шейпинг и квотирование. Но: есть недорогие продукты третьих фирм, которые все необходимое поддерживают.
2. Есть готовые «динамические правила», в основном для защиты от флуда. Но там где нет готовых создать свои проблематично.
Остальное есть, включая выборочное логгирование, и реализовано удобно.
Сравнивать с линукс-решениями тяжеловато, т.к. готового решения для Linux такого уровня не наблюдается, то что можно нагородить из iptables и squid будет обладать очень примерно похожим функционалом при очень кудрявой конфигурации и сильно от нее зависеть. Производительность TMG так же сильно зависит от используемых правил, использования VPNов и шифрования. Если, например, совершенно не интересует обработка контента и можно отключить веб-фильтры, то на стомегабитном внешнем потоке загрузка процессора не высока. С веб-фильтрами и антивирусной проверкой можно упереться в потолок на 40-50 мегабитах внешнего трафика на сервер.
По моему опыту у TMG есть одно единственное преимущество — это возможность разделять доступ в Интернет по пользователям и по приложениям без привязки к IP. Т.е. ТМГ полезна, когда надо иметь возможность учитывать и ограничивать доступ в Интернет (по протоколам) для пользователей, работающих на сервере терминалов или же блокировать выход в интернет с определенного типа приложений.
На этом преимущества продукта заканчиваются. Из ваших требований вот это ТМГ не умеет:
— шейпинг и квотирование трафика по пользователям, да и базовая отчетность у нее мягко говоря так себе,
— динамические правила на основе сетевой активности (аля fail2ban)
— логирует только все подряд (и это беда, когда у тебя канал больше 10 Мбит/с)
Дальше из реальных нареканий к ТМГ исходя из моего опыта работы с ним:
1) Там где PPTP работал стабильно на простом RRAS, после установки TMG PPTP может просто не работать после загрузки сервера — требуется дополнительно перезапустить службу ТМГ (перезапуск RRAS не помогает).
2) Для IPSEC нет никаких средств контроля его работы/загрузки, не говоря уже хоть о каких-то минимальных средствах диагностики. Т.е. ты банально не можешь даже посмотреть, какой аптайм у твоего туннеля. С некоторыми аппаратными роутерами IPSEC с TMG просто не устанавливается.
3) Да, изменения конфигурации зачастую применяются «на лету», без прерывания текущих сеансов, но если сервер нагружен, то применения правила могут происходить несколько минут, совершенно не понимания когда же они реально применятся, — за это время уже появляется желание все еще раз «исправить».
4) Обилие всяких фильтров, надстроек и т.д, включенных по умолчанию, взрывают мозг при решение очередной простой сетевой проблемы. Их отключение зачастую приводит к совершенно неожиданным результатам. Непрозрачность функционирования в целом этого механизма в казалось бы достаточно простых задачах порождают кучу домыслов, заставляющих всерьез сомневаться в своих познаниях в сетевых технологиях.
«логирует только все подряд» — это не так, в свойствах любого правила можно отключить логгирование.
C RRAS — да, свистопляски, но обычно только поначалу
IPSec, насколько я понимаю, замечательно отслеживается через стандартный системный IPSec Monitor в Windows, можно включить отладку, при этом логается все достаточно подробно — хватает, чтобы посмотреть что происходит с роутерами.
С изменениями конфигурации все достаточно просто, если понять, какие изменения затрагивают прокси, а какие только проходящий трафик. На соединение которое уже установлено через фильтр новые правила которые применяются через фильтр (по протоколам и контенту) распространяться не будут, пока соединение не будет переустановлено. При этом в HTTP через одно соединение может идти много запросов, жить оно может достаточно долго. Можно вылечить перезапуском службы, если необходимо.
Неочевидных особенностей конфигурации действительно ужасно много, но, к счастью, все документированы + достаточно неплохие средства самодиагностики, т.е. о многих вещах TMG честно ругается.
Про логи и IPsec монитор действительно забыл. Но в целом ТМГ это такой продукт, в котором для того, чтобы поднять упавший PPTP туннель, ты лезешь в RRAS. При этом RRAS находится под управлением TMG, но некоторые параметры ты все-равно можешь настроить только в RRAS. Ipsec настраивается в TMG, а мониторить его — в отдельную оснастку. Логи ведутся, но их обрабатывать — отдельное стороннее ПО. И т.д.
По поводу изменений конфигурации — спасибо, это действительно многое объясняет.
В целом мы для себя решили в свое время, что TMG — хороший продукт (по заложенному функционалу) для ограничения доступа в Интернет пользователей, но для организации связи сайт-ту-сайт надо использовать аппаратный фаервол, особенно если через этот VPN ходит голос.
Не могу найти, но точно был гайд от МС где между ТМГ и интернетом рекомендовали аппаратный файрвол… Который вполне заменяем тем, что у вас сейчас есть…
Простой
