Задать вопрос

Microsoft Forefront TMG: плюсы и минусы?

Тут на работе спустили сверху настойчивое предложение избавиться от текущего файрвола (cisco + linux, iptables, squid) на красивое в кавычках решение на базе Forefront TMG (линуксы при этом выпиливаются, а циски работают как роутеры). Вопрос к знатокам, какие у него преимущества (помимо очевидной плотной интеграции с Windows-сетью) и недостатки?


Сеть большая: 2000 пользователей. Два интернет провайдера. 6 независимых сетей со своим зоопарком. Сети гетерогенные: есть обширные AD-леса (да, их не одна штука), есть линуксовые сервера, есть отдельный MacOS домен живущий своей жизнью. Множество VLANов по подразделениям, файловые шары как для интранета, так и доступные извне, VPNы, почта, интранет-порталы и прочие радости крупной компании.


Интересует:

— возможность удобного управление всем этим зоопарком из консоли TMG

— ведение учета трафика, шейпинг и квотирование по пользователям

— аудит используемых правил с целью дропать то, что реально не используется

— динамические правила на основе сетевой активности (аля fail2ban)

— да и вообще какая-либо автоматизация работы с ним. в линуксах я могу на нужное правило повесить логгирование и далее через tail -f повесить скрипт для раздачи банов/пряников. возможно ли это здесь?

— есть ли возможность выборочного логгирования — по примерам я так понял, что TMG пишет логи на все подряд. с нашим траффиком это терабайты в день одних только логов.

— и какая производительность всего этого дела в сравнении с линукс-решениями


Все это сейчас прекрасно управляется цисками, линуксами и башевскими/перловыми скриптами, но для руководства это не «ынтерпрайзненько». Буду благодарен как за личный опыт, так и просто за ссылки, желательно не на маркетинговые success-story, а на суровую правду жизни. Спасибо.
  • Вопрос задан
  • 14430 просмотров
Подписаться 5 Оценить Комментировать
Решения вопроса 1
alprin
@alprin
Он не продается начиная с января.
Ссылка на мс блог про изменения в фф: blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
Да, к сожалению TMG приказал долго жить, делать новую установку не имеет смысла.

Но справедливости ради, из того что вы хотите:

1. Не поддерживается учет трафика (что-то нагородить можно через систему отчетов, но настоящим учетом трафика не назовешь), шейпинг и квотирование. Но: есть недорогие продукты третьих фирм, которые все необходимое поддерживают.
2. Есть готовые «динамические правила», в основном для защиты от флуда. Но там где нет готовых создать свои проблематично.

Остальное есть, включая выборочное логгирование, и реализовано удобно.

Сравнивать с линукс-решениями тяжеловато, т.к. готового решения для Linux такого уровня не наблюдается, то что можно нагородить из iptables и squid будет обладать очень примерно похожим функционалом при очень кудрявой конфигурации и сильно от нее зависеть. Производительность TMG так же сильно зависит от используемых правил, использования VPNов и шифрования. Если, например, совершенно не интересует обработка контента и можно отключить веб-фильтры, то на стомегабитном внешнем потоке загрузка процессора не высока. С веб-фильтрами и антивирусной проверкой можно упереться в потолок на 40-50 мегабитах внешнего трафика на сервер.
Ответ написан
Комментировать
ikormachev
@ikormachev
По моему опыту у TMG есть одно единственное преимущество — это возможность разделять доступ в Интернет по пользователям и по приложениям без привязки к IP. Т.е. ТМГ полезна, когда надо иметь возможность учитывать и ограничивать доступ в Интернет (по протоколам) для пользователей, работающих на сервере терминалов или же блокировать выход в интернет с определенного типа приложений.

На этом преимущества продукта заканчиваются. Из ваших требований вот это ТМГ не умеет:
— шейпинг и квотирование трафика по пользователям, да и базовая отчетность у нее мягко говоря так себе,
— динамические правила на основе сетевой активности (аля fail2ban)
— логирует только все подряд (и это беда, когда у тебя канал больше 10 Мбит/с)

Дальше из реальных нареканий к ТМГ исходя из моего опыта работы с ним:

1) Там где PPTP работал стабильно на простом RRAS, после установки TMG PPTP может просто не работать после загрузки сервера — требуется дополнительно перезапустить службу ТМГ (перезапуск RRAS не помогает).
2) Для IPSEC нет никаких средств контроля его работы/загрузки, не говоря уже хоть о каких-то минимальных средствах диагностики. Т.е. ты банально не можешь даже посмотреть, какой аптайм у твоего туннеля. С некоторыми аппаратными роутерами IPSEC с TMG просто не устанавливается.
3) Да, изменения конфигурации зачастую применяются «на лету», без прерывания текущих сеансов, но если сервер нагружен, то применения правила могут происходить несколько минут, совершенно не понимания когда же они реально применятся, — за это время уже появляется желание все еще раз «исправить».
4) Обилие всяких фильтров, надстроек и т.д, включенных по умолчанию, взрывают мозг при решение очередной простой сетевой проблемы. Их отключение зачастую приводит к совершенно неожиданным результатам. Непрозрачность функционирования в целом этого механизма в казалось бы достаточно простых задачах порождают кучу домыслов, заставляющих всерьез сомневаться в своих познаниях в сетевых технологиях.
Ответ написан
@noonesshadow
Между TMG и интернетом что будет?
Ответ написан
fallen8rwtf
@fallen8rwtf
посмотрите в сторону KERIO
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы