来源于ISACN中文站。作者:风间子
风间子是ISACN中文站的站长。对ISA FIREWALL的学习和研究个人以为是一直是走在前列的,ISA2008的测试发布,其是为数不多的尝鲜者,向他致敬!!谢谢!
微软于2008年4月8日发布了 ISA Server 新一代版本 Threat Management Gateway 的 Beta 测试版本。和 ISA 相比,TMG 是具有划时代意义的企业级安全产品。这种意义主要体现在以下四个方面:
• 企业级的整合与管理;
• 架构变更与提升;
• Web 反病毒与过滤;
• 人性化管理与集成操作。
接下来,我逐项给大家进行介绍。
1、企业级的安全整合与管理
如果大家在规模较大的企业中工作,就应该大致了解,在企业中会有多少种安全管控应用。而且,不同的安全管控应用通常又是通过不同的安全厂商来提供,这些产品之间的兼容性与集成性,是企业安全应用中的一个棘手问题。
从 2006年开始,微软把主要的安全产品整合在一个产品系列-ForeFront 中。在 ForeFront 产品系列中,ISA 主要负责网络边缘范围的安全防范与保护。但是,和其他防火墙产品不同,ISA 不仅仅是一个防火墙,而是通过与其他微软产品或技术(例如活动目录)结合来实现完善的企业安全管理与控制。而从这次产品名称变更(从 ISA(互联网安全与加速,Internet Security and Acceleration) 变更到 TMG(安全威胁管理网关,Threat Management Gateway)) 就可以看出,微软不仅仅只想负责网络边缘的安全与防护,而是想实现统一的企业安全威胁管理,这也表现出了微软在企业安全领域的决心。
在 TMG 中,已经可以看出微软安全产品系列逐步融合的征兆。在 TMG 中,除了一贯的提供对于活动目录的支持外,TMG 已经能够完美的和 NAP 进行集成,实现完善的 *** 隔离与控制。同时,ForeFront 系列的其他产品(例如 ForeFront Client Security)也同样可以实现和 NAP 的完美集成。
目前,TMG、NAP、ForeFront Client Security 的客户端仍然是独立的;在不久的将来,可能就只有一个客户端,来实现这所有的功能。这样可以极大的简化 IT 管理,同时通过集成技术,也可以实现更为完美、便捷的安全管控。
2、架构变更与提升
记 得曾经在一次 ISA Server 2006 的 Webcast 中,我向大家提及 ISA Server 2004/2006 的性能基本上到了 Windows Server 2003 的极限,因此 ISA Server 2006 和 ISA Server 2004 相比,性能基本没有太大的提升。TMG 最显著的特性,就是从 32位的 Windows Server 2003 架构完美的迁移到 64位的 Windows Server 2008 的架构,也不再提供针对 Windows Server 2003 和 32位操作系统的支持。Windows Server 2008 的架构和 Windows Server 2003 的相比,在以下方面有重大提升(以下仅为部分方面):
• 完美支持 64位内存寻址,从而不再受到 4G 内存的寻址限制,在内存读写及管理方面得到极大的性能提升。因此,TMG 不再具有 2G 用户模式内存的容量限制,从而 TMG 可以支持更多的用户、连接线程和带宽;
• 通过双 TCP/IP IP 层架构,完美支持 IPv6。和 Windows Server 2003 通过双 TCP/IP 栈架构来同时支持 IPv4 和 IPv6 不同,Windows Server 2008 通过双 TCP/IP 层来同时支持 IPv4和IPv6(如下图所示),这样可以更为完美的实现 IPv4 和 IPv6 之间的转换,提高系统工作效率。但是鉴于目前 IPv6 并未得到广泛的应用,因此在 TMG 中,暂未提供对 IPv6 的支持。
• 另外,TMG 也可以完美的和 Windows Server 2008 提供的其他功能实现集成,例如 NAP、NPS 等等;
• 随着 SQL Server 的升级, TMG 中所使用的默认日志记录软件也不再是 SQL Server 2000 系列中的MSDE,而是 SQL Server 2005 系列中的 SQL Server 2005 Express。并且,一个显著的升级是,TMG 中不再像 ISA 一样使用独立的报告生成组件,而是通过 SQL Server Reporting Service 来集成提供报告服务。
3、Web 反病毒与过滤
经过微软长期的分析与研究,发现在非法软件(病毒、蠕虫、间谍软件等)的传播途径中,基于 Web 的传播方式是最为流行、也最为广泛的一种。因此作为 TMG 的一个重要创新,微软加入了 Web 反病毒功能,并且加强了 Web 过滤功能。
TMG 中内置的 Web 反病毒引擎和 ForeFront Client Security 的反病毒引擎相同,并且通过 Microsoft Update 来实现特征定义的更新。在 Web 反病毒功能中,你可以配置是否进行 Web 反病毒扫描、哪些站点不进行扫描、当发现病毒时是否尝试清除病毒、当处理时间超过多少就拒绝访问、当压缩文件嵌套多少层就拒绝访问、当文件大小超过多少就 拒绝访问等,如下图所示:
针对 Web 反病毒扫描的配置是基于 Web 访问规则进行定义(如下图所示)。你可以在某条 Web 访问规则中不进行 Web 反病毒扫描,例如针对 *.microsoft.com 的访问就不进行扫描,而对其他的 Web 访问则进行扫描等;
当 然针对 Web 杀毒的性能问题,可能也是很多朋友所关注的。微软经过大量的研究与分析,在 TMG 中使用了独有的专利技术来确保 Web 杀毒性能与用户访问体验之间的平衡。在我的虚拟机测试中,我制作了一个ZIP压缩包,里面的压缩文件嵌套层数为3层,所有的压缩文件数大概在30个左右。
我的 TMG 虚拟机的配置如下图所示,不过不算在主机上运行的程序,我还同时开启了3个 Windows Server 2008 虚拟机来实现此测试环境。
在实际的用户访问测试中,当启用 Web 反病毒扫描时,用户访问体验和未启用 Web 反病毒扫描时并没有太多区别。
如下图所示,针对此压缩包,TMG 共计使用了 7485 毫秒的时间来完成完整的反病毒扫描。但是需要注意的是,这个扫描时间并不是指客户的等待延迟时间,客户的访问下载和 TMG 的 Web 反病毒是同时进行的。
4、人性化管理与集成操作
从 ISA Server 2004 开始,ISA Server 的管理界面一直都非常友好,在 ISA 2006 中,针对部分操作又进行了简化,并提供了大量的配置向导来辅助管理操作。在 TMG 中,针对安装配置又进行了更为人性化的配置简化。当安装好 TMG 第一次进入 TMG 管理控制台时,会自动调用开始配置向导(如下图所示),从而协助你更快的完成 TMG 的配置工作。
另 外,可能是由于 Office 2007 的集成操作菜单大获好评,在 TMG 中,将过去 ISA 管理控制台中的配置节点取消,而将原配置节点中的各个子功能基于功能特性,集成到其他操作节点中,这样当你进行配置时,在一个操作节点中就可以实现类似功 能的完整配置。
针 对管理控制还有一个重大的改进:由于很多用户抱怨 ISA Server 中针对用户的 Web 访问的控制不太直观,因此在 TMG 中,单独建立了一个 Web 访问策略操作节点,在这个操作节点中,将防火墙策略中所有的 Web 访问策略筛选到一起,并可以进行所有相关 Web 访问控制的管理与控制操作,这极大的简化了针对用户的 Web 访问控制管理操作。
从 以上的介绍可以看出,鉴于 ISA 作为防火墙所取得的巨大成功,微软已经不再仅仅把 TMG 局限网络防火墙这一个领域,而是通过安全产品与技术的逐步整合,实现统一的、集中的、完善的企业安全管控。相信在未来, TMG 能够很好的接过 ISA 的班,实现更为高效、更为完善、更为集成的企业安全管控!
至少目前证明,测试版的可以装在32位的2008上。BY RICKYFANG
风间子是ISACN中文站的站长。对ISA FIREWALL的学习和研究个人以为是一直是走在前列的,ISA2008的测试发布,其是为数不多的尝鲜者,向他致敬!!谢谢!
微软于2008年4月8日发布了 ISA Server 新一代版本 Threat Management Gateway 的 Beta 测试版本。和 ISA 相比,TMG 是具有划时代意义的企业级安全产品。这种意义主要体现在以下四个方面:
• 企业级的整合与管理;
• 架构变更与提升;
• Web 反病毒与过滤;
• 人性化管理与集成操作。
接下来,我逐项给大家进行介绍。
1、企业级的安全整合与管理
如果大家在规模较大的企业中工作,就应该大致了解,在企业中会有多少种安全管控应用。而且,不同的安全管控应用通常又是通过不同的安全厂商来提供,这些产品之间的兼容性与集成性,是企业安全应用中的一个棘手问题。
从 2006年开始,微软把主要的安全产品整合在一个产品系列-ForeFront 中。在 ForeFront 产品系列中,ISA 主要负责网络边缘范围的安全防范与保护。但是,和其他防火墙产品不同,ISA 不仅仅是一个防火墙,而是通过与其他微软产品或技术(例如活动目录)结合来实现完善的企业安全管理与控制。而从这次产品名称变更(从 ISA(互联网安全与加速,Internet Security and Acceleration) 变更到 TMG(安全威胁管理网关,Threat Management Gateway)) 就可以看出,微软不仅仅只想负责网络边缘的安全与防护,而是想实现统一的企业安全威胁管理,这也表现出了微软在企业安全领域的决心。
在 TMG 中,已经可以看出微软安全产品系列逐步融合的征兆。在 TMG 中,除了一贯的提供对于活动目录的支持外,TMG 已经能够完美的和 NAP 进行集成,实现完善的 *** 隔离与控制。同时,ForeFront 系列的其他产品(例如 ForeFront Client Security)也同样可以实现和 NAP 的完美集成。
目前,TMG、NAP、ForeFront Client Security 的客户端仍然是独立的;在不久的将来,可能就只有一个客户端,来实现这所有的功能。这样可以极大的简化 IT 管理,同时通过集成技术,也可以实现更为完美、便捷的安全管控。
2、架构变更与提升
记 得曾经在一次 ISA Server 2006 的 Webcast 中,我向大家提及 ISA Server 2004/2006 的性能基本上到了 Windows Server 2003 的极限,因此 ISA Server 2006 和 ISA Server 2004 相比,性能基本没有太大的提升。TMG 最显著的特性,就是从 32位的 Windows Server 2003 架构完美的迁移到 64位的 Windows Server 2008 的架构,也不再提供针对 Windows Server 2003 和 32位操作系统的支持。Windows Server 2008 的架构和 Windows Server 2003 的相比,在以下方面有重大提升(以下仅为部分方面):
• 完美支持 64位内存寻址,从而不再受到 4G 内存的寻址限制,在内存读写及管理方面得到极大的性能提升。因此,TMG 不再具有 2G 用户模式内存的容量限制,从而 TMG 可以支持更多的用户、连接线程和带宽;
• 通过双 TCP/IP IP 层架构,完美支持 IPv6。和 Windows Server 2003 通过双 TCP/IP 栈架构来同时支持 IPv4 和 IPv6 不同,Windows Server 2008 通过双 TCP/IP 层来同时支持 IPv4和IPv6(如下图所示),这样可以更为完美的实现 IPv4 和 IPv6 之间的转换,提高系统工作效率。但是鉴于目前 IPv6 并未得到广泛的应用,因此在 TMG 中,暂未提供对 IPv6 的支持。
• 另外,TMG 也可以完美的和 Windows Server 2008 提供的其他功能实现集成,例如 NAP、NPS 等等;
• 随着 SQL Server 的升级, TMG 中所使用的默认日志记录软件也不再是 SQL Server 2000 系列中的MSDE,而是 SQL Server 2005 系列中的 SQL Server 2005 Express。并且,一个显著的升级是,TMG 中不再像 ISA 一样使用独立的报告生成组件,而是通过 SQL Server Reporting Service 来集成提供报告服务。
3、Web 反病毒与过滤
经过微软长期的分析与研究,发现在非法软件(病毒、蠕虫、间谍软件等)的传播途径中,基于 Web 的传播方式是最为流行、也最为广泛的一种。因此作为 TMG 的一个重要创新,微软加入了 Web 反病毒功能,并且加强了 Web 过滤功能。
TMG 中内置的 Web 反病毒引擎和 ForeFront Client Security 的反病毒引擎相同,并且通过 Microsoft Update 来实现特征定义的更新。在 Web 反病毒功能中,你可以配置是否进行 Web 反病毒扫描、哪些站点不进行扫描、当发现病毒时是否尝试清除病毒、当处理时间超过多少就拒绝访问、当压缩文件嵌套多少层就拒绝访问、当文件大小超过多少就 拒绝访问等,如下图所示:
针对 Web 反病毒扫描的配置是基于 Web 访问规则进行定义(如下图所示)。你可以在某条 Web 访问规则中不进行 Web 反病毒扫描,例如针对 *.microsoft.com 的访问就不进行扫描,而对其他的 Web 访问则进行扫描等;
当 然针对 Web 杀毒的性能问题,可能也是很多朋友所关注的。微软经过大量的研究与分析,在 TMG 中使用了独有的专利技术来确保 Web 杀毒性能与用户访问体验之间的平衡。在我的虚拟机测试中,我制作了一个ZIP压缩包,里面的压缩文件嵌套层数为3层,所有的压缩文件数大概在30个左右。
我的 TMG 虚拟机的配置如下图所示,不过不算在主机上运行的程序,我还同时开启了3个 Windows Server 2008 虚拟机来实现此测试环境。
在实际的用户访问测试中,当启用 Web 反病毒扫描时,用户访问体验和未启用 Web 反病毒扫描时并没有太多区别。
如下图所示,针对此压缩包,TMG 共计使用了 7485 毫秒的时间来完成完整的反病毒扫描。但是需要注意的是,这个扫描时间并不是指客户的等待延迟时间,客户的访问下载和 TMG 的 Web 反病毒是同时进行的。
4、人性化管理与集成操作
从 ISA Server 2004 开始,ISA Server 的管理界面一直都非常友好,在 ISA 2006 中,针对部分操作又进行了简化,并提供了大量的配置向导来辅助管理操作。在 TMG 中,针对安装配置又进行了更为人性化的配置简化。当安装好 TMG 第一次进入 TMG 管理控制台时,会自动调用开始配置向导(如下图所示),从而协助你更快的完成 TMG 的配置工作。
另 外,可能是由于 Office 2007 的集成操作菜单大获好评,在 TMG 中,将过去 ISA 管理控制台中的配置节点取消,而将原配置节点中的各个子功能基于功能特性,集成到其他操作节点中,这样当你进行配置时,在一个操作节点中就可以实现类似功 能的完整配置。
针 对管理控制还有一个重大的改进:由于很多用户抱怨 ISA Server 中针对用户的 Web 访问的控制不太直观,因此在 TMG 中,单独建立了一个 Web 访问策略操作节点,在这个操作节点中,将防火墙策略中所有的 Web 访问策略筛选到一起,并可以进行所有相关 Web 访问控制的管理与控制操作,这极大的简化了针对用户的 Web 访问控制管理操作。
从 以上的介绍可以看出,鉴于 ISA 作为防火墙所取得的巨大成功,微软已经不再仅仅把 TMG 局限网络防火墙这一个领域,而是通过安全产品与技术的逐步整合,实现统一的、集中的、完善的企业安全管控。相信在未来, TMG 能够很好的接过 ISA 的班,实现更为高效、更为完善、更为集成的企业安全管控!
至少目前证明,测试版的可以装在32位的2008上。BY RICKYFANG
109
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
