Многие компании сегодня вынуждены искать замену решению Microsoft Forefront Threat Management Gateway, разработка которого была прекращена. Превосходной альтернативой является решение F5 Secure Web Gateway Services, обеспечивающее контроль и безопасную работу в Интернете.
1. Решение компании F5 обеспечивает
замену Microsoft TMG
Многие компании сегодня вынуждены искать замену решению Microsoft
Forefront Threat Management Gateway, разработка которого была прекращена.
Превосходной альтернативой является решение F5® Secure Web Gateway
Services, обеспечивающее контроль и безопасную работу в Интернете.
Техническая статья
2. 2
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
Содержание
Введение 3
Прощание с прошлым 3
Решение F5: Secure Web Gateway Services 4
Прямой интернет-прокси 5
Фильтрация URL и контента 6
Контроль доступа для пользователей 6
Соответствие нормативным требованиям 7
Заключение 8
3. 3
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
Введение
Недавнее объявление о прекращении разработки системы Microsoft Forefront Threat
Management Gateway (TMG) вынудило многие компании искать другие решения для
защиты корпоративного доступа в Интернет. При выборе нового решения важно быть
уверенным в том, что оно будет обладать всеми функциями и возможностями для
обеспечения безопасного и контролируемого доступа к интернет-ресурсам.
Решение F5 Secure Web Gateway Services обладает полным набором функциональных
возможностей, а также отличается превосходной масштабируемостью и высокой
производительностью. Это позволяет считать его лучшей заменой TMG.
Прощание с прошлым
Как предприятию обеспечить безопасный и контролируемый доступ пользователей к
Интернету без использования TMG? Сбой при защите исходящих соединений может очень
дорого обойтись компании (это могут быть как прямые убытки, связанные с потерей
данных, так и штрафы или потери рабочего времени сотрудников из-за ненадлежащего
использования Интернета).
Многие организации пришли к выводу, что помимо обычных брандмауэров и
брандмауэров нового поколения, им необходим интернет-прокси (например, TMG),
обеспечивающий доступ сотрудников к Интернету и защиту корпоративных активов.
Пример подобной архитектуры показан на рисунке 1.
BIG-IP Local Traffic Manager
Внешний
брандмауэр
Вредоносные и
нежелательные
сайты
Интернет
Массив Threat Man-
agement Gateway
A
B
Прямой интернет-прокси контролирует исходящие
соединения, обеспечивая защиту от вредоносного
ПО, фильтрацию URL-адресов и содержимого
Блокирует получение нежелательного содержимого
и проникновение вредоносного ПО
Заблокированные
пользователи
Корпоративные
пользователи
Пользова-
тели
интернет-
прокси
Пользова-
тели клиента
TMG
Пользова-
тели
SecureNAT
A
B
Интеллектуальное
управление
трафиком
Интеллектуальное
управление
трафиком
Платформа
BIG-IP
Платформа
BIG-IP
Разрешенные
веб-сайты
Рис. 1. Архитектура массива интернет-прокси TMG
Различные производители предлагают корпоративным заказчикам разнообразные
решения, однако при выборе такого решения ИТ-специалисты должны быть уверены,
3
4. 4
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
что оно содержит необходимый набор функций для обеспечения защищенного и
контролируемого доступа к интернет-ресурсам, включая четыре компонента,
описанные ниже.
Прямой интернет-прокси
Поддержание определенного уровня анонимности при взаимодействии корпоративных
систем и интернет-ресурсов является ключевым требованием обеспечения безопасного
доступа к Интернету. Решение должно содержать полнофункциональный прямой прокси-
сервер, который перехватывает все исходящие соединения и устанавливает их заново от
имени клиентов. Клиентская система (внутри организации или удаленная) должна быть
скрыта от интернет-ресурса.
Фильтрация URL и контента
Чтобы предотвратить проникновение в корпоративную среду ненадлежащего трафика,
интернет-прокси должен иметь возможность проверять сайты и контент, предпринимая
необходимые действия. Это относится как к зашифрованному трафику (SSL), так и к
незашифрованному.
Управление доступом на уровне пользователей
Компаниям часто бывает необходимо контролировать доступ разных пользователей к
Интернету с учетом целого ряда факторов (должность, рабочие часы, общая
производственная необходимость и т.д.). Интернет-прокси будет представлять реальную
пользу для организации лишь в том случае, если он содержит функции и возможности,
позволяющие управлять доступом с учетом свойств и поведения пользователей.
Аудит и соответствие нормативным требованиям
Формирование и обеспечение выполнения правил использования сети является
важнейшей обязанностью сразу двух подразделений: ИТ и кадровой службы. Интернет-
прокси должен содержать функцию отслеживания активности пользователей и создания
отчетов об их действиях.
5. 5
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
Решение F5: Secure Web Gateway
Services
В состав решения F5 Secure Web Gateway Services входит полнофункциональный прямой
прокси-сервер. Как показано на рисунке 2, сочетание компонентов BIG-IP®
Access Policy
Manager™, BIG-IP®
Local Traffic Manager™ и BIG-IP®
Advanced Firewall Manager™ позволяет
создать решение, которое значительно упрощает развертывание интернет-прокси,
одновременно обеспечивая расширенную функциональность и более надежную защиту.
Разрешенные
веб-сайты
A
B
C
Обеспечивает реализацию детализированных политик доступа и
создание отчетов о локальных и удаленных пользователях
Прямой прокси-сервер контролирует исходящие соединения,
обеспечивая ускорение передачи данных, защиту от вредоносных
программ, а также фильтрацию URL-адресов и содержимого.
Блокирует получение нежелательного содержимого и проникновение
вредоносного ПО
Удаленные
пользователи
Заблокированные
пользователи
Корпоративные
пользователи
Пользова-
тели
интернет-
прокси
Пользова-
тели
клиента
TMG
Пользова-
тели
SecureNAT
A
Реализация политик доступа
+ Защита при работе в Интернете
+ Расширенные функции
брандмауэра
+ Создание отчетов
Платформа BIG-IP
APM AFMLTMB
Вредоносные и
нежелательные
сайты
Интернет
B
C
Secure Web
Gateway Services
Упрощенные бизнес-модели
+ Secure Web Gateway Services
GOOD BETTER BEST
BIG-IP Access Policy Manager
BIG-IP Local Traffic Manager
BIG-IP Advanced Firewall Manager
Рис. 2. Архитектура решения F5 Secure Web Gateway Services
Прямой интернет-прокси
Решение Secure Web Gateway Services содержит прямой интернет-прокси, обладающий
полным набором функций, включая возможность анализа и проксирования
зашифрованного трафика (SSL). Систему можно настроить для обеспечения защиты
разнообразных клиентов, как внутренних, так и удаленных.
При использовании Secure Web Gateway Services клиенты не подключаются напрямую к
веб-ресурсам за пределами организации. Вместо этого они соединяются с прокси-
6. 6
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
сервером и запрашивают содержимое (например, веб-страницу или файл) через него.
Прокси-сервер Secure Web Gateway Services затем выполняет этот запрос от имени
клиента. Подобная схема обеспечивает защиту внутренних клиентов и позволяет прокси-
серверу производить оценку запросов и ответов, применяя различные ограничения.
Многие администраторы сталкиваются с необходимостью проксирования и обеспечения
безопасности SSL-трафика без нарушения конфиденциальности информации
пользователей. Система Secure Web Gateway Services решает эту проблему за счет
использования прокси-служб, основанных на категориях. Например, организация может
перехватывать, анализировать и фильтровать весь HTTPS-трафик сотрудников,
зашифрованный с использованием технологии SSL, за исключением тех случаев, когда это
связано с работой с банковскими системами.
Фильтрация URL-адресов и содержимого
Важнейшей функцией интернет-прокси является централизованное управление доступом
к Интернету: пользователи не должны иметь возможности выполнять действия, которые
являются недопустимыми или создают угрозу безопасности. Для этого используется
управление доступом на уровне пользователей, а также фильтрация URL и анализ
контента.
Secure Web Gateway Services блокирует доступ к большему числу вредоносных сайтов,
чем любое другое решение. Лежащая в основе Secure Web Gateway Services
интеллектуальная система защиты ежедневно анализирует более пяти миллиардов
веб-запросов, внося полученные сведения во всеобъемлющую базу данных, в которой
сейчас содержатся 40 миллионов URL, разбитых по категориям.
7. 7
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
Рис. 3. Решение содержит готовые фильтры URL с категориями и возможностью настройки.
Управление доступом на уровне пользователей
Не все пользователи должны иметь одинаковые права. Для эффективного формирования
и реализации правил использования сети организации должны иметь возможность
оценивать пользователей и применять к ним соответствующие наборы ограничений с
учетом различных факторов (принадлежность к определенным группам, метод проверки
подлинности, время суток и т.д.).
В решении Secure Web Gateway Services используются мощные возможности BIG-IP Access
Policy Manager, позволяющие администраторам гибко оценивать ситуацию и
задействовать те или иные наборы правил с учетом чрезвычайно подробных критериев.
Все более широкое использование сотрудниками собственных устройств и увеличение
числа мобильных пользователей создает новые административные сложности, связанные
с контролем работы в Интернете локальных и удаленных пользователей. Эффективный
прокси-сервер должен учитывать эти сложности. Действуя в качестве единого центра
управления в DMZ, решение F5 обеспечивает удаленным пользователям доступ к
корпоративным ресурсам, а также защищенный доступ к Интернету.