Замена Microsoft TMG решением от F5 Networks

Решение компании F5 обеспечивает замену Microsoft TMGМногие компании сегодня вынуждены искать замену решению Microsoft Forefront Threat Management Gateway, разработка которого была прекращена. Превосходной альтернативой является решение F5® Secure Web Gateway Services, обеспечивающее контроль и безопасную работу в Интернете.

Техническая статья

2

ТЕХНИЧЕСКАЯ СТАТЬЯ

Решение компании F5 обеспечивает замену Microsoft TMG

Содержание

Введение 3

Прощание с прошлым 3

Решение F5: Secure Web Gateway Services 4

Прямой интернет-прокси 5

Фильтрация URL и контента 6

Контроль доступа для пользователей 6

Соответствие нормативным требованиям 7

Заключение 8

3

ТЕХНИЧЕСКАЯ СТАТЬЯ

Решение компании F5 обеспечивает замену Microsoft TMG

ВведениеНедавнее объявление о прекращении разработки системы Microsoft Forefront Threat

Management Gateway (TMG) вынудило многие компании искать другие решения для

защиты корпоративного доступа в Интернет. При выборе нового решения важно быть

уверенным в том, что оно будет обладать всеми функциями и возможностями для

обеспечения безопасного и контролируемого доступа к интернет-ресурсам.

Решение F5 Secure Web Gateway Services обладает полным набором функциональных

возможностей, а также отличается превосходной масштабируемостью и высокой

производительностью. Это позволяет считать его лучшей заменой TMG.

Прощание с прошлымКак предприятию обеспечить безопасный и контролируемый доступ пользователей к

Интернету без использования TMG? Сбой при защите исходящих соединений может очень

дорого обойтись компании (это могут быть как прямые убытки, связанные с потерей

данных, так и штрафы или потери рабочего времени сотрудников из-за ненадлежащего

использования Интернета).

Многие организации пришли к выводу, что помимо обычных брандмауэров и

брандмауэров нового поколения, им необходим интернет-прокси (например, TMG),

обеспечивающий доступ сотрудников к Интернету и защиту корпоративных активов.

Пример подобной архитектуры показан на рисунке 1.

BIG-IP Local Traffic Manager

Внешний брандмауэр

Вредоносные и нежелательные

сайты

ИнтернетМассив Threat Man-

agement Gateway

A

B

Прямой интернет-прокси контролирует исходящие соединения, обеспечивая защиту от вредоносного ПО, фильтрацию URL-адресов и содержимого

Блокирует получение нежелательного содержимого и проникновение вредоносного ПО

Заблокированные пользователи

Корпоративные пользователи

Пользова-тели

интернет-прокси

Пользова-тели клиента

TMG

Пользова-тели

SecureNAT

A B

Интеллектуальное управление

трафиком

Интеллектуальное управление

трафиком

Платформа BIG-IP

Платформа BIG-IP

Разрешенные веб-сайты

Рис. 1. Архитектура массива интернет-прокси TMG

Различные производители предлагают корпоративным заказчикам разнообразные

решения, однако при выборе такого решения ИТ-специалисты должны быть уверены,

3

4

ТЕХНИЧЕСКАЯ СТАТЬЯ

Решение компании F5 обеспечивает замену Microsoft TMG

что оно содержит необходимый набор функций для обеспечения защищенного и

контролируемого доступа к интернет-ресурсам, включая четыре компонента,

описанные ниже.

Прямой интернет-прокси

Поддержание определенного уровня анонимности при взаимодействии корпоративных

систем и интернет-ресурсов является ключевым требованием обеспечения безопасного

доступа к Интернету. Решение должно содержать полнофункциональный прямой прокси-

сервер, который перехватывает все исходящие соединения и устанавливает их заново от

имени клиентов. Клиентская система (внутри организации или удаленная) должна быть

скрыта от интернет-ресурса.

Фильтрация URL и контента

Чтобы предотвратить проникновение в корпоративную среду ненадлежащего трафика,

интернет-прокси должен иметь возможность проверять сайты и контент, предпринимая

необходимые действия. Это относится как к зашифрованному трафику (SSL), так и к

незашифрованному.

Управление доступом на уровне пользователей

Компаниям часто бывает необходимо контролировать доступ разных пользователей к

Интернету с учетом целого ряда факторов (должность, рабочие часы, общая

производственная необходимость и т.д.). Интернет-прокси будет представлять реальную

пользу для организации лишь в том случае, если он содержит функции и возможности,

позволяющие управлять доступом с учетом свойств и поведения пользователей.

Аудит и соответствие нормативным требованиям

Формирование и обеспечение выполнения правил использования сети является

важнейшей обязанностью сразу двух подразделений: ИТ и кадровой службы. Интернет-

прокси должен содержать функцию отслеживания активности пользователей и создания

отчетов об их действиях.

5

ТЕХНИЧЕСКАЯ СТАТЬЯ

Решение компании F5 обеспечивает замену Microsoft TMG

Решение F5: Secure Web Gateway ServicesВ состав решения F5 Secure Web Gateway Services входит полнофункциональный прямой

прокси-сервер. Как показано на рисунке 2, сочетание компонентов BIG-IP® Access Policy

Manager™, BIG-IP® Local Traffi c Manager™ и BIG-IP® Advanced Firewall Manager™ позволяет

создать решение, которое значительно упрощает развертывание интернет-прокси,

одновременно обеспечивая расширенную функциональность и более надежную защиту.

Разрешенные веб-сайты

A

B

C

Обеспечивает реализацию детализированных политик доступа и создание отчетов о локальных и удаленных пользователях

Прямой прокси-сервер контролирует исходящие соединения, обеспечивая ускорение передачи данных, защиту от вредоносных программ, а также фильтрацию URL-адресов и содержимого.

Блокирует получение нежелательного содержимого и проникновение вредоносного ПО

Удаленные пользователи

Заблокированные пользователи

Корпоративные пользователи

Пользова-тели

интернет-прокси

Пользова-тели

клиента TMG

Пользова-тели

SecureNAT

A

Реализация политик доступа+ Защита при работе в Интернете

+ Расширенные функции брандмауэра

+ Создание отчетов

Платформа BIG-IP

APM AFMLTMB

Вредоносные и нежелательные

сайты

Интернет

BC

Secure WebGateway Services

Упрощенные бизнес-модели

+ Secure Web Gateway Services

GOOD BETTER BEST

BIG-IP Access Policy Manager

BIG-IP Local Traffic Manager

BIG-IP Advanced Firewall Manager

Рис. 2. Архитектура решения F5 Secure Web Gateway Services

Прямой интернет-прокси Решение Secure Web Gateway Services содержит прямой интернет-прокси, обладающий

полным набором функций, включая возможность анализа и проксирования

зашифрованного трафика (SSL). Систему можно настроить для обеспечения защиты

разнообразных клиентов, как внутренних, так и удаленных.

При использовании Secure Web Gateway Services клиенты не подключаются напрямую к

веб-ресурсам за пределами организации. Вместо этого они соединяются с прокси-

6

ТЕХНИЧЕСКАЯ СТАТЬЯ

Решение компании F5 обеспечивает замену Microsoft TMG

сервером и запрашивают содержимое (например, веб-страницу или файл) через него.

Прокси-сервер Secure Web Gateway Services затем выполняет этот запрос от имени

клиента. Подобная схема обеспечивает защиту внутренних клиентов и позволяет прокси-

серверу производить оценку запросов и ответов, применяя различные ограничения.

Многие администраторы сталкиваются с необходимостью проксирования и обеспечения

безопасности SSL-трафика без нарушения конфиденциальности информации

пользователей. Система Secure Web Gateway Services решает эту проблему за счет

использования прокси-служб, основанных на категориях. Например, организация может

перехватывать, анализировать и фильтровать весь HTTPS-трафик сотрудников,

зашифрованный с использованием технологии SSL, за исключением тех случаев, когда это

связано с работой с банковскими системами.

Фильтрация URL-адресов и содержимогоВажнейшей функцией интернет-прокси является централизованное управление доступом

к Интернету: пользователи не должны иметь возможности выполнять действия, которые

являются недопустимыми или создают угрозу безопасности. Для этого используется

управление доступом на уровне пользователей, а также фильтрация URL и анализ

контента.

Secure Web Gateway Services блокирует доступ к большему числу вредоносных сайтов,

чем любое другое решение. Лежащая в основе Secure Web Gateway Services

интеллектуальная система защиты ежедневно анализирует более пяти миллиардов

веб-запросов, внося полученные сведения во всеобъемлющую базу данных, в которой

сейчас содержатся 40 миллионов URL, разбитых по категориям.

7

ТЕХНИЧЕСКАЯ СТАТЬЯ

Решение компании F5 обеспечивает замену Microsoft TMG

Рис. 3. Решение содержит готовые фильтры URL с категориями и возможностью настройки.

Управление доступом на уровне пользователейНе все пользователи должны иметь одинаковые права. Для эффективного формирования

и реализации правил использования сети организации должны иметь возможность

оценивать пользователей и применять к ним соответствующие наборы ограничений с

учетом различных факторов (принадлежность к определенным группам, метод проверки

подлинности, время суток и т.д.).

В решении Secure Web Gateway Services используются мощные возможности BIG-IP Access

Policy Manager, позволяющие администраторам гибко оценивать ситуацию и

задействовать те или иные наборы правил с учетом чрезвычайно подробных критериев.

Все более широкое использование сотрудниками собственных устройств и увеличение

числа мобильных пользователей создает новые административные сложности, связанные

с контролем работы в Интернете локальных и удаленных пользователей. Эффективный

прокси-сервер должен учитывать эти сложности. Действуя в качестве единого центра

управления в DMZ, решение F5 обеспечивает удаленным пользователям доступ к

корпоративным ресурсам, а также защищенный доступ к Интернету.

ТЕХНИЧЕСКАЯ СТАТЬЯ

Решение компании F5 обеспечивает замену Microsoft TMG

Решения для мира приложений.

F5 Networks, Inc.Главный офисinfo@f5.com

F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com

F5 NetworksАзиатско-Тихоокеанский регионapacinfo@f5.com

F5 Networks Ltd.Европа, Ближний Восток и Африкаemeainfo@f5.com

F5 NetworksЯпонияf5j-info@f5.com

©2014 Авторское право F5 Networks, Inc. Все права защищены. F5, F5 Networks и логотип F5 являются товарными знаками F5 Networks, Inc. в США и ряде других стран. Список других товарных знаков компании F5 см. на сайте f5.com. Названия любых других продуктов, служб или компаний, упомянутые в настоящем документе, могут являться товарными знаками их владельцев; их упоминание не является прямой или косвенной рекомендацией со стороны компании F5. 02/14 WP-SEC-17057-threat-management-gateway

Соответствие нормативным требованиямПредотвращение доступа к ненадлежащим и небезопасным ресурсам не только

способствует эффективной работе организации, но и зачастую является требованием

корпоративной политики, несоблюдение которого может привести к очень серьезным

последствиям.

Решение Secure Web Gateway Services предоставляет в распоряжение ИТ-

администраторов и специалистов по персоналу все средства, необходимые для

эффективной и корректной реализации правил использования сети. В системе

предусмотрено создание нескольких динамических отчетов с возможностью экспорта,

дающих четкое представление об использовании Интернета сотрудниками организации.

Кроме того, решение F5 может интегрироваться с множеством систем удаленного

централизованного ведения журналов.

Рис. 4. Подробные отчеты о действиях сотрудников помогают обеспечить соблюдение корпоративных правил.