Решение компании F5 обеспечивает замену Microsoft TMGМногие компании сегодня вынуждены искать замену решению Microsoft Forefront Threat Management Gateway, разработка которого была прекращена. Превосходной альтернативой является решение F5® Secure Web Gateway Services, обеспечивающее контроль и безопасную работу в Интернете.
Техническая статья
2
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
Содержание
Введение 3
Прощание с прошлым 3
Решение F5: Secure Web Gateway Services 4
Прямой интернет-прокси 5
Фильтрация URL и контента 6
Контроль доступа для пользователей 6
Соответствие нормативным требованиям 7
Заключение 8
3
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
ВведениеНедавнее объявление о прекращении разработки системы Microsoft Forefront Threat
Management Gateway (TMG) вынудило многие компании искать другие решения для
защиты корпоративного доступа в Интернет. При выборе нового решения важно быть
уверенным в том, что оно будет обладать всеми функциями и возможностями для
обеспечения безопасного и контролируемого доступа к интернет-ресурсам.
Решение F5 Secure Web Gateway Services обладает полным набором функциональных
возможностей, а также отличается превосходной масштабируемостью и высокой
производительностью. Это позволяет считать его лучшей заменой TMG.
Прощание с прошлымКак предприятию обеспечить безопасный и контролируемый доступ пользователей к
Интернету без использования TMG? Сбой при защите исходящих соединений может очень
дорого обойтись компании (это могут быть как прямые убытки, связанные с потерей
данных, так и штрафы или потери рабочего времени сотрудников из-за ненадлежащего
использования Интернета).
Многие организации пришли к выводу, что помимо обычных брандмауэров и
брандмауэров нового поколения, им необходим интернет-прокси (например, TMG),
обеспечивающий доступ сотрудников к Интернету и защиту корпоративных активов.
Пример подобной архитектуры показан на рисунке 1.
BIG-IP Local Traffic Manager
Внешний брандмауэр
Вредоносные и нежелательные
сайты
ИнтернетМассив Threat Man-
agement Gateway
A
B
Прямой интернет-прокси контролирует исходящие соединения, обеспечивая защиту от вредоносного ПО, фильтрацию URL-адресов и содержимого
Блокирует получение нежелательного содержимого и проникновение вредоносного ПО
Заблокированные пользователи
Корпоративные пользователи
Пользова-тели
интернет-прокси
Пользова-тели клиента
TMG
Пользова-тели
SecureNAT
A B
Интеллектуальное управление
трафиком
Интеллектуальное управление
трафиком
Платформа BIG-IP
Платформа BIG-IP
Разрешенные веб-сайты
Рис. 1. Архитектура массива интернет-прокси TMG
Различные производители предлагают корпоративным заказчикам разнообразные
решения, однако при выборе такого решения ИТ-специалисты должны быть уверены,
3
4
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
что оно содержит необходимый набор функций для обеспечения защищенного и
контролируемого доступа к интернет-ресурсам, включая четыре компонента,
описанные ниже.
Прямой интернет-прокси
Поддержание определенного уровня анонимности при взаимодействии корпоративных
систем и интернет-ресурсов является ключевым требованием обеспечения безопасного
доступа к Интернету. Решение должно содержать полнофункциональный прямой прокси-
сервер, который перехватывает все исходящие соединения и устанавливает их заново от
имени клиентов. Клиентская система (внутри организации или удаленная) должна быть
скрыта от интернет-ресурса.
Фильтрация URL и контента
Чтобы предотвратить проникновение в корпоративную среду ненадлежащего трафика,
интернет-прокси должен иметь возможность проверять сайты и контент, предпринимая
необходимые действия. Это относится как к зашифрованному трафику (SSL), так и к
незашифрованному.
Управление доступом на уровне пользователей
Компаниям часто бывает необходимо контролировать доступ разных пользователей к
Интернету с учетом целого ряда факторов (должность, рабочие часы, общая
производственная необходимость и т.д.). Интернет-прокси будет представлять реальную
пользу для организации лишь в том случае, если он содержит функции и возможности,
позволяющие управлять доступом с учетом свойств и поведения пользователей.
Аудит и соответствие нормативным требованиям
Формирование и обеспечение выполнения правил использования сети является
важнейшей обязанностью сразу двух подразделений: ИТ и кадровой службы. Интернет-
прокси должен содержать функцию отслеживания активности пользователей и создания
отчетов об их действиях.
5
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
Решение F5: Secure Web Gateway ServicesВ состав решения F5 Secure Web Gateway Services входит полнофункциональный прямой
прокси-сервер. Как показано на рисунке 2, сочетание компонентов BIG-IP® Access Policy
Manager™, BIG-IP® Local Traffi c Manager™ и BIG-IP® Advanced Firewall Manager™ позволяет
создать решение, которое значительно упрощает развертывание интернет-прокси,
одновременно обеспечивая расширенную функциональность и более надежную защиту.
Разрешенные веб-сайты
A
B
C
Обеспечивает реализацию детализированных политик доступа и создание отчетов о локальных и удаленных пользователях
Прямой прокси-сервер контролирует исходящие соединения, обеспечивая ускорение передачи данных, защиту от вредоносных программ, а также фильтрацию URL-адресов и содержимого.
Блокирует получение нежелательного содержимого и проникновение вредоносного ПО
Удаленные пользователи
Заблокированные пользователи
Корпоративные пользователи
Пользова-тели
интернет-прокси
Пользова-тели
клиента TMG
Пользова-тели
SecureNAT
A
Реализация политик доступа+ Защита при работе в Интернете
+ Расширенные функции брандмауэра
+ Создание отчетов
Платформа BIG-IP
APM AFMLTMB
Вредоносные и нежелательные
сайты
Интернет
BC
Secure WebGateway Services
Упрощенные бизнес-модели
+ Secure Web Gateway Services
GOOD BETTER BEST
BIG-IP Access Policy Manager
BIG-IP Local Traffic Manager
BIG-IP Advanced Firewall Manager
Рис. 2. Архитектура решения F5 Secure Web Gateway Services
Прямой интернет-прокси Решение Secure Web Gateway Services содержит прямой интернет-прокси, обладающий
полным набором функций, включая возможность анализа и проксирования
зашифрованного трафика (SSL). Систему можно настроить для обеспечения защиты
разнообразных клиентов, как внутренних, так и удаленных.
При использовании Secure Web Gateway Services клиенты не подключаются напрямую к
веб-ресурсам за пределами организации. Вместо этого они соединяются с прокси-
6
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
сервером и запрашивают содержимое (например, веб-страницу или файл) через него.
Прокси-сервер Secure Web Gateway Services затем выполняет этот запрос от имени
клиента. Подобная схема обеспечивает защиту внутренних клиентов и позволяет прокси-
серверу производить оценку запросов и ответов, применяя различные ограничения.
Многие администраторы сталкиваются с необходимостью проксирования и обеспечения
безопасности SSL-трафика без нарушения конфиденциальности информации
пользователей. Система Secure Web Gateway Services решает эту проблему за счет
использования прокси-служб, основанных на категориях. Например, организация может
перехватывать, анализировать и фильтровать весь HTTPS-трафик сотрудников,
зашифрованный с использованием технологии SSL, за исключением тех случаев, когда это
связано с работой с банковскими системами.
Фильтрация URL-адресов и содержимогоВажнейшей функцией интернет-прокси является централизованное управление доступом
к Интернету: пользователи не должны иметь возможности выполнять действия, которые
являются недопустимыми или создают угрозу безопасности. Для этого используется
управление доступом на уровне пользователей, а также фильтрация URL и анализ
контента.
Secure Web Gateway Services блокирует доступ к большему числу вредоносных сайтов,
чем любое другое решение. Лежащая в основе Secure Web Gateway Services
интеллектуальная система защиты ежедневно анализирует более пяти миллиардов
веб-запросов, внося полученные сведения во всеобъемлющую базу данных, в которой
сейчас содержатся 40 миллионов URL, разбитых по категориям.
7
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
Рис. 3. Решение содержит готовые фильтры URL с категориями и возможностью настройки.
Управление доступом на уровне пользователейНе все пользователи должны иметь одинаковые права. Для эффективного формирования
и реализации правил использования сети организации должны иметь возможность
оценивать пользователей и применять к ним соответствующие наборы ограничений с
учетом различных факторов (принадлежность к определенным группам, метод проверки
подлинности, время суток и т.д.).
В решении Secure Web Gateway Services используются мощные возможности BIG-IP Access
Policy Manager, позволяющие администраторам гибко оценивать ситуацию и
задействовать те или иные наборы правил с учетом чрезвычайно подробных критериев.
Все более широкое использование сотрудниками собственных устройств и увеличение
числа мобильных пользователей создает новые административные сложности, связанные
с контролем работы в Интернете локальных и удаленных пользователей. Эффективный
прокси-сервер должен учитывать эти сложности. Действуя в качестве единого центра
управления в DMZ, решение F5 обеспечивает удаленным пользователям доступ к
корпоративным ресурсам, а также защищенный доступ к Интернету.
ТЕХНИЧЕСКАЯ СТАТЬЯ
Решение компании F5 обеспечивает замену Microsoft TMG
Решения для мира приложений.
F5 Networks, Inc.Главный офис[email protected]
F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com
F5 NetworksАзиатско-Тихоокеанский регион[email protected]
F5 Networks Ltd.Европа, Ближний Восток и Африка[email protected]
F5 NetworksЯпония[email protected]
©2014 Авторское право F5 Networks, Inc. Все права защищены. F5, F5 Networks и логотип F5 являются товарными знаками F5 Networks, Inc. в США и ряде других стран. Список других товарных знаков компании F5 см. на сайте f5.com. Названия любых других продуктов, служб или компаний, упомянутые в настоящем документе, могут являться товарными знаками их владельцев; их упоминание не является прямой или косвенной рекомендацией со стороны компании F5. 02/14 WP-SEC-17057-threat-management-gateway
Соответствие нормативным требованиямПредотвращение доступа к ненадлежащим и небезопасным ресурсам не только
способствует эффективной работе организации, но и зачастую является требованием
корпоративной политики, несоблюдение которого может привести к очень серьезным
последствиям.
Решение Secure Web Gateway Services предоставляет в распоряжение ИТ-
администраторов и специалистов по персоналу все средства, необходимые для
эффективной и корректной реализации правил использования сети. В системе
предусмотрено создание нескольких динамических отчетов с возможностью экспорта,
дающих четкое представление об использовании Интернета сотрудниками организации.
Кроме того, решение F5 может интегрироваться с множеством систем удаленного
централизованного ведения журналов.
Рис. 4. Подробные отчеты о действиях сотрудников помогают обеспечить соблюдение корпоративных правил.