Forefront Threat Management Gateway(TMG) – 簡介

作者:Taien Wang

Forefront Threat Management Gateway 是基於Microsoft Internet Security and Acceleration (ISA) Server核心的新產品,也就是ISA的下一代。主要是提供一個完善的網路安全閘道,讓公司可以抵禦基於Internet的外部攻擊與威脅。

依造MDSN(http://technet.microsoft.com/zh-tw/library/ee207139.aspx)所描述,他包含以下新功能
1. 網頁惡意程式碼防護功能:近年來在駭客的黑市中,價錢最好也最夯的除了作業系統與虛擬機器的0 Day以外,應該就是瀏覽器的漏洞了,透過瀏覽器觸發,駭客可以在入侵網站後在網頁埋下惡意程式來入侵更多客戶端,也讓駭客除了利用電子郵件滲透內網多了一個更有效的管道。在此部分TMG會在閘道幫您做惡意程式碼與病毒的過濾,一但發現有病毒會直接在閘道換掉網頁,降低使用者掃描負擔,並將掃描結果重複利用(此為訂閱服務就像買防毒碼一樣)。

惡意程式防禦(Malware Detection)如圖示抵禦自動下載(Drive by download)的畫面

2. URL 篩選:此服務可以依造微軟的自動整理分類服務類別來允許或封鎖網站存取,如常見的色情、毒品、駭客教學網站等等,組織可以利用分類好的清單快速建立起防護網,也可以自行定義規則,像是上班時間不允許使用Facebook、Plurk等,都可以在這裡設定更細微規則(此為訂閱服務就像買防毒碼一樣)。

上班時間瀏覽賭博網站會被封鎖

預設可以設定的類別,大約有78種

自訂描述

出現的自訂封鎖字樣

3. 電子郵件保護訂閱服務:TMG的電子郵件保護技術是基於Forefront Protection 2010 for Exchange Server,它可以做為SMTP的轉送介面,並檢查通過的電子郵件是否有病毒(Virus)、惡意程式(Malware)、垃圾郵件(Spam)等等,這對近年來電子郵件社交工程與透過信件進行的目標式攻擊(Target Attack)替員工無形中增加了許多保護網。

4.HTTPS 檢查:一般的免費軟體或是沒有考慮到加密情況的軟體遇到HTTPS(443)就束手無策,之前我在使用一些滲透測試工具就有類似的狀況。還好TMG沒有這麼肉腳,他可以檢查HTTPS之前的通訊是否有惡意程式存在,產生的問題也可以另訂規則來排除。他的方法應是使用者與目標網站中間插入一個第三方來互相作簽章驗證,來過濾中間的封包內容。

如圖在HTTPS中,掃描出惡意壓縮檔案

5.網路檢查系統 (NIS):TMG可以檢查是否有利用微軟相關弱點的入侵程式在攻擊,依據通訊協定來分析,將誤判降到最低,並可以透過更新保護項目。

網路檢查系統NIS

6.增強的網路位址轉譯 (NAT):可以讓您指定可以根據一對一 NAT 發佈的個別電子郵件伺服器。

7.增強的 Voice over IP:支援包含了 SIP 周遊,讓您在網路上以更簡易的方式部署 Voice over IP。

8.Windows Server 2008 的 64 位元支援:Forefront TMG 可以安裝在 Windows Server 2008 的 64 位元支援上,讓處理的速度更快,並可以部屬在虛擬環境上。

整體來說,這套ISA的下一代產品功能算是相當強大,但廣大的用戶一定有想要的功能TMG沒有做到,一方面可能是TMG還沒有做,歡迎大家可以提供給原廠參考,另一方面可能是其他微軟產品做掉了。微軟這是主打微軟企業資安‧面面俱到,這是目前在市面上看到做全面的一個全面解決方案(total solution),有興趣的話可以參考以下的圖,有時間我在慢慢介紹。

微軟企業資安‧面面俱到

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *


*