Szerző: Bodnár Ádám

2009. december 07. 08:36:00

Megjelent az új ISA Server, amit már nem is így hívnak

Elrajtolt a Microsoft integrált határvédelmi átjárója, a Forefront Threat Management Gateway, amely az egykori ISA Server új szolgáltatásokkal és képességekkel jelentősen kibővített utódja.

Hosszas várakozás után végre megérkezett a Microsoft Forefront Threat Management Gateway 2010 amely a korábbi ISA Server folytatása, azonban számos új képességgel kiegészítve. A termék innen kapta a nevét is, most már nem csupán tűzfalról és hálózati határvédelemről van szó, hanem egy integrált biztonsági eszközről, amelynek legfontosabb újdonságai a web biztonságos elérését szolgálják. A Threat Management Gateway nagyobb előrelépést jelent az ISA Server legutóbbi változatához képest, mint annak idején az ISA Server 2004 az ISA Server 2000-hez képest, mondta el a HWSW-nek Gál Tamás, a Microsoft TechNet szakmai vezetője, Microsoft MVP. Számos olyan új szolgáltatás került bele a szoftverbe, amelyhez korábban külső szállítótól származó megoldásra volt szükség.

A cél a biztoságos web

A Microsoft törekvése az volt a Threat Management Gateway-jel (TMG), hogy a kártevők teljesen a hálózaton kívül maradjanak. Ennek érdekében a TMG komplett kártevővédelmet tartalmaz a Forefront-családban megszokott motorokra alapozva. A szoftver minden hálózati forgalmat képes megszűrni a kártékony kódok után kutatva, így elkerülhető, hogy a felhasználók akár véletlenül fertőző tartalmat töltsenek le. Persze a TMG nem pótolja a végpontokra telepített védelmet, legfeljebb kiegészíti.

Fontos új szolgáltatás az URL-szűrés, amely egy rendszeresen frissülő, több milliárd weboldal címét tartalmazó lista alapján működik. A TMG mellett gyakorlatilag nem szükséges tartalomszűrő megoldást bevezetni, mivel a szoftver maga képes a felhasználóktól jövő kéréseket megszűrni, az rendszergazdák közel 100 tartalmi kategória alapján kérhetik a szűrést, akár a címtárban definiált felhasználói csoportok számára különböző beállítások mellett is. Természetesen kivételek is megadhatók. Újdonság, hogy a termék a https forgalmat is képes megszűrni a nem engedélyezett tartalmaktól és kártékony kódoktól, az eredeti tanúsítvány mellé a sajátját csatolva.

A TMG a javítatlan sebezhetőségek elleni védelmet is új szintre emeli, a dokumentált, de még nem javított sérülékenységek elleni támadások lenyomatát használva a szoftver már a hálózat peremén képes megállítani a kártékony kódokat. A sebezhetőségek javítását ez persze nem pótolja, de legalább a patch érkezéséig sem lesznek védtelenek a felhasználók gépei.

A felhasználók által egyik legtöbbet hiányolt képesség volt az ISA Serverből a több internetkapcsolat párhuzamos használata, akár terhelésmegosztásra, hibatűrésre. A TMG-be végre bekerült ez a képesség is, mégpedig ISP Redundancy Mode néven. Továbbra sincs azonban QoS, nem lehet a felhasználók vagy felhasználói csoportok, illetve alkalmazások által elfogyasztott sávszélességet korlátozni.

A Microsoft Forefront Threat Management Gateway 2010 felhasználói felülete is jelentős változáson esett át az ISA Serverhez képest, a kezdők számára örömhír, hogy az első lépéseket, a beállításokat, a konfigurálást új varázslók teszik egyszerűvé, de ez persze nem jelenti azt, hogy a TMG egy egyszerű termék lenne. Ismerkedéshez érdemes az ingyenes próbaváltozatot letölteni a Microsoft oldaláról. A Threat Management Gateway 2010 futtatásához 64 bites Windows Server 2008 vagy 2008 R2 szükséges.

Unified Access Gateway

Szintén megjelent a Unified Access Gateway, amely a TMG-re épülve teszi lehetővé az alkalmazások webes kiajánlását, lényegében egy összetett portálon keresztül. Az új verzióba számos új alkalmazás támogatása bekerült, többek között a Microsoft teljes 2010-es portfóliója (pl. Exchange 2010, SharePoint Server 2010). A UAG említésre méltó fejlesztése, hogy kompatibilis a Wndows Server 2008 R2-ben és a Windows 7-ben megjelent Direct Access VPN-helyettesítő technológiával és önállóan képes elvégezni az IPv4-IPv6 fordítást, így a távoli felhasználók kényelmesen és biztonságosan tudnak csatlakozni anélkül, hogy a belső hálózatot meg kellene bolygatni.

a címlapról