TMG or UAG? 哪一個是我要的?

TMG or UAG? 哪一個是我要的?

轉載至 http://www.magg.com.tw/blog/?p=514

越來越多的客戶，甚至是 partner 對於 Microsoft 兩大閘道安全產品 – Forefront Threat Management Gateway(TMG) 與 Forefront Unified Access Gateway(UAG)，搞得混淆了，因此沒有辦法確定到底需要的是哪一樣!

基本上，TMG 與 UAG 兩者最大的差別在於，TMG 是 “inboung and outbound gateway"，功能包括了網路層級與應用程式層級的狀態式防火牆、反向代理(Reverse Proxy)、VPN 伺服器(client-to-site 與 site-to-site)，TMG 主要 focus 在如何讓『壞人』無法進入，『好人』可以通過；而 UAG 是 “inbound only" 的遠端存取閘道，可以提供更精細、完整的控制，讓『真正的好人』可以進入。

以下是歸納起來的重點，協助您決定哪一個產品是您真正需要的。

使用 TMG 的理由
我需要同時控制 inbound 與 outbound 的流量
我需要網路層級與應用程式層級的狀態式防火牆來保護內部網路
我需要防火牆內建 IPS(入侵防禦系統)
我需要讓內網使用者可以上網，也就是 forward proxy
我需要可以依據網址或是分類來控管上網行為
我需要監視內網用戶上網行為與防火牆封包紀錄
我需要拒絕讓內網用戶使用會降低生產力的軟體或服務(例如 IM、P2P 或 video share)
我需要提供內網使用者安全上網的方法，偵測下載檔案是否不安全或有病毒
我需要讓 HTTPS 上網的行為也能夠被保護
我需要將內部主機或服務發佈到internet(網頁、電子郵件…等)
我需要 SSL bridge 來保護發布的網頁伺服器
我需要在沒有安裝修補程式的情況下，也能防止駭客透過已知漏洞入侵(NIS)
我需要 site-to-site VPN，建立與分公司的私人網路
我需要 VPN server，而且同時需要以上的功能

使用 UAG 的理由
我需要一個控管 inbound 流量的閘道
我需要提供用戶由外網也可以安全地存取內網的資源
我需要提供用戶由外網以 VPN 方式存取內網網路
我需要為 Windows 7 用戶端快速地啟用 DirectAccess 功能
我需要確保乾淨且安全的終端裝置，透過正確的登入，存取內網的資源/服務/應用程式
我需要能夠定義使用者可以或不可以存取的資源，並且依據安全性原則決定可以進行哪些行為
我必須確保使用者即使在沒有 VPN 連線的情況下，都可以存取網頁式軟體、遠端桌面、RemoteApp、Citrix等
我必須讓使用者不僅是 Windows 用戶端可以存取，透過 mobile 用戶端或 Linux、MAC 也一樣可以存取
我需要提供一個網頁介面，使用者可以登入後，藉由此入口網站顯示所有可存取的應用程式，以及檢查終端設備的健康狀態
我必須有一個簡單的介面定義安全性原則


由以上的歸納，每個產品都有它的主要方向，很可能您兩種都需要，對於小型網路，需要 all in one的產品，TMG 可以提供完整的網路防火牆，也提供遠端存取的機制；當您只需要考慮 inbound 流量時，UAG 就是不二之選；對許多大型企業，將 inbound 與 outbound 流量切開來的情形，UAG 就可以取代原本 TMG 在 inbound 流量的管控。