TMG or UAG? 哪一個是我要的?
轉載至 http://www.magg.com.tw/blog/?p=514
越來越多的客戶,甚至是 partner 對於 Microsoft 兩大閘道安全產品 – Forefront Threat Management Gateway(TMG) 與 Forefront Unified Access Gateway(UAG),搞得混淆了,因此沒有辦法確定到底需要的是哪一樣!
基本上,TMG 與 UAG 兩者最大的差別在於,TMG 是 “inboung and outbound gateway",功能包括了網路層級與應用程式層級的狀態式防火牆、反向代理(Reverse Proxy)、VPN 伺服器(client-to-site 與 site-to-site),TMG 主要 focus 在如何讓『壞人』無法進入,『好人』可以通過;而 UAG 是 “inbound only" 的遠端存取閘道,可以提供更精細、完整的控制,讓『真正的好人』可以進入。
以下是歸納起來的重點,協助您決定哪一個產品是您真正需要的。
使用 TMG 的理由
我需要同時控制 inbound 與 outbound 的流量
我需要網路層級與應用程式層級的狀態式防火牆來保護內部網路
我需要防火牆內建 IPS(入侵防禦系統)
我需要讓內網使用者可以上網,也就是 forward proxy
我需要可以依據網址或是分類來控管上網行為
我需要監視內網用戶上網行為與防火牆封包紀錄
我需要拒絕讓內網用戶使用會降低生產力的軟體或服務(例如 IM、P2P 或 video share)
我需要提供內網使用者安全上網的方法,偵測下載檔案是否不安全或有病毒
我需要讓 HTTPS 上網的行為也能夠被保護
我需要將內部主機或服務發佈到internet(網頁、電子郵件…等)
我需要 SSL bridge 來保護發布的網頁伺服器
我需要在沒有安裝修補程式的情況下,也能防止駭客透過已知漏洞入侵(NIS)
我需要 site-to-site VPN,建立與分公司的私人網路
我需要 VPN server,而且同時需要以上的功能
使用 UAG 的理由
我需要一個控管 inbound 流量的閘道
我需要提供用戶由外網也可以安全地存取內網的資源
我需要提供用戶由外網以 VPN 方式存取內網網路
我需要為 Windows 7 用戶端快速地啟用 DirectAccess 功能
我需要確保乾淨且安全的終端裝置,透過正確的登入,存取內網的資源/服務/應用程式
我需要能夠定義使用者可以或不可以存取的資源,並且依據安全性原則決定可以進行哪些行為
我必須確保使用者即使在沒有 VPN 連線的情況下,都可以存取網頁式軟體、遠端桌面、RemoteApp、Citrix等
我必須讓使用者不僅是 Windows 用戶端可以存取,透過 mobile 用戶端或 Linux、MAC 也一樣可以存取
我需要提供一個網頁介面,使用者可以登入後,藉由此入口網站顯示所有可存取的應用程式,以及檢查終端設備的健康狀態
我必須有一個簡單的介面定義安全性原則
由以上的歸納,每個產品都有它的主要方向,很可能您兩種都需要,對於小型網路,需要 all in one的產品,TMG 可以提供完整的網路防火牆,也提供遠端存取的機制;當您只需要考慮 inbound 流量時,UAG 就是不二之選;對許多大型企業,將 inbound 與 outbound 流量切開來的情形,UAG 就可以取代原本 TMG 在 inbound 流量的管控。
沒有留言:
張貼留言