Recentemente incluímos em nosso Blog dois posts relacionados a duas soluções da família Forefront: UAG e TMG. Embora existam semelhanças estes dois produtos podem ser aplicados em cenários diferentes.
A diferença mais importante é que o TMG é um gateway de acesso “entrada e saída” que inclui um firewall de nível de rede com inspeção de pacotes com monitoração de estado e filtragem de aplicativos , proxy da web de encaminhamento e reverso , servidor VPN (para usuários e site-to-site). O TMG é mais focado em manter os acessos não autorizados fora e em certa medida(controle), permitir acessos autorizados. Por outro lado, o UAG é um gateway de acesso remoto seguro “de entrada somente” que permite que você permitir acesso externo de uma forma mais segura.
Mais a melhor maneira de identificar as diferenças entre os dois é perceber quando usamos um e quando usamos o outro. Para isso vamos a uma lista de funcionalidades.
Forefront Threat Management Gateway (TMG)
Eu preciso usar o TMG quando:
Preciso de um gateway de acesso de entrada e saída
Preciso de um firewall de última geração com inspeção de pacotes com monitoração de Estado e aplicação de recursos para proteger minha rede de filtragem
Preciso de um built-in IPS (Intrusion Prevention System) no firewall
Precisa de um proxy de encaminhamento seguro para os usuários da rede acessarem a internet
Capacidade de fazer filtragem web baseada em URLs individuais ou URL categorias (como política, esportes, pornografia, etc)
Eu preciso ser capaz de monitorar atividade do meu usuário na web via log do firewall.
Eu preciso ser capaz de bloquear sites improdutivos e serviços (como o IM, P2P, vídeo, compartilhamento, etc)
Eu preciso proteger meus usuários contra ameaças baseadas na web (web antivírus, antimalware web, bloquear sites maliciosos)
Eu preciso de inspeção frente HTTPS para proteger os usuários contra ameaças da web que estão escondidos dentro HTTPS
Eu preciso publicar serviços (proxy reverso) para a internet (como servidores web, servidores de e-mail, webmail, extranet, portais de intranet e internet, etc)
Eu preciso de SSL bridging para proteger meu servidores de publicação contra ameaças incorporadas dentro de SSL
Eu preciso de proteção contra vulnerabilidades que não têm um patch liberado ainda (NIS)
Eu preciso de VPN site a site
Eu preciso de um servidor VPN para meus usuários
Forefront Unified Access Gateway (UAG)
Eu preciso usar o UAG quando:
Eu preciso access gateway de ‘entrada apenas’
Eu preciso habilitar meus usuários acessar recursos internos com segurança remotamente (enquanto eles estão fora da rede da empresa)
Eu preciso habilitar acesso VPN seguro para os usuários quando eles estão fora da minha rede
Eu preciso rapidamente e facilmente habilitar DirectAccess para meus usuários de Windows 7
Eu preciso garantir apenas máquinas remotas saudável e seguras possam acessar aplicativos/serviços/informações em minha rede com autenticação de usuário apropriado
Eu preciso ser capaz de definir quais aplicativos ou serviços esses usuários podem acessar e granularmente definir as políticas de segurança que controlarão o acesso a esses serviços remotamente
Eu preciso garantir que esses usuários possam acessar esses aplicativos, independentemente de eles usarem serviços baseados na web, terminais, RemoteApp ou Citrix sem a necessidade de estabelecer a conexão VPN.
Eu preciso dar meus usuários a capacidade de acessar esses aplicativos de um dispositivo móvel, ou um cliente não-Windows, como um Mac ou uma máquina Linux
Eu preciso fornecer uma interface baseada na web para que o usuário possa iniciar uma sessão remotamente e executar esses aplicativos a partir deste portal sem uma conexão VPN, desde que sua máquina seja saudável.
Eu preciso fornecer uma interface baseada na web que o usuário faça o login remotamente e estabeleça uma sessão VPN SSTP segura ou acesse servidores de arquivos a partir do portal sem uma conexão VPN, desde que sua máquina passe os requisitos de integridade da minha organização.
Eu preciso ser capaz de definir facilmente as diretivas de integridade de segurança/máquina para máquinas que estão tentando acessar esses aplicativos.
Eu tenho locais remotos onde eu tenho pequeno número de usuários com nenhuma VPN site-to-site e apenas uma conexão com a internet
Eu preciso fornecer acesso seguro aos meus pedidos pela internet
Conclusão
Como você pode ver, cada produto é especializado para oferecer recursos muito concentrados. Portanto, é bem possível que algumas organizações precisem de ambas as soluções, enquanto outros precisam de apenas uma. Para muitas organizações menores que precisam de uma solução para proteger sua rede e fornecer acesso remoto razoavelmente seguro, TMG seria a resposta. No entanto, para projetos que enfocam puramente acesso de entrada, o UAG precisam ser considerado. Se uma organização tiver arrays separados TMG/ISA Server – uma para acesso de entrada e outra para acesso de saída – a solução é simples – use uma matriz UAG para acesso de entrada e continue usando o TMG para a matriz de saída.
Fonte: http://www.microsoftnow.com/2010/06/tmg-or-uag-which-one-do-i-need.html
