Forefront Threat Management Gateway 2010

#de, #security edit this page

Der Nachfolger des beliebten MS Internet Security and Acceleration Servers (ISA) ist seit Mitte November verfügbar. Natürlich wurde der Name geändert sowas ist nach einigen Versionen immer nötig ;) Das Ding wurde in die Forefront Produktlinie aufgenommen und heißt jetzt Forefront Threat Management Gateway 2010. TMG gibt es wie ISA als Standard und Enterprise Edition, die Unterschiede findet man hier.

Wichtig zu erwähnen ist dass Forefront TMG nur mehr als 64 Bit Version verfügbar ist, es gibt eine Testversion für 32 Bit Systeme, ist Produktiv allerdings nicht unterstützt.
Die Genauen Systemvoraussetzungen gibt es hier.

Die wichtigsten neuen Features kurz im Überblick:

  • Web Protection Subscription Service
    • Bietet HTTP/HTTPS Traffic Inspection
    • URL Filterung in Zusammenarbeit mit MRS (Microsoft Reputation Services) mehr dazu z.B. bei Technet Edge
  • E-Mail Support
    • arbeitet mit Exchange Edge Transport zusammen
  • NIS Network Inspection System
  • Intrusion Prevention
  • Enhanced NAT
    • endlich eine 1-to-1 NAT Funktion, d.h. man kann selbst entscheiden welche interne Adresse auf welche externe übersetzt wird
  • VoIP Support
  • 64 Bit Support

Startet man das Setup bekommt man mal etwas wirklich cooles, das Preparation Tool. Dieses Tool installiert alle benötigten Serverrollen und Features. Diese sind je nach Installation unterschiedlich:

Forefront TMG services

  • Windows Installer 4.5
  • .Net Framework 3.5 SP1
  • Windows PowerShell
  • Windows Web Services API (WWSAPI)
  • Network Policy Server (NPAS-Policy-Server)
  • NPAS Routing and Remote Access Services (NPAS-RRAS-Services)
  • Active Directory Lightweight Directory Services (ADLDS)
  • Network Load Balancing (NLB)

Forefront TMG management only

  • Windows Installer 4.5
  • .Net Framework 3.5 SP1
  • Windows PowerShell

Forefront TMG EMS (nur Enterprise Version)

  • Windows Installer 4.5
  • .Net Framework 3.5 SP1
  • Windows PowerShell
  • Active Directory Lightweight Directory Services (ADLDS)

image

Ist der Preparation Wizard abgeschlossen, kann mit der Installation des TMG begonnen werden.

image

Die Installation dauert einige Zeit, wenn sie abgeschlossen ist kann man die Management Konsole öffnen und mit der Konfiguration beginnen. Zuerst sind noch mit einfachen Wizards die Netzwerkeinstellungen, Updates und URL Filtering bzw. Web Protection Subscription zu konfigurieren.

image

Wenn jetzt noch der Web Access Wizard ausgeführt wird kann man gleich noch eine erste Regel erstellen. Man kann auswählen welche URL Kategorien man sperren möchte, ob man Web und HTTPS inspection aktivieren möchte und wenn ja mit welchem Zertifikat. Außerdem kann hier gleich das Caching aktiviert werden.

Alles in allem scheint TMG wirklich ein sehr interessantes Produkt zu werden, das deutlich mehr kann als nur den ISA Server zu ersetzen. In nächster Zeit werde ich sicher noch einiges darüber berichten.

viele Grüße.
tom