Forefront Threat Management Gateway 2010 ersetzt ISA-Server

Gateway-Security, VPN und URL-Filter spielend einrichten

Seite: 2/3

Firma zum Thema

Die Firewall-Funktionen sichern die Kommunikation

Firewall- und VPN-Funktionen sind seit Jahren erprobt und ausgereift. Dies gilt auch für die Kernfunktionen des TMG bzw. dessen Vorgänger ISA 2006. Die wichtigsten Verbesserungen des TMG 2010 gegenüber dem ISA 2006 sind daher auch nicht in diesen Basisfunktion zu sehen, sondern vielmehr in der Erweiterung des Einsatzzwecks oder den neuen Anforderungen an die Sicherheit. Dazu zählt unter anderem die Untersuchung einer gesicherten HTTPS-Verbindung durch das TMG. Notwendig wird dies deswegen, da Angriffe mittlerweile oftmals auch über gesicherte Verbindungen durchgeführt werden.

Bis dato wurde gesichert HTTPS-Verbindungen, weil sie ja als sicher galten, durch die Firewalls nicht untersucht. Dies ist nun anders. Das TMG terminiert nun eine HTTPS-Verbindung aus dem Internet, analysiert den Inhalt und baut eine zweite HTTPS-Verbindung zum Benutzer auf. Für Kommunikationen die aus Datenschutzgründen nicht durch das TMG untersucht werden sollen, kann diese Möglichkeit aber abgeschaltet werden. Neu im TMG 2010 ist auch das Filtern der URL. Diese Filterfunktion ist mit den Möglichkeiten der gängigen Sicherheitstools vergleichbar. Der ISA kannte diese Filtervorkehrungen noch nicht, das TMG ist damit ausgestattet.

Bildergalerie

Daneben stehen aber auch eine Reihe weiterer Verbesserungen für eine gesicherte Kommunikation. Zu den Zu den weiteren Neuerungen zählen ein Abonnementsdienst für E-Mail-Schutz. Dieser basiert auf der Technologie von Forefront Protection 2010 für Exchange Server, ferner eine Schutz vor Malware und anderen Bedrohungen. Erweitert wurde auch die VoIP-Unterstützung. Diese Erweiterung hilft bei der Integration des Kommunikationsprotokoll SIP in die TMG-Überwachung. Ferner gibt es Anpassungen hinsichtlich der Netzwerkadressübersetzung (Network Address Translation, NAT). Das TMG ermöglicht nun die Bestimmung einzelner E-Mail-Server, die auf einer 1:1-NAT-Basis veröffentlicht werden können.

Setup und Konfiguration des TMG

Um die Funktionen und Arbeitsweise auch in der Praxis zu erproben führten wir eine Installierten und Konfiguration der wichtigsten Einstellungen durch. Die Verwaltung des TMG ist der des ISA sehr ähnlich. Die wichtigsten Aktionen sind in einem eigenen Aufgabenfenster zusammengefasst und mit vielen Hilfen unterlegt. Diese Hilfen werden immer in Abhängigkeit vom gewählten Element eingeblendet. Hinterlegt sind außerdem die Handbücher, sowie Links auf die Microsoft-Webseiten. Durch Assistenten gesteuert richteten wir anschließend die Basiskonfiguration unseres Testnetzes ein.

Die Netzwerktopologie ist anhand eines Diagramms auswählen. Anschließend gilt es, die Zugriffsregeln (Access Rules) für den Verkehr zwischen den Netzwerksegment festzulegen. Diese Regeln bestimmen, was zwischen den jeweiligen Netzen erlaubt ist oder nicht. Für das TMG macht es von der Logik der Access Rules und der Arbeitsweise keinen Unterschied, um welches Netz es sich dabei handelt. Die Zugriffsregeln gelten für jegliche Kommunikation zwischen dem internen Netz und dem externen Netz, aber auch zwischen internen Netzen untereinander. Das TMG unterstützt die Separierung des Netzes in mehrere Teilsegmente, einschließlich einer DMZ.

Seite 3: Die Zugriffsregeln definieren die Kommunikation

(ID:2044265)