О будущем развитии ИТ-инфраструктуры без Forefront TMG


В продолжение уже затронутой ранее темы и по вашим многочисленным просьбам мы адресуем данный пост всем текущим пользователям замечательного и легендарного продукта Forefront TMG, перед которыми рано или поздно встанет вопрос о дальнейшем развитии их инфраструктуры и миграции на более свежие/поддерживаемые решения.

Давайте сначала внесём ясность с точки зрения основных дат (в хронологическом порядке):

01.12.2012 – окончание продаж Forefront TMG как отдельного продукта (остаются доступны только OEM-лицензии)
14.04.2015 – окончание основного цикла поддержки Forefront TMG
31.12.2015 – окончание поддержки Forefront TMG Web Protection Service (WPS)
14.04.2020 – окончание поддержки программно-аппаратных комплексов Forefront TMG со стороны OEM-партнеров
14.04.2020 – окончание расширенного цикла поддержки Forefront TMG

12 сентября 2012 г. - это дата того самого "сентябрьского сюрприза", когда компания Microsoft анонсировала прекращение разработки продукта Forefront TMG. Вместе с тем, с 1 декабря 2012 г. прекратились продажи Forefront TMG как отдельного продукта. Все же возможность приобрести Forefront TMG существует и по сей день (например, при необходимости масштабирования текущего сервиса) за счет покупки программно-аппаратного комплекса на базе TMG у одного из OEM-партнёров (например, SecureGUARD, Celestix, Winfrasoft, IronNetworks). И несмотря на то, что основной цикл поддержки TMG заканчивается 14 апреля 2015 г., OEM-партнеры будут поддерживать свои решения вплоть до завершения расширенного цикла поддержки TMG 14 апреля 2020 г. Стоит также отметить, те, у кого были приобретены лицензии TMG Web Protection Service на конец ноября 2012, могут использовать сервис WPS на неограниченном количестве рабочих мест вплоть до завершения поддержки данного сервиса 31 декабря 2015 года. Для генерации новых ключей нужно позвонить в центр активации.

С датами разобрались, теперь поговорим о вариантах замены. Так как использование Forefront TMG подразумевает несколько возможных сценариев (или их комбинаций) – давайте вспомним их все и дадим рекомендации в каждом отдельном случае:

  • Удалённый доступ пользователей к приложениям (Web Application Publishing, Reverse Proxy) - здесь заменить Forefront TMG сможет функция Web Application Proxy (WAP) в составе новой версии нашей серверной ОС Windows Server 2012 R2. Если у вас есть только Windows Server 2008/R2, для публикации веб-приложений можно использовать компонент IIS именуемый Application Request Routing (ARR) (например, для публикации Exchange, SharePoint, Lync Web App и Lync Mobility). Для всех расширенных сценариев удаленного доступа к приложениям с продвинутыми возможностями аутентификации, авторизации и анализа состояния здоровья клиентских систем рекомендуется использовать Forefront UAG
  • Удалённый доступ к сети (Remote Network Access) – для миграции в данном сценарии наилучшим образом подходит Windows Server 2012/R2 с поддержкой технологий DirectAccess, SSTP, IKEv2, PPTP, L2TP/IPSec. 
  • Сетевое взаимодействие между площадками (Site-to-Site Connectivity) – и снова наилучшим образом подходит Windows Server 2012/R2 с поддержкой технологий виртуальных частных сетей и протоколов IKEv2 S2S, L2TP/IPSec S2S, IPSec S2S. 
  • Контроль доступа к ресурсам сети Интернет (Secure Web Gateway) – в этом сценарии стоит обратить внимание на решения партнеров и сторонних компаний, представленных на рынке.

В случае необходимости миграции на решения сторонних компаний самое главное - не ошибиться с выбором. В таких вопросах спешка смерти подобна. Благо еще есть достаточно времени, чтобы подойти к процедуре выбора, оценки, тестирования и миграции со всей необходимой тщательностью. Мы рекомендует ознакомиться с циклом статей, включающих рекомендации по оценке и выбору решения на замену TMG. Также стоит обратить внимание на актуальную версию Magic Quadrant for Unified Threat Management и руководства по миграции от различных производителей решений Unified Threat Management (Sophos, Fortinet, Citrix, Kemp).

Для большей наглядности всего вышеизложенного, прилагаем подробную инфографику. Также вы можете загрузить инфографику для печати (PDF, 432 КБ).

 

Напоследок хотим подчеркнуть, что, как и в любом проекте, в данном вопросе крайне важно грамотное планирование и искренне надеемся, что наша публикация поможет вам в решении этой задачи.

Оригинал данного поста опубликован командой "Блога по безопасносити Microsoft" по ссылке.

Comments (8)

  1. Аноним:

    Kerio в руки вам, там есть официальный манул по переходу от TMG

  2. nescoffe@live.ru:

    Как было хорошо, когда все было в одном продукте. Теперь же для организации подобной инфраструктуры мне понадобится 3 решения 🙂

  3. Sidorenko Andrey:

    Дополнительно хочу заметить что использование Application Request routing для Exchange публикации возможно не применимо. Полтора года назад пытался  использовать ARR для проксирования Exchange OWA и столкнулся с проблемой попадания пользователя в чужую сессию. На тот момент тех. поддержка  Microsoft признала баг в IIS связанный с кешированием. В итоге все же пришлось покупать TMG.

  4. restless:

    Kerio Winroute, как сейчас его трактуют Kerio Kontrol, ни чуть не хуже и уже включает в себя большинство фич. Как то было время с ним поработать достаточно глубоко еще с версии 5.Мне кажется отличное ПО на замену прокси и антивирусной проверки.

  5. Да,  подстава конечно. Но не привыкать. с WM тоже такое было. Надеюсь уберут неадекватов из правления  и вернут нормальный продукт

  6. xxx:

    Как же заколебали! Только задумаешься о необходимости расширения функционала необходимого тебе… бац, конец техподдержки, версия №2.

    Нееее ребяты, только Linux спасет мир!

    А переселять свои данные в облако, при подходе MS — просто опасно!

    Делайте сначала свой "Новый, единый, Микрософт". А лет через 100 постоянной поддержки решений может и задумаемся: "А оно ведь и вправду работает! Можно и перейти на этот Азур"

  7. xxx:

    Не торопятся люди деньги платить за все вподряд — и правильно делают. Ведь главная суть MS и является развод на деньги. А полезное ПО — на втором плане вообще.

  8. Креативный сантехник:

    Увидел заголовок, обрадовался… Думал, наконец-то в M$ подумали и о тех, кто пользуется ТМГ…

    Оказалось, зря радовался…

    Открою мелкософтам маленькую тайну: существует еще один, настолько редкий — фактически уникальный — сценарий, когда компании надо использовать все варианты работы одновременно: и наружу юзеров пускать, и сайты объединять, и снаружи к внутренним сервисам доступ давать… Понятно, что таких компаний на этой планете — одна, максимум две. Но, все-таки, хотелось бы услышать реальное предложение по переходу на новые продукты и в таком варианте…

    А пока — КГ/АМ.

    Высер не засчитан.

Skip to main content