آشنایی با فایروال TMG و ویژگی های آن

مایکروسافت در سال ۲۰۰۴ به نسخه قدیمی فایروال نرم افزاری خود، یعنی ISA پایان داد. او نسخه به روزتری و بی نظیری به نام Forefront Threat Management Gateway ارایه کرد. فایروال TMG در هر دو نسخه‌ی سیستم عامل های دسکتاپ و ویندوز سرور، قابل اجرا و نصب می‌باشد. با اینکه یکی از برترین فایروال‌های نرم‌افزاری موجود در دنیا TMG است، اما عدم پشتیبانی مایکروسافت، باعث محدودیت در استفاده از این فایروال شده است. در این مقاله به تنظیمات و توصیف ویژگی‌های TMG اطلاعات بیشتری کسب خواهید‌کرد.

فایروال TMG چیست؟

TMG را می توان یکی از قوی ترین فایروال های نرم افزاری در عصر خود دانست. البته مایکروسافت اعلام کرده‌است که، پشتیبانی از این فایروال نرم افزاری را، متوقف کرده است. همچنین این شرکت اعلام کرده‌است، دیگر آپدیت و به روز رسانی از این فایروال نخواهد داشت.

همانطور که می‌دانید، فایروال ها به دو دسته نرم افزاری و سخت افزاری، تقسیم بندی می شوند. اگرچه بسیاری از کارشناسان بر این باور هستند که در سازمان‌های بزرگ و مراکز امنیتی، می‌بایست از فایروال‌های سخت افزاری استفاده شود، اما به دلیل هزینه‌ی بالای این فایروال‎‌های سخت افزاری، برای سازمان‌ها و مراکز نگهداری داده، ما فایروال‌های نرم افزاری را، پیشنهاد می‌دهیم. از طریق فایروال نرم افزاری TMG کلیه داده‌های ورودی و خروجی در شبکه داخلی سازمان شما، بررسی شده و در اصطلاح فنی Inspect می شوند. در صورتی که این ترافیک با سیاست‌هایی که از سمت مدیر سرور تعیین شده است، مغایرت داشته باشد این ترافیک ورودی به سازمان شما مسدود خواهد‌شد. یکی دیگر از کاربردهای فایروال TMG این است که، می‌تواند در نقش یک پروکسی سرور باشد.

با اینکه یکی از برترین فایروال‌های نرم‌افزاری موجود در دنیا TMG است، امروزه دیگر به دلیل عدم پشتیبانی مایکروسافت، استفاده از این فایروال نرم افزاری محدود شده‌است.

بررسی ویژگی های امنیتی TMG

از طریق این نرم افزار، بسیاری از مشکلات ارتباطی برطرف خواهد شد.از دیگر قابلیت‌های این فایروال نرم افزاری، که در سال ۲۰۱۰ به صورت رسمی ارایه گردید، قابلیت Load Balancing است. در صورتی که در سازمان خود دو اینترنت داشته باشید، در صورت قطعی یک connection internet ارتباط اینترنتی شما، قطع نخواهد شد. ارتباط شما به صورت اتوماتیک، به لینک اینترنتی دوم شما، سوییچ خواهد‌شد. این یک قابلیت بی نظیر است که از سوی این فایروال، برای مزیتِ در دسترس پذیری، ارایه می‌شود. زمانی که شما، با نصب active directory دامین خود را در ساختار شبکه خودتان ایجاد کردید، حال نوبت آن است که تک تک کلاینت هایی که در دامنه شما وجود دارند را، از طریق TMG مدیریت نمایید.

با توجه به کاربردهای فایروال TMG در ادامه‌ی این مقاله به تنظیمات و توصیف ویژگی‌های امنیتی، در Publishing برنامه‌های کاربردی در TMG بپردازیم.

Highly Secure Email Access From Outlook Client :

کاربرانی که از ریموت استفاده می‌کنند می‌توانند، از پروتکل Messaging Application Programming Interface (MAPI) که برای برقراری ارتباط کلاینت‌های Outlook، با ایمیل سرور Exchange می‌باشد، بدون اتصال به VPN برروی اینترنت به Exchange دسترسی پیدا کنند. این اتصال، به منظور ایجاد امنیت رمزنگاری می‌شود.

Simple Outlook Web Access and Microsoft Office sharepoint Server Publishing :

از طریق یک “ویزارد” ساده می‌توان به سرعت، دسترسی ریموت به Outlook Web Access و Share Point ها را پیکربندی نمود. کاربران outlook web access می‌توانند توسط TMG احراز هویت شوند. همچنین از حملاتی که توسط کاربران غیرمجاز انجام می‌گیرد، جلوگیری شود.

Highly Secure Publishing of Web Servers and Internal Servers and Terminal Services :

کاربران ریموت می‌توانند به منابع داخلی و یا وب سرورها، به صورت ایمن‌تری دسترسی داشته باشند. Link Translation این ویژگی را ارایه می‌دهد، که ما در ادامه مطالب وبلاگ، به بررسی این قابلیت خواهیم پرداخت.در واقع می‌توان گفت که، عمل Publishing عکس العمل پروکسی بوده و برای پاسخگویی به درخواست هایی می‌باشد، که از شبکه خارجی برای دسترسی به سرویس‌های داخلی ارسال می‌شود. این درخواست‌ها، بعد از بررسی توسط تی ام جی، به سرویس مورد نظر ارسال می‌شوند.

ویژگی های امنیتی در Publishing فایروال نرم افزاری

Single Sign On :

تی ام جی یک‌بار کاربران را تایید هویت می‌کند. سپس به آنها اجازه می‌دهد که بدون نیاز به احراز هویت مجدد و ارایه نام کاربری و رمز عبور، به هریک از وبسایت‌های Publish شده، دسترسی داشته‌باشند.

Delegation of Basic Authentication :

تی ام جی، وب‌سایت هایی را که Publish شده اند، از دسترسی‌های غیر مجاز محافظت می‌کند. به این صورت که قبل از برقراری اتصال به وب‌سایت‌های Publish شده، احراز هویت کاربران را بررسی می کند. به همین علت، از امکان دسترسی کاربران غیرمجاز و سو استفاده‌های ممکن، جلوگیری خواهد شد.

Link Translation to Internal Servers :

تی ام جی از link translation برخوردار بوده، که برای ایجاد یک دیکشنری از اسامی کامپیوترهای داخلی می‌باشد. و نیز برای Map کردن اسامی شناخته شده استفاده می‌شود.

بررسی قابلیت SSL Bridging Support در فایروال TMG

Ssl Bridging Support :

برای محافظت در برابر حملاتی که از طریق ترافیک‌های HTTP صورت می‌گیرد، SSL Bridging اجازه می‌دهد که با خرید ssl بسته‌های اطلاعاتی از طریق SSL محافظت شده، توسط تی ام جی، پس از رمزگشایی و بازرسی، مجددا رمزنگاری شوند.

به شما پیشنهاد می شود مقاله ما را برای کسب اطلاعات درباره ی انواع فایروال  را مطالعه نمایید.

برای بسیاری از دوستان این سوال پیش می‌آید که آیا بر روی سیستم عامل‌های لینوکس نیز، این فایروال نصب و پشتیبانی می‌شود؟در پاسخ به این سوال بایستی بگوییم که، مایکروسافت هیچ نسخه‌ای برای لینوکس ارایه نداده است. .این فایروال نرم افزاری، تنها از طریق سیستم عامل های ویندوزی، قابل اجرا شدن و نصب می‌باشد.

توصیف ویژگی های محافظتی Firewall TMG2010 

Multi Layer Firewall : تی ام جی با استفاده از ۳ قابلیت Packet Filtering , Stateful Inspection , Application Layer کنترل های دسترسی و محافظت را برروی سه لایه فراهم می کند. در واقع این فایروال نرم افزاری مایکروسافت را می توان ترکیبی از سه نوع فایروال نسل پیشین خود دانست که بسیار کامل تر شده و محتوای packet های عبوری را  با معیارهای امنیتی پیچیده تری inspect می کند.

Application Layer Filtering : تی ام جی با استفاده ازین این قابلیت می تواند روی عمیق ترین لایه های برنامه های کاربردی فیلترینگ را اعمال نماید و براساس مشخصه ها و Signature های یک برنامه کاربردی استفاده از آن برنامه کاربردی را فیلتر کند. اگربخواهیم تعریفی که درسایت مایکروسافت برای signature آمده است را در اینجا به صورت خلاصه بیان کنیم می توانیم بگوییم signature ها در واقع امضاهای دیجیتالی هستند که در پایه digital certificates ها بنا نهاده شده و با استفاده از الگوریتم های رمزنگاری پیچیده ای تولید شده و به شما در شناخت و احراز هویت شخص و یا کمپانی که محصول نرم افزاری را به شما ارایه داده است کمک می کند. همه ما انسان ها برای احراز هویت خود در دنیای واقعی و برروی کاغذ از امضا خود استفاده می کنیم signature ها هم دقیقا امضا های دیجیتالی کمپانی سازنده نرم افزاری برروی محصول تولید شده خود می باشد.

Granular Http Control :تی ام جی می تواند برروی ترافیک های Http تنظیمات کنترلی زیر را ارایه دهد:

1. کنترل بر روی محتوای فایل هایی که دانلود می شوند
2. مسدود کردن ترافیک براساس بررسی اعتبار Signature ها
3. کنترل های مبتنی بر متدهای HTTP

DOS Protections :تی ام جی قابلیت تحمل پذیری در مقابل Flood Attack  ها را که به حملات DOS نیز معروف می باشند و بازپس گیری دوباره منابع که ارایه دهنده بازرسی های امنیتی بالا می باشند, فراهم می کند.

Extensive Protocol Support :تی ام جی از پروتکل های بسیاری پشتیبانی می کندو می توان پروتکل های جدیدی نیز برای آن تعریف کرد.

Url Filtering: این ویژگی برای فیلترکردن و یا بلاک کردن آدرس های URL و امکان دسترسی به آن هابر اساس سیاست های اجرایی شرکت ها و سازمان های بزرگ می باشدبرای مثال مدیر شبکه سازمان دسترسی کاربران مجموعه خود را به وبسایت های خبری بلاک می کند در این شرایط کاربران و کارمندان سازمان مربوطه نمی توانند در ساعات اداری از وبسایت های خبری بازدید بعمل آورند.

Web Antivirus-Anti Malware Protection : ترافیک های ورودی و خروجی وبسایت ها و فولدر های آرشیو شده از نظر ویروس ها و بدافزارها مورد بررسی قرار می گیرند.حتی فایل هایی که از سمت کاربران دانلود می شوند در طول پروسه دانلود اسکن می شوند. درصورت وجود هرگونه مورد بدافزاری در فایل های دانلودی ترافیک مورد نظر بلاک می شود.

Http Inspection: این قابلیت امکان مشاهده Ssl Sesseion های برقرار شده در کامپیوترهایی که تحت محافظت TMG می باشند را فراهم کرده و آن ها را از نظر Malware  هاو آسیب پذیر ها بازرسی می کندبرای استفاده ازین قابلیت می بایست Certificate  مربوط به TMG بر روی تمامی کلاینت های دامین نصب شده باشد.

ویژگی های مدیریتی TMG 2010

Enterprise Policy: پالیسی ها را می توان به gateway ها و آرایه ها و به صورت گسترده تر به سایر منابع می توان اختصاص داد.

Easy to Use Wizard: تی ام جی امکان پیکربندی ویژگی هایی مانند web publishing , web access , و پیکربندی آرایه را با استفاده از چند ویزارد ساده تر می سازد.

Real Time Monitoring And Reporting: لاگ ها را می توان در همان زمان و تاریخی که ثبت شده اند مشاهده نمود. TMG دارای سیستم حرفه ای log system ای است که می توان در صورت لزوم به آن قویا استناد کرد.

Query Building: با استفاده از ابزارهای query داخلی, اطلاعات را می توان بر اساس تاریخ ذخیره سازی آن ها به سرعت جستجو کرد.

Report Creation And Publishing: گزارش ها را می توان برای نیازهای خاصی طراحی کرده و سپس به صورت لوکالی و یا برروی فایل های به اشتراک گذاشته شده در شبکه Publish  نمود

External Logging: کلیه Log ها را می توان به sql server واقع در شبکه داخلی فرستاد .این کارسبب می شود که لاگ فایل ها که برای بسیاری از مدیران شبکه مهمترین اسناد ردیابی و حل بسیاری از مشکلات می شوند در دیتابیس sql بایگانی شوند

Delegated Permission: نقش های مدیریتی را می توان به کاربران و یا گروه ها محول نموددر واقع مدیر شبکه می تواند برای همکاران سطوح پایین تر وظایف و سطح دسترسی های مشخص و محدودی را به آنان محول کرده که به این عمل delegate یا واگذاری اختیار در دنیای شبکه گفته می شود.

Intrusion Prevention And Intrusion Detection And Network Inspection System : با استفاده از تنظیمات این قسمت می توان بسیاری از حملات رایج را کنترل کرده و از نفوذ هکرها به داخل شبکه خود جلوگیری کنید. با استفاده از ویژگی NIS که یکی از تنظیمات مربوط به IPS می باشد، بسیاری از بسته های اطلاعاتی بر اساس مشخصه هایی که برای آن ها تعریف شده اند مورد بررسی قرار گرفته و درصورت عدم تایید از ورود این بسته ها به شبکه جلوگیری  به عمل می آید.

Network Address Translation : در TMG پیشرفت های جدیدی برای NAT حاصل شده است که به شما اجازه می دهد در شرایطی که بین شبکه ها ارتباط NAT برقرار می باشدمشخص کنید که کدام آدرس ها برای درخواست های خروجی استفاده شوند.

TFTP Filter: این پروتکل مشابه با پروتکل FTP می باشدبا این تفاوت که از پروتکل های دیگیری در لایه IP استفاده می کندTFTP معمولا توسط کلاینت های BootP برای دانلود یک سیستم عامل استفاده می شود.بسیاری از تلفن های VOIP از TFTP برای دانلود فایل های پیکربندی استفاده می کنند.

Proxy Server : در این قابلیت درخواست های کاربران ابتدا به Proxy Server  تحویل داده می شود.پروکسی سرور این درخواست ها را به نیابت از خودش روی اینترنت می فرستد درخواست هایی را که مورد تایید می باشند در اختیار کاربران قرار می دهد و در صورت عدم تایید اجازه دسترسی به کاربر داده نمی شود.ماهیت پروکسی سرور ها به این گونه می باشند که به عنوان نماینده کلاینت های دیگر سازمان , در خواست ها را جمع آوری کرده و به اینترنت فرستاده ومسولیت پخش اطلاعات دریافتی  بین کلاینت ها در صورت تایید نیز بر عهده پروکسی سرور ها می باشد.

ویژگی های Networking و Performance در TMG2010

Web Caching Server : این قابلیت سبب می شود که محتویات صفحات وب بر اساس تنظیمات تعریف شده برای کاربران Cache می شود. به این ترتیب درخواست های تکراری با توجه به اینکه قبلا در حافظه کش ذخیره شده اند با سرعت بیشتری پاسخ داده می شوند و از هدر رفت ترافیک اینترنتی نیز جلوگیری شده که این مساله کاهش هزینه بالای اینترنت را برای سازمان ها به ارمغان می آورد.

Network Based Configuration: ممکن است یک یا چندین شبکه طراحی کنید که ارتباطات متمایزی با یکدیگر داشته باشند Access policy ها برای این شبکه‌ها مرتبط شده و برای آن‌ها تعریف می‌شوند که لزوما مختص به شبکه داخلی خاصی نمی‌باشند تی ام جی ویژگی‌های امنیتی فایروال خود را برای اعمال بر روی ترافیک بین Network ها و Network object ها گسترش می‌دهد.

Background intelligent transfer service caching: تی ام جی مکانیزم caching را برای اطلاعات دریافت شده از طریق Bits انجام می‌دهد.هر cache رولی که ایجاد می‌کنید می‌تواند برای ذخیره سازی داده‌های BITS فعال شودBITS سرویسی برای انتقال مقادیر زیادی از داده‌ها در شبکه بدون تضعیف کارایی شبکه می‌باشد.این عمل توسط انتقال داده در اندازه‌های کوچک, به کارگیری پهنای باند بالا استفاده در شبکه و کنار یکدیگر قراردادن آنها در مقصد می‌باشد.

Http compression: می‌توانید‌ با استفاده از الگوریتمی که برای کاهش اندازه فایل‌ها طراحی شده است حجم بسته‌های HTTP را کاهش دهید. در واقع به نوعی پروتکلی جهت فشرده‌سازی اطلاعات و کم کردن حجم اطلاعات در بستر شبکه می‌باشد.

Diffserv: تی ام جی مشتمل بر ویژگی اولویت بندی بسته‌ها که توسط پروتکل Diffserv ارایه شده است می‌باشد که رول‌ها و دامین‌ها را اسکن کرده و با استفاده از بیت‌های diffserv به بسته‌های اطلاعاتی اولویت تخصیص می‌دهد.

سوالات متداول

آیا بر روی سیستم عامل‌های لینوکس TMG نصب می شود؟

برای بسیاری از دوستان این سوال پیش می‌آید که آیا بر روی سیستم عامل‌های لینوکس نیز، این فایروال نصب و پشتیبانی می‌شود؟ در پاسخ به این سوال بایستی بگوییم که، مایکروسافت هیچ نسخه‌ای برای لینوکس ارایه نداده است. .این فایروال نرم افزاری، تنها از طریق سیستم عامل های ویندوزی، قابل اجرا شدن و نصب می‌باشد.