Viso geral do Forefront TMG Web Protection avanada

Introduo
Forefront Threat Management Gateway (TMG) 2010 um gateway de segurana de ponta
integrado que funciona como um firewall corporativo, proxy cache (frente e verso) e VPN de
servidor (acesso remoto e site-to-site). Pode ser implantado em todos esses papis ou
qualquer subconjunto delas. Quando implantado como um servidor de proxy de
encaminhamento, o firewall TMG pode melhorar significativamente a postura de segurana da
organizao geral atravs da realizao de rede avanada e aplicao inspeo de trfego e
aplicao de camada de usurio e grupo forte autenticao baseada em. Neste artigo,
examinaremos como filtragem de URL, inspeo de malware, deteco de intruso /
preveno e inspeco HTTPS pode melhorar e complementar a sua estratgia de proteo de
endpoint existente.
Filtragem de URL
Com capacidades de filtragem de URL integrados, os administradores de firewall TMG tm
agora a capacidade de aplicar controles de acesso baseados em reputao de web-based de
trfego. A filtragem de URL a primeira linha de defesa em um portal web moderno e seguro,
e avaliando a reputao de sites web que est sendo acessado, o administrador pode impedir
que usurios acessem sites maliciosos conhecidos. Categorizao site tratado pelo
Reputation Services da Microsoft (MRS). MRS um servio de categorizao baseada em
nuvem que o firewall TMG aproveita para determinar que categoria um determinado site
pertence. Depois que o site foi classificado, firewall transformao poltica vai determinar se o
pedido for permitido ou negado.
Para ativar a filtragem de URL, realce o n Web Access Policy na rvore de navegao e clique
em Configurar Poltica de Acesso Web no painel Tarefas. A Web assistente de Poltica de
Acesso ir gui-lo passo a passo atravs permitindo filtragem de URL e configurando um
padro de poltica de acesso web usando categorias de URL recomendados.

A Figura 1
Alm disso, o assistente Web Access Policy tambm ativar e configurar a inspeo de malware,
inspeco HTTPS e cache de contedo.
Inspeo de Malware
Uma vez que no h soluo de filtragem de URL 100% eficaz ( impossvel categorizar cada
site na internet) inevitvel que os usurios iro visitar um site que contm o software
malicioso. Para resolver isso, TMG inclui um mecanismo de varredura de gateway integrado
para evitar vrus e downloads de software mal-intencionados. O mecanismo de verificao
includo no TMG o mecanismo de varredura Microsoft anti-malware includo em tecnologias
de ponta, como muitos de proteo Proteo Forefront para Exchange (FPE), Proteo
Forefront para SharePoint (FPSP), eo Forefront Protection Endpoint (FEP), s para citar poucos.
tambm a digitalizao mesmo utilizado no Microsoft Security Essentials (MSE). O motor de
escaneamento rpido e preciso, produzindo poucos falsos positivos.
Para ativar o vrus e varredura de software malicioso, realce o n Web Access Policy na rvore
de navegao, clique em Configurar Inspectionin Malware painel de tarefas, e selecione Ativar
inspeo de malware.

A Figura 2
A verificao de vrus e malware altamente configurvel no TMG, dando o controle
do administrador granular sobre o tipo de contedo a ser digitalizado, assim como o
mtodo em que o contedo digitalizado. Aqui, o administrador tambm pode
configurar isenes para digitalizao poltica baseada na origem ou destino, e
especificar onde as atualizaes de assinatura so obtidas e como eles so aplicados.
Nota:
Filtragem de URL e varredura de malware exigem a Web Protection licena de
assinatura de servio. Uma licena permite que ambos os recursos. Mais informaes
sobre o licenciamento pode ser encontrada aqui.
Rede do Sistema de Inspeo
Autores de software malicioso, muitas vezes, tentar explorar vulnerabilidades que
possam existir nos sistemas operacionais Microsoft, aplicativos ou protocolos de rede.
Para resolver isso, o firewall TMG inclui o Sistema de Inspeo de Rede (NIS). O NIS
um novo deteco de intruso baseada em vulnerabilidades e sistema de preveno que
realiza de baixo nvel a inspeo de protocolo para detectar e prevenir ataques contra
essas vulnerabilidades. Assinaturas so desenvolvidos pela Microsoft Malware
Protection Center (MMPC) e so liberados ao mesmo tempo com atualizaes de
segurana ou em resposta a vulnerabilidades de dia zero. Quando ativado, NIS impede
que essas vulnerabilidades sejam exploradas remotamente e reduz drasticamente a
janela de exposio no Patch Tuesday.

Para habilitar o NIS, realce o n Intrusion Prevention System na rvore de navegao e

clique em Configurar Propriedades no painel de tarefas, selecione a opo para habilitar
NIS.

A Figura 3
NIS inspeciona o trfego de rede e pode identificar quando um protocolo no est em
conformidade com as normas. Estas anomalias de protocolo pode ser permitido ou
negado. Alm disso, NIS pode ser configurado para dispensar stios especficos de
confiana de inspeco, se necessrio.
Inspeo HTTPS
HTTPS comunicao apresenta um desafio especial para muitos firewalls. Muitas vezes
referida como o "protocolo de bypass firewall universal", HTTPS criptografa os dados
da camada de aplicao que impede at mesmo os firewalls de camada de aplicativos
mais avanados de inspeccionar esta comunicao. Por muitos anos, autores de vrus e
malwares tm utilizado HTTPS como uma maneira de mover cargas maliciosos ou
infectados atravs de gateways Web seguros sem ser detectado. Usurios malintencionados vm usando HTTPS como um canal para burlar o controle de acesso com
software para evitar proxy.
Inspeo HTTPS fecha essa lacuna. Com inspeo HTTPS habilitado, o firewall TMG
copia do certificado SSL originalmente solicitado e emite o usurio duplicado. O
firewall TMG agora pode encerrar a sesso SSL na interface da rede interna e
descriptografar e inspecionar todas as comunicaes HTTPS sada. Com inspeo

HTTPS ativado o firewall TMG tem acesso a dados no criptografados camada de

aplicao que tem muitos efeitos positivos. O firewall TMG agora tem acesso ao
caminho pedido integral, no apenas o endereo IP do site. Com esta informao
adicional pode valer mais precisamente filtragem de URL. O firewall TMG agora
tambm pode aplicar polticas de HTTP e inspecionar o contedo de vrus e software
malicioso.
Para permitir a inspeo HTTPS, realce o n Web Access Policy na rvore de
navegao e clique em Configurar Inspeo HTTPS no painel Tarefas. Selecione Ativar
Inspeo HTTPS e escolha a opo para inspecionar o trfego e validar certificados de
site.

A Figura 4
Inspeo HTTPS exige que um certificado de servidor ser configurado no firewall
TMG. Gerar um certificado auto-assinado, selecionando a opo Usar o Forefront TMG
para gerar um certificado e clicar no boto Generate .... Alternativamente, voc pode
importar um certificado de PKI interna existente pela seleo a opo de importar um
certificado e clicar no boto Importar ....
Uma vez ativado, o administrador do TMG pode isentar certos pedidos, especificando
excees origem e destino. Quando combinado com filtragem de URL, as excees de
destino pode ser categorias de URL ou conjuntos de URL categoria (por exemplo
Financeiro ou Sade). Opes de certificados de validao e de notificao de cliente
tambm pode ser configurado.

resumo
Quando implantado como um portal web seguro, o Forefront Threat Management
Gateway (TMG) 2010 um firewall multi-camadas sistema de defesa de permetro que
proporciona um nvel elevado de proteco para os seus clientes. Filtragem de URL
garante que os clientes no podem se conectar a sites maliciosos conhecidos. Vrus
integrado e digitalizao de software malicioso impede que os usurios o download de
arquivos infectados e, o Sistema de Inspeo de rede impede ataques a vulnerabilidades
de software em qualquer sistema operacional da Microsoft ou da aplicao. Inspeo
HTTPS aumenta significativamente todos esses mecanismos de proteo, permitindo a
inspeo de communication.Since criptografado sada desses mecanismos de proteo
avanadas so aplicadas na entrada eles fornecem proteo no s para clientes
gerenciados, mas para no-clientes, bem gerenciados.