forefront tmg

簡介微軟於2008年4月8日發布了 ISA Server新一代版本 forefront-Threat Management Gateway 。一般稱為forefront tmg。

從2006年開始，微軟把主要的安全產品整合在一個產品系列－Forefront 中。在 Forefront 產品系列中，ISA 主要負責網路邊緣範圍的安全防範與保護。但是，和其他防火牆產品不同，ISA 不僅僅是一個防火牆，而是通過與其他微軟產品或技術（例如活動目錄）結合來實現完善的企業安全管理與控制。而從這次產品名稱變更（從 ISA（網際網路安全與加速，Internet Security and Acceleration） 變更到 TMG（安全威脅管理網關，Threat Management Gateway）） 就可以看出，微軟不僅僅只想負責網路邊緣的安全與防護，而是想實現統一的企業安全威脅管理，這也表現出了微軟在企業安全領域的決心。

forefront tmg 是作為新一代的 Forefront 產品系列 Stirling 的重要組成部分，完整的 Stirling 套件包括 Forefront Protection Manager、Forefront Endpoint Protection 2010、Forefront Protection 2010 for Exchange/Sharepoint 和 Forefront TMG 這五個獨立組件，並且可以融合其他的一些安全產品或技術，例如 NAP 或者第三方技術或者產品等等。在 Forefront Stirling 產品系列中，其中一個最為重大的新特性就是基於 Forefront Stirling 的Security Assessment Sharing（SAS） 功能，可以在全系列的 Forefront Stirling 產品中進行安全評估信息的共享。SAS相當於在 Stirling 各個組件之間構建了一個信息共享的通道，在這個通道中，所有組件共享彼此的安全評估信息，例如某個計算機是否有中病毒的嫌疑，某個用戶訪問是否是惡意訪問，並且基於這個安全評估信息，執行特定的操作。這樣帶來的好處就是 Stirling 所有組件之間都是協同工作的，具有安全聯動回響的特性。例如 Forefront Endpoint Protection 發現計算機中毒了，那么這個安全評估信息就直接通過 SAS 傳送給 TMG 和 Protection for Exchange，TMG 就可以直接拒絕來自該計算機的訪問，而 Protection for Exchange 就可以掃描該計算機上當前登錄用戶的信箱等等。

另外，在 forefront tmg 中，除了一貫的提供對於活動目錄的支持外，TMG 已經能夠完美的和 NAP 進行集成，實現完善的 VPN 隔離與控制。

目前forefront tmg、NAP、Forefront Endpoint Protection 的客戶端仍然是獨立的；在不久的將來，可能就只有一個客戶端，來實現這所有的功能。這樣可以極大的簡化 IT 管理，同時通過集成技術，也可以實現更為完美、便捷的安全管控。

安全配置和企業級集中管理控制台 ：Forefront Server Security Management Console

端點防護: Forefront Client Security (FCS)

信息協作防護: Forefront Security for Exchange Server (FSE) and Forefront Security for SharePoint (FSSP) 邊緣防護: Forefront Threat Management Gateway (Forefront TMG)

Forefront TMG是一個高級狀態檢測以及套用層檢測防火牆，同時還包括VPN以及Web快取，使您能夠最大化利用現有投資，提升信息安全和性能。它是微軟安全戰略架構Forefront中的新成員，替換原來的Microsoft Internet Security and Acceleration (ISA)，成為下一代網路邊緣防護產品。基於狀態檢測是TMG的一個亮點，由此Forefront網路邊緣防護覆蓋了OSI 7層模型中的上5層，即網路層、傳輸層、會話層、表示層、套用層，讓網路安全防護更加安全。