España   Cambiar   |   Todos los sitios de Microsoft

Forefront Threat Management Gateway

Microsoft | Microsoft España | Servidores

  

Características de Forefront TMG MBE

Conozca las características y beneficios de Microsoft Forefront Threat Management Gateway Medium Business Edition (TMG MBE) que ofrece protección contra múltiples amenazas del entorno de internet, conectividad segura y una gestión sencilla para empresas de tamaño pequeño a mediano. TMG MBE aprovecha las funcionalidades de ISA Server 2006 y es compatible con Windows Server 2008 de 64-bit. Este producto ofrece capacidades de protección nuevas, una web antimalware opcional, al mismo tiempo que mejoras en la interfaz de usuario, la gestión y la presentación de informes.

Novedades

Nuevas Características de TMG MBE

Funcionalidad

Descripción

Compatible con ediciones de Windows Server 2008 de 64 bits

TMG MBE puede ejecutarse con Windows Server 2008 64-bit

Antimalware para Web opcional, servicio basado en suscripción contra software potencialmente dañino procedente de Internet

Limpia archivos infectados

Bloquea documentos:

- Con amenaza de gravedad media y baja

- Sospechosos

- Corruptos

- Que no puede analizar

- Encriptados

- Los que no se han analizado durante el tiempo de análisis establecido por el usuario

- Aquellos que superan el tamaño máximo establecido en megabytes por el usuario

Bloquea archivos cuyo tamaño de contenido una vez descomprimido supera el tamaño máximo de contenido descomprimido definido en megabytes por el usuario

Bloquea archivos cuando su nivel de profundidad de archivo supera el nivel máximo establecido por el usuario

Flexibilidad para excluir sitios web de la inspección basada en la dirección IP, conjunto de nombres de dominio, conjuntos de URL

Fragmentación de contenidos: la inspección de malware pueden provocar un retraso en la entrega de contenido del servidor al cliente. TMG MBE reparte el contenido en fragmentos ya inspeccionados para mejorar la experiencia del usuario durante la inspección. TMG MBE puede enviar notificaciones de progreso para algunos tipos de documentos especificados para que el usuario sepa como va el proceso durante este retraso. Estas notificaciones informan al usuario que el contenido solicitado está siendo inspeccionado.

Asistente único para la configuración de acceso a la Web

Permite a los clientes configurar el acceso a la Web e incluye la protección contra software potencialmente dañino con un asistente único.

Bloquea el acceso a destinos no deseados usando el URL o un conjunto de dominios

Inspecciona el tráfico Web para detectar software peligroso

Permite la precarga de contenidos Web en cache

Características principales

Acceso Remoto Seguro a Servidores Internos de Microsoft

Funcionalidad

Descripción

Formularios generados por el propio Firewall para la autentificación basada en formularios

Genera formularios empleados en los sitios Web de Outlook Web Access para la autentificación basada en formularios. Con esto mejora la seguridad para el acceso remoto al sitio de Outlook Web Access evitando que los usuarios no identificados contacten con el servidor de Outlook Web Access.

Acceso Remoto a los servicios de la Terminal usando SSL

Los ordenadores que ejecutan el sistema operativo de Windows Server 2003 soportan RDP sobre SSL para permitir una conexión cifrada con SSL a los Servicios de Terminales de Windows Server 2003.

Más seguridad al publicar en el Servidor Terminal de Windows Server 2003 usando tecnología SSL

Mejoras en la conexión RCP desde un cliente Microsoft Outlook (MAPI) a servidores Exchange y servidores de colaboración

Las reglas de publicación permiten a los usuarios que utilizan el cliente Outlook avanzado (MAPI) conetarse en remoto con servidores Exchange Server a través de Internet. El cliente de Outlook debe estar configurado para usar conexión RPC segura y garantizar el cifrado de los datos transmitidos.

La política de RPC permite bloquear todas las conexiones de cliente MAPI de Outlook que no estén encriptadas.

Asistente de Publicación de Outlook Web Access

El acceso remoto sin cliente mediante conexiones SSL es el corazón de las VPNs basadas en SSL.

Un asistente le ayuda a generar las reglas de firewall necesarias para permitir la conexión de Outlook Web Access con el servidor Exchange Server utilizando SSL.

Con el asistente se pueden generar todos los elementos de la red.

Asistente de Publicación de Microsoft Office SharePoint Server

El nuevo asistente de publicación permite publicar múltiples sitios de Windows SharePoint simultáneamente y realiza la traducción de los vínculos de forma automática.

Soporte integrado para Exchange 2007

Soporte nativo para las funcionalidades de Exchange 2007

Red Privada Virtual (VPN)

Característica

Descripción

Asistente de Conectividad VPN para redes de oficinas remotas

Configura automáticamente las conexionse VPN de sitio a sitio entre oficinas.

Integración completa de VPN con el servicio Firewall de Microsoft.

Incluye un mecanismo más integrado de red privada virtual integrada basado en las funcionalidades de Windows Server 2003 y Windows 2000 Server.

Filtrado de contenidos en conexiones VPN

Los clientes de VPN se configuran como una zona de red independiente.

Genera políticas diferentes para los clientes VPN. El motor de firewall chequea de manera discriminatoria las solicitudes de los clientes de VPN. El motor hace un filtrado de la zona de datos e inspecciona estas peticiones y dinámicamente abre conexiones basadas en la política de acceso.

Soporte para cliente SecureNAT para clientes VPN conectados al servicio VPN de TMG MBE.

Extiende el soporte del cliente VPN permitiendo a los clientes SecureNAT acceder a Internet sin tener instalado el Cliente de Firewall en el equipo.

Mejora la seguridad de la red corporativa forzando la política de firewall, bajo criterios de usuario y grupo, en clientes SecureNAT.

Inspección de datos para las comunicaciones que se producen a través de un túnel VPN de sitio a sitio.

Controla los recursos a los que hosts y redes específicos pueden acceder desde el lado opuesto del enlace. Controla el grado de utilización tanto a nivel de usuario como de grupo para mantener un control detallado del uso del enlace.

Cuarentena VPN

Utiliza los mecanismos de cuarentena de VPN de Windows Server 2003 para realizar una inspección en profundidad de los clientes de VPN e integrarlos en las políticas de firewall.

Servidores de Publicación de VPN

Publica protocolos IP y Servidores PPTP.

El filtro de aplicación PPTP inteligente gestiona las conexiones complejas.

Publica el servidor VPN basado en Windows Server 2003 NAT-T L2TP sobre IPSec usando el servidor de publicación TMG MBE 06.

Soporte para IPSec en modo túnel para enlaces VPN entre sites

Mejora el soporte para enlaces entre sites utilizando IPSec en modo túnel como protocolo de VPN.

Incrementa la interoperabilidad de TMG MBE con una amplía gama de soluciones VPN de otros fabricantes.

Gestión

Funcionalidad

Descripción

Funciones de gestión sencillas

Incorpora funciones de gestión con las que es más sencillo mejorar la seguridad de la red evitando errores en la instalación y configuración

Entre las funcionalidades de la interfaz del usuario destacan los paneles de tareas, paneles de ayuda contextuales y asistentes de ayuda para la instalación y configuración.

Asistentes sencillos

Los nuevos asistentes de configuración ayudan a publicar Windows SharePoint Services, Exchange y sitios Web  en general.

El nuevo asistente de conectividad de VPN para redes de oficinas facilita la configuración de las conexiones VPN de sitio a sitio.

Exportación e importación de datos de configuración

Exportación e importación de información de configuración

Guarda los parámetros de configuración en un documento .xml e importa la información desde el documento a otro servidor.

Asistente de Delegación de Permisos para los roles de administrador de firewall.

El asistente le ayuda a asignar rolesa de administración a los usuarios y grupos. Estos roles predefinidos delegan el nivel de control administrativo que tienen los usuarios sobre determinados servicios de TMG MBE.

Paquete de Gestión de TMG MBE para System Center  Operations Manager

El Paquete de Gestión para SCOM permite la monitorización y consolidación de eventos y actividades habituales del firewall en todo el ámbito de la organización .

Amplío Kit de Desarrollo de Software (SDK)

Incluye un SDK completo para desarrollar herramientas que aprovechen las funcionalidades de firewall de TMG MBE, la cache y las funciones de gestión.

Amplio soporte para otros fabricantes

Los fabricantes independientes ofrecen productos, tales como detectores de virus, herramientas de gestión, filtros de contenido y presentación de informes que se basan en TMG MBE y se integran perfectamente con el producto.

Monitorización y Presentación de Informes

Funcionalidad

Descripción

Monitorización de entradas de log en tiempo real

Permite ver los logs en tiempo real del firewall, el Proxy de Web y el SMTP Message Screener. El TMG MBE Server Management muestra de manera completa las entradas de log tal y como se van grabando en el documento log de firewall.

Herramienta de consultas de log integrada

Consulta de documentos de log usando la herramienta de consulta de log integrada

CConsulta información contenida en cualquiera de los campos grabados en los logs.

Permite limitar el ámbito de la consulta a un marco de tiempo específico.

Los resultados aparecen en el complemento de gestión de TMG MBE. Se pueden copiar al portapapeles y pegar en otra aplicación para un análisis más detallado. /p>

Monitorización y filtrado de las sesiones de firewall en tiempo real

VVea todas las conexiones activas del firewall. Desde la vista de la sesión se puede ordenar o desconectar sesiones de grupo o individuales. Además se pueden filtrar las entradas en la interfaz de la sesión para centrarse en las sesiones de interés usando la facilidad de filtrado de sesión incorporada.

Verficadores de conexión

Verifica la conectividad mediante la monitorización regular de las conexiones para un ordenador específico o URL desde el servidor TMG MBE, utilizando verificadores de conexión. Puede configurarse qué método se desea utilizar para determinar la conectividad: Ping, conexión TCP a un puerto específico o HTTP GET. Para indicar qué conexión se desea monitorizar se puede hacer especificando una dirección de IP, nombre de host o URL.

Personalización de informes de TMG MBE

Incluye una característica mejorada para la personalización de los informes que permite añadir más información en los informes de firewall. /p>

Publicación de informes

CoConfigura TMG MBE para que las tareas de generación de informes guarden una copia del informe automáticamente en una carpeta local o documento compartido en red.

Mapea carpetas y documentos compartidos contra un directorio virtual de la Web para que otros usuarios puedan ver el informe.

Permite publicar de forma manual los informes que no han sido configurados para una publicación automática una vez terminados.

Correo de notificación tras a la creación del informe

Configura TMG MBE para que la tarea de generación de informes envíen un email una vez que dicho informe está completado

Definición de la hora de creación de un resumen de log.

Por defecto crea resúmenes de log a las 00:30 (12:30 A.M). Los informes se basan en la información contenida en estos resúmenes. Usted puede personalizar fácilmente a qué hora debe TMG MBE realizar esta función para darle la máxima flexibilidad.

Almacenado de informes en base de datos Access local

Además de documentos .txt, y las bases de datos de Microsoft SQL Server, los logs pueden ahora almacenarse en un archivo .mdb. La posibilidad de guardar los registros en una base de datos local mejora la rapidez en las consultas y la flexibilidad.

Mejoras en el registro en base de datos SQL Server

Puede guardar el log en una base de datos SQL Server que se encuentre localizada en otro ordenador de la red interna.TMG MBE SQL Server optimiza el procedimiento de almacenado para mejorar su rendimiento.

Soporte para múltiples redes (Multi-Networking)

Funcionalidad

Descripciónp>

CoConfiguración de una red múltiple

Puede configurar una o más redes, cada una con relaciones distintas con otras redes. Las políticas de acceso están definidas de manera relativa a las redes y no necesariamente hacia una red interna específica. TMG MBE extiende el firewall y sus características de seguridad para aplicarlas al tráfico entre cualquier red o sus objetos.

Políticas específicas para cada red

Protegerá mejor su red de las amenazas de seguridad, tanto internas como externas, limitando la comunicación entre clientes incluso dentro de su propia empresa.
La funcionalidad del modelo multi-networking es compatible con redes perimetrales sofisticado, también conocidas como zonas desmilitarizadas (DMZ) o escenarios de subredes monitorizadas, ayudándole a configurar el modo de acceso de los clientes a la red perimetral desde las demás redes. Las políticas de acceso entre redes pueden basarse en la zona de seguridad exclusiva representada por cada red.

Relaciones entre rutas y conexiones NAT.

Puede definir relaciones de enrutamiento entre redes, dependiendo del tipo de acceso y las comunicaciones requeridas entre las redes.

En algunos casos, puede necesitar una mayor seguridad, haciendo menos transparentes las comunicaciones entre las redes. Para estos escenarios puede definir una conexión NAT. En otros situaciones, simplemente se puede definir el enrutamiento entre redes a través de TMG MBE. En estos casos se establece una relación de enrutamiento. Los paquetes que se enrutan entre redes quedan plenamente expuestos al filtrado de zona de datos y mecanismos de inspección de TMG MBE.

Protección avanzada de firewall

Funcionalidad

Descripción

Fiirewall multinivel

Proporciona tres tipos de funcionalidad del firewall: filtrado de nivel de paquete (también llamado nivel de circuito), filtrado de datos y filtros de nivel de aplicación.

Filtro de nivel de aplicación

Realiza un análisis intensivo de los contenidos aplicando filtros de nivel de aplicación integrados.

Filtrado de HTTP con un criterio basado en reglas

La política de HTTP permite al firewall realizar una inspección intensiva de la zona de datos (con filtros de nivel de aplicación).

El alcance de la inspección está configurado en base a unas reglas. Con esta capacidad, puede configurar limitaciones a los clientes para tráfico HHTP entrante y saliente.

Bloqueo del acceso de cualquier contenido ejecutable

La política de HTTP le permite bloquear todos los intentos de conexión a cualquier archivo ejecutable del sistema operativo Microsoft Windows con independencia de la extensión del archivo usado en la cadena de petición.

Control de las descargas de documentos HTTP a través de la extensión del archivo

La políticas de HTPP le permiten definir una política basada en la extensión del archivo, incluyendo "autorización completa excepto para un grupo de extensiones determinadas" o "bloqueo completo excepto para un grupo determinado"

Filtro de HTTP aplicado a todas las conexiones de cliente de TMG MBE

La política de HTTP le permite controlar los accesos a HTTP para todas las conexiones de cliente de TMG MBE.

Control de accesos a HTTP basado en "Firmas HTTP"

La inspección de HTTP puede ayudarle a crear "Firmas HTTP" que pueden compararse con las peticiones de URL, cabeceras de peticiones, cuerpo de las peticiones y cuerpo de las respuestas. Con ello se obtiene un control riguroso sobre el contenido al que tanto usuarios internos como externos pueden  acceder a través del firewall.

Control de los métodos HTTP permitidos

Controla qué métodos de HTTP están permitidos a través del firewall colocando controles de acceso al usuario para varios métodos. Por ejemplo, puede limitar el método HTTP POST para evitar que usuarios envíen datos a las páginas web de esta manera.

Soporte para una amplia gama de protocolos

Permite controlar el acceso utilizando cualquier protocolo, incluido protocolos de nivel IP. Los usuarios pueden utilizar aplicaciones como Ping y Tracert y pueden crear conexiones VPN utilizando PPTP. Además, se puede permitir el tráfico IPsec a través de TMB MBE.

Soporte para protocolos complejos que requieren múltiples conexiones primarias.

Muchas retransmisiones de contenidos multimedia y aplicaciones de voz y vídeo requieren una gestión del firewall de protocolos complejos. TMB MBE puede gestionar estos protocolos y dispone de un nuevo Asistente de Protocolos fácil de usar con el que puede crear definiciones de protocolo.

Definiciones de protocolo personalizables

Controla el número de puerto de origen y destino para cada protocolo para el que ha creado una regla de firewall. Esto da al administrador del firewall de TMG MBE un elevado grado de control para determinar qué paquetes pueden entrar o salir a través del firewall.

Política de FTP

La política de FTP de TMG MBE puede configurarse para permitir a los usuarios cargar y descargar a través de FTP o, también, puede limitar el acceso del usuario a FTP sólo para realizar descargas.

Control granular sobre opciones de IP

Configura las opciones de IP de una manera detallada, para permitir solo las opciones de IP que usted necesita y bloquear todas las demás.

Grupo de usuarios de Firewall

Puede crear grupos personalizados de firewall compuestos por grupos que ya existen en la base de datos de cuentas locales o en el dominio del Directorio Activo. Esto incrementa su flexibilidad al permitir controlar el acceso basándose en la pertenencia a grupos  ya que el administrador de firewall puede crear grupos de seguridad personalizados incluyendo grupos ya existentes. Así se evita la necesidad de que el administrador de firewall deba ser administrador de dominio para crear grupos de seguridad personalizados para el control de acceso de entrada y salida.

Acceso a correo electrónico Web de Microsoft Hotmail a través del firewall

El filtro de HTTP posibilita a los usuarios acceder a Hotmail a través de una sencilla regla de firewall, sin necesidad de una configuración especial del usuario o del firewall.

Objetos de la red

Aumenta la capacidad para definir objetos de red creando máquinas, redes, redes fijas, rangos de direcciones, subredes, grupos de máquinas y grupos de nombres de dominio. Con estos objetos se pueden definir grupos de origen y destino a la hora de generar las reglas de firewall.

Asistente para creación de reglas de firewall

El asistente de reglas de firewall facilita su diseño.

Puede crear políticas de acceso con reglas de firewall sofisticadas con las que se puede configurar cualquier elemento de política que necesite. No es necesario salir del asistente de reglas para crear un objeto de red. Cualquier objeto de red o relación puede crearse dentro del nuevo asistente.

Presentación de las reglas del firewall en una lista ordenada

Las reglas de firewall se presentan en forma de una lista ordenada en la que los parámetros de conexión se comparan en primer lugar con la parte superior de la lista. TMG MBE va descendiendo por orden en la lista hasta que encuentra una regla que concuerda con los parámetros de conexión e inicia la acción descrita en la regla. Esta estrategia de aplicación de reglas hace más sencillo averiguar por qué determinada conexión se permite o se deniega.

Política de acceso basada en  usuario o el grupo

las reglas de firewall avanzadas le permiten definir origen y destino para cada protocolo al que un usuario o grupo puede acceder. Con ello se mejora sensiblemente la flexibilidad a la hora de controlar el acceso de entrada y de salida.

Soporte para FTP

Mejor el acceso a los servidores FTP de Internet, escuchando en números de puerto alternativos sin necesidad de configurar de forma especial el cliente o el firewall TMG MBE. Para publicar el servicio FTP en puertos diferentes del 21 no se necesita nada más que una sencilla regla de publicación.

Redirección de puertos para las reglas de publicación del servidor FTP

Permite recibir una conexión en un número de puerto y redirigir la petición a un número de puerto diferente en el servidor publicado.

Resistencia a los ataques por inundación

La característica de resistencia a los ataques de inundación protege a TMG BME de quedar inutilizado de forma temporal o permanente, o no poder administrarlo durante un ataque por inundación.

Mejoras en la defensa frente a ataques

Incorpora mejoras para aumentar su resistencia ante ataques por inundación que incluyen un control de actividad de log, control del consumo de memoria y de las peticiones de DNS pendientes.

Autenticación

Funcionalidad

Descripción

Autenticación

Autentifica usuarios con mecanismos integrados de Windows, LDAP, RADIUS o autentificación RSA ación RSA ación RSA ación RSA ación RSA SecurID.

La configuración independiente del front-end y el backend proporciona más flexibilidad y granularidad.

Soporta la autenticación con logon único en sitios Web.

Aplica reglas a usuarios o grupos de usuarios en cualquier espacio de nombres

Los fabricantes de software pueden utilizar el SDK para crear mecanismos de autentificación y extensiones que se integren con TMG MBE.

Credenciales del cliente firewall redirigidas al servicio de proxy Web

Permite a los clientes de firewall acceder a la cache Web con el filtro HTTP sin necesidad de volver a autenticarse contra el servidor de proxy Web.

Autenticación del cliente proxy de la Web utilizando RADIUS

Permite la autenticación de usuarios contra el Directorio Activo y otras bases de datos de identidades usando RADIUS como medio de consulta.

Las reglas de publicación web pueden también usar RADIUS para autenticar conexiones de acceso remoto.

Delegación de la autenticación básica

Ayuda a la protección de sitios web publicados frente a accesos no identificados, solicitando al firewall de TMG MBE la autenticación del usuario antes de redirigir la conexión. Con esto se evita que los usuarios no autenticados alcancen el servidor web publicado.

Autentificación SecurID para clientes de Proxy Web

Autentica conexiones remotas usando el mecanismo de autenticación bifactorial SecurID. Con ello se consigue un mayor nivel de seguridad durante el proceso de autenticación, ya que el usuario debe saber algo y tener algo para obtener acceso al servidor de Web publicado.

Logon único (Single Sign-on)

Permite a los usuarios acceder a un grupo de sitios Web publicados sin tener que autenticarse ante cada uno de ellos.

Autenticación basada en formularios

La autenticación basada en formularios está ya disponible para todos los sitios Web publicados y no sólo para Outlook Web Access.

Gestión de sesiones

Incluye un control mejorado de sesiones basadas en cookies para proporcionar una mayor seguridad.

Soporte para la autenticación mediante LDAP

LDAP permite a TMG MBE la autenticación contra el Directorio Activo sin ser miembro del dominio .

Servidor de Publicación

Característica

Descripción

Publicación Web segura

Permite colocar los servidores detrás del firewall, ya sea en la red corporativa o en una red perimetral, y publicar sus servicios. Con el asistente mejorado de Publicación Segura de Web, puede crear una regla que permita a los usuarios tener acceso remoto SSL a los servidores de Web publicados.

Mapeo de rutas para las reglas de publicación Web

Flexibiliza la publicación de contenidos Web porque puede redirigir el path indicado por un usuario al firewall hacia cualquier otro path del servidor web.

Preservación de la dirección IP de origen en las reglas de publicación  Web.

Da la opción mediante una regla de que el firewall pueda sustituir la dirección IP original con la del propio firewall o mantener la dirección IP original del cliente remoto al encaminar las peticiones al servidor Web.

Traducción de vínculos

Incorpora la función de traducción de vínculos que permite crear una diccionario de definiciones para nombres de máquina internos y sus correspondientes nombres públicos en Internet.

La traducción de vínculos se produce automáticamente durante la publicación de servidores Web.

Soporte para bridging SSL

ara protegerse de ataques que pudieran venir ocultos dentro de la zona de datos de los paquetes HTTP, el bridge SSL procede al descifrado de paquetes protegidos con protocolo SSL, para su posterior análisis desde TMG MBE y finalmente se vuelven a encriptar para su entrega en destino.

Rendimiento

Funcionalidad

Descripción

Reglas de cache

Con el mecanismo de reglas de cache centralizado de TMG se puede configurar la forma en que los objetos se almacenan y recuperan desde la memoria cache. 

Cache para BITS (Background Intelligent Transfer Service (BITS)

S incorpora un mecanismo de cache para los datos recibidos a través de BITS. Cualquier regla de cache que se genere puede admitir la precarga de datos transmitidos mediante BITS .

Compresión HTTP

Reduce el tamaño del archivo usando algoritmos para eliminar los datos redundantes durante la transmisión de paquetes de HTTP.

Diffserv (Calidad del servicio)

Incluye la funcionalidad de priorización de paquetes (proporcionado por el filtro de Web de Diffserv), que escanea el URL o dominio y asigna prioridad a los paquetes utilizando los bits de Diffserv.



Última actualización de esta página: 13 mayo 2009

  • © 2009 Microsoft