Forefront TMG vs pfSense

3

Atualmente, executamos o pfSense sem problemas, no entanto, estamos analisando o TMG, pois ele está incluído em nossa assinatura de parceiro do MS e permite que os recursos do DirectConnect do Windows 7 sejam acessados em nosso domínio para usuários externos.

Eu tive um google, mas não parece haver nenhuma comparação de TMG para pfSense.

Alguém tem experiência / conhecimento disso?

Nossa infra-estrutura é o Windows Server 2008 R2 por trás do pfSense no momento.

    
por Darbio 17.12.2010 / 02:12

4 respostas

9

Não há comparação, porque são realmente dois produtos totalmente separados que visam dois mercados diferentes. Como você provavelmente nunca verá uma comparação de uma Ferrari 599 contra um Bugatti Veryon. Ambos carros rápidos e caros, mas voltados para dois mercados diferentes.

Eu usei os dois. Na verdade, nosso escritório interno usa o TMG, e nosso site remoto usa o PFSense, e isso se resume ao que você procura em um appliance de firewall e na sua capacidade de manter.

Acho o PFSense fácil de manter. Configurando links de failover, túneis IPSec, VPNs, etc muito muito simples. Tudo isso é muito mais complicado no TMG, mas isso ocorre porque o TMG é muito integrado ao ambiente do Active Directory.

O TMG também pode fazer roteamento HTTP baseado em host, enquanto o PFSense não pode, portanto, você pode usar um endereço IP em vários servidores da web internos sem precisar de um proxy reverso específico.

Uma das melhores coisas sobre o TMG é que você pode efetivamente desligar apenas o acesso à internet de uma pessoa, desabilitando sua conta do AD no firewall. Não é necessário configurar qualquer autenticação do Squid com o RADIUS no seu AD e, em seguida, configurar as ACLs.

Eu diria que o TMG é mais difícil de aprender do que o PFSense se você estiver começando de uma placa em branco.

    
por 17.12.2010 / 02:33
6

Exatamente como Mark disse, eles são dois produtos totalmente diferentes. Se você está procurando por um servidor proxy que esteja bem integrado ao Active Directory e forneça uma grande quantidade de funcionalidades legais nessa área, você quer o TMG. Se você precisa de NAT avançado, roteamento, várias WAN, opções flexíveis de VPN multiplataforma, etc., você está em algum lugar entre algumas funcionalidades mínimas e inexistentes com o TMG, mas o pfSense oferece muito nessas áreas e é amplamente implementado para aquelas coisas.

Talvez a melhor opção? Use ambos. TMG dentro da rede, pfSense na borda, e você obtém o melhor dos dois mundos.

    
por 17.12.2010 / 05:41
3

Assim como Mark e Chris disseram, os produtos são muito diferentes para serem comparados entre si, e agora, vou torná-lo mais "injusto" porque compararei algumas diferenças entre o TMG SP1 + Software update 1 vs BETA versão do pfSense 2.

O pfSense é um firewall incrível com muitos recursos interessantes e avançados e requisitos de hardware extremamente baixos em comparação com o TMG. É grátis e é atualizado rapidamente. É fácil de usar e responde muito rapidamente às suas configurações.

O pfSence parece lidar com enormes regras de bloqueio FASTER do que o TMG e você pode perceber isso no fluxo de tráfego em ambas as extremidades do firewall (após os pacotes terem sido processados) e você também notará o GUI. resposta para ser muito rápido no pfSense em comparação com o TMG muito lento. Não tentei balancear a carga para este teste.

Quando se trata de estabilidade e confiabilidade, o pfSense parece não ter nenhuma chance. Fizemos um teste de estresse com uma configuração de 10 máquinas com 8 torrents cada, mais servidores de 2 ftp e um farm do SharePoint com 2 nós atrás de um firewall conectado à Internet via fibra de 1 Gbit. Além disso, tínhamos outras 6 máquinas conectadas à Internet através de linhas separadas de 100 Mbit (locais diferentes com 4 ISPs diferentes) para perturbar o tráfego que estava fluindo pelo firewall. Sem interrupções, o fluxo de tráfego através do firewall TMG estava pendente entre 60-120 MB / s (a montante e a jusante) e com ataque total de todos os 6 "perturbadores", a velocidade de transferência baixou para 30-70 MB / s. As páginas da Web no servidor do SharePoint estavam respondendo muito bem durante os ataques. O mesmo teste com o pfSense como firewall foi horrível :-( O throughput baixou para 2-30 MB / s e a maioria dos cliques (de uma rede externa) na página do SharePoint expirou. Nós até mudamos o hardware para outro fabricante para Certifique-se de que não houve problemas de compatibilidade com o pfSense e o (s) servidor (es), mas era difícil dizer se ficou melhor ou pior.

Eu não concordo que o TMG tenha funcionalidade mínima para uso como NAT avançado, roteamento, várias WANs etc; pfSense oferece mais, mas absolutamente não MUITO mais.

Para uso com clientes Windows no interior, o TMG oferece muito mais funcionalidade, especialmente se combinado com o restante da família ForeFront.

Relatórios e monitoramento no TMG são muito melhores que o pfSense.

Se você realmente quiser comparar o TMG com outro firewall, tente a Cisco. Eu gosto da combinação de ASA e TMG.

Se você pretende se manter parceiro da MS por um longo tempo, sugiro que você use os benefícios do seu parceiro para os seus limites! ; -)

    
por 29.12.2010 / 01:27
-2

+1 para problemas de estabilidade / gerenciamento com o PfSense. Acho que a equipe criou um produto excepcional quando comparado a outros projetos de código aberto / aberto. Com isso dito: coisas como o desaparecimento do configurador da Web e a incapacidade de gerenciar o sistema reduzem rapidamente sua usabilidade em um ambiente corporativo. aqui está um link, mas a Internet está repleta deles: link

Este é um caso típico de incapacidade de comparar produtos comerciais com código aberto, a qualidade simplesmente não está lá. Eu não vou entrar em um debate sobre isso, então em defesa do código aberto, até agora eu vi exatamente um produto: codificador de vídeo x264 que supera qualquer versão comercial. O resto parece mais um projeto de ciência do que algo que você gostaria de usar onde a estabilidade é importante.

    
por 06.04.2012 / 17:58