Forefront TMG ist ja nun abgekündigt und es muss auf Kurz oder Lang Ersatz her. Es gibt mittlerweile einige Hersteller die in die Lücke springen die Forefront TMG hinterlässt. Einige vielversprechende Lösungen werde ich also testen und zu jedem auch gleich ein Howto veröffentlichen. Zum Schluss kommt dann noch ein Artikel der die Lösungen miteinander vergleicht und aus meiner Sicht die Vor- und Nachteile auflistet. Soweit der Plan.
Ich habe also eine Standard Testumgebung erstellt, die ich für alle Lösungen verwenden werde. Die Testumgebung ist relativ einfach aufgebaut:
Es gibt einen Windows Server 2012 R2 mit dem Namen DC1 auf dem die Domain Controller Rolle und Outlook 2013 installiert ist. Exchange 2013 ist ebenfalls auf Server 2012 R2 installiert. Die Exchange Server tragen die Namen EX1 und EX2. Dies bildet immer die Ausgangssituation für alle Lösungen.
Ich habe mir vorab ein paar Bewertungskriterien festgelegt um später ein Fazit ziehen zu können, wohlgemerkt sind das meine eigenen Kriterien, die wahrscheinlich wenig über die Qualität der einzelnen Produkte aussagen. Dazu aber später mehr.
In diesem Artikel geht es um die Sophos UTM 9.1, welche Sophos als komplette Firewall Lösung verkauft. Da es in diesem Artikel aber nur um einen TMG Ersatz in Hinblick auf Exchange geht, interessiert mich VPN, Firewall, Routing, etc nicht. Das interessante Feature nennt Sophos “Web Application Firewall (WAF)” . Auch hier wird wirbt der Hersteller mit einem Ersatz für TMG:
http://www.sophos.com/de-de/products/unified/utm/tmg-replacement.aspx
Ich hab mir also die Home Version der UTM besorgt und meine Testumgebung wieder erweitert
Nachdem die UTM in Betrieb ist, kann es mit der Konfiguration der WAF losgehen. Die WAF findet sich unter “Webserver Protection” –> “Web Application Firewall”
Als erstes müssen die “Real Server” angelegt werden, also EX1 und EX2 auf die gleiche Weise:
Sobald das erledigt ist, sollte das so aussehen:
Als nächstes wird ein neues “Firewall Profile” benötigt (Nachtrag: So läuft es zumindest, sobald ich zusätzliche Optionen auswähle, funktionierte OWA in meiner Testumgebung nicht mehr. Ich muss noch klären wie das funktioniert…)
Jetzt wird ein “Virtual Webserver” benötigt. An dieser Stelle muss ich erwähnen das mich Zertifikate wenig kümmern, zumindest in meiner Testumgebung, ich wähle daher das WebAdmin Zertifikat aus. Das sorgt natürlich für unendlich viele Warnungen, aber es hat den Vorteil das ich leicht zwischen Sophos UTM Zertifikat und Exchange Zertifikaten unterscheiden kann. In meiner Testumgebung habe ich mich bewusst dafür entschieden.
Der Virtual Webserver muss auch aktiviert werden
Jetzt kann auf dem Reiter “Global” die Web Application Firewall aktiviert werden
Soweit so gut, der Test mit OWA funktioniert:
Ich bin überrascht, das war einfach, zumindest bis hier, aber es bleiben einige Fragen, die ich noch mit einem Spezialisten klären muss. Ich werde diesen Artikel ggf. noch einmal überarbeiten müssen. Bis dahin werde ich meine Tabelle pflegen und ein bisschen experimentieren.