Forefront TMG has now been discontinued and a replacement will have to be found sooner or later. There are now several manufacturers who are filling the gap left by Forefront TMG. I will test some promising solutions and publish a howto for each of them. Finally, there will be an article comparing the solutions and listing the pros and cons from my point of view. So much for the plan.
I have therefore created a standard test environment that I will use for all solutions. The test environment has a relatively simple structure:
There is a Windows Server 2012 R2 with the name DC1 on which the Domain Controller role and Outlook 2013 are installed. Exchange 2013 is also installed on Server 2012 R2. The Exchange servers have the names EX1 and EX2. This is always the starting point for all solutions.
I defined a few evaluation criteria in advance in order to be able to draw a conclusion later. Mind you, these are my own criteria, which probably say little about the quality of the individual products. But more on that later.
This article is about Sophos UTM 9.1, which Sophos sells as a complete firewall solution. However, since this article is only about a TMG replacement with regard to Exchange, I am not interested in VPN, firewall, routing, etc.. Sophos calls the interesting feature "Web Application Firewall (WAF)". Here too, the manufacturer advertises it as a replacement for TMG:
http://www.sophos.com/de-de/products/unified/utm/tmg-replacement.aspx
So I have the Home version of the UTM and expanded my test environment again
Once the UTM is up and running, you can start configuring the WAF. The WAF can be found under "Webserver Protection" -> "Web Application Firewall"
First, the "real servers" must be created, i.e. EX1 and EX2 in the same way:
As soon as this is done, it should look like this:
Next, a new "Firewall Profile" is required (Addendum: At least that's how it works, as soon as I select additional options, OWA stopped working in my test environment. I still need to clarify how this works...)
Now a "Virtual Webserver" is required. At this point I have to mention that I don't care much about certificates, at least in my test environment, so I select the WebAdmin certificate. Of course, this causes an infinite number of warnings, but it has the advantage that I can easily distinguish between Sophos UTM certificates and Exchange certificates. In my test environment, I have deliberately opted for this.
The virtual web server must also be activated
The web application firewall can now be activated on the "Global" tab
So far so good, the test with OWA works:
I'm surprised that was easy, at least up to here, but there are still some questions that I need to clarify with a specialist. I may have to revise this article again. Until then, I'll maintain my table and experiment a bit.
Hallo Frank, eine Frage leicht OT aber vielleicht hilfst du mir weiter. Ich habe auch eine Home Lizenz – allerdings sobald die UTM erkennt das ich eine interne Domäne habe sperrt sich die UTM. Wie hast du das gelöst ?
Hallo Frank,
wollte heute deine Anleitung mit der neuen Sophos UTM 9.309-3 probieren. Habe alles eingetragen aber beim Aufruf unter https:///owa oder https:///ecp erscheint immer Fehler 403? Hast du diesen Fehler schon einmal gehabt?
Gruß Marco
Hallo Marco,
https://www.frankysweb.de/exchange-2013-sophos-utm-9-3-waf-als-reverse-proxy-fr-outlook-anywhere-owa-activesync-und-autodiscover/
Wie wäre es damit?
Gruß, Frank
Hallo Franky,
funktioniert mit deinen vorgeschlagenen Lösungen nur OWA oder kann auch Outlook anywhere genutzt werden?
Outlook Anywhere funktioniert bei mir leider nicht mit den beschriebenen Lösungen, hast du hier eine Idee?
Gruß Kai
Hallo,
hast Du mal die Unklarheiten geklärt?
Und mal die Ver 9.2 gestestet?
Dort die Auth für OWA an der UTM?
Gruß
Frank
Guten Morgen,
Aber mindestens Server 2012 wäre da doch angebracht und fair…;-)…gegenüber MS. Aber auch R2 ist ja draussen. Also nicht mehr Beta. Einbeziehen wäre da schon gut. Für mich sind bei ARR, wie auch bei der TMG zu viel Einflüsse (Z. B. Updates, Treiber…) dabei. Eine dedizierte Box ist für den sensiblen Internetzugang heutzutage echt gut. Abgesehen von der Angriffsfläche MS….;-)
Also auch ohne dein Fazit ist Sophos bis heute bei mir Top. Gut das Sophos Gas gibt .Habe eine Astaro am laufen. Absolut problemlos! Das Zeug kommt ja auch aus good old Germany. Äh damals….
Wie ist es eigentlich mit gateprotect.de. Die UTM soll direkt aus DE kommen. Ohne Backdoor?
F
Hi Frank,
Dein Fairplay ist zu loben!
Aber vielleicht ein ergänzender Artikel (Außerhalb der Wertung) wäre doch hilfreich und realistisch. Die 9.2 Version macht doch – aus meiner Sicht – erst wirklich Sinn. Außerdem wäre doch ein Export der Konfig und Import in die neue FM mal echt interessant und praxisnah.
Interessant wäre auch das Monitoring. Insbesondere was macht welcher AD User aktuell über die UTM.
Frank
Hi Frank,
auf jeden Fall, gerade hinsichtlich WAF und Exchange wurde ja scheinbar einiges getan, ich teste gerade ARR auf Server 2008 R2, auch da hab ich mich schon gegen Server 2012(R2) entschieden, da es eben noch Beta ist. Aber die Features in der UTM 9.2 hören sich natürlich super an, da werde ich auf jeden Fall am Ball bleiben. Gerade weil ich die UTM ja auch Privat im Einsatz habe :-)
Gruß, Frank
Hi,
auf dem Blog wird auch gerade ein TMG Ablöser gesucht:
https://www.winsec.nl/2013/10/11/publishing-exchange-utm-web-application-firewall/
FYI
Frank
Hi,
danke für den Link, das bringt mich schon etwas weiter, übrigens wurde kürzlich die UTM 9.2 BETA freigegeben, in der die WAF verbessert wurde (http://networkguy.de/?p=545). Ich werde aber bei der stabilen Version 9.1 bleiben und diese Version in meine Bewertung aufnehmen, denn ich denke eine Beta wird niemand produktiv einsetzen. Daher wäre es unfair gegenüber den anderen Lösungen.
Gruß, Frank
Super, Danke…auf die Fortsetzung bzw. den Nachtrag bin ich gespannt.