В настоящее время мы без проблем запускаем pfSense, однако мы смотрим на TMG, поскольку он включен в нашу партнерскую подписку на MS и позволяет использовать функции Windows 7 DirectConnect в нашем домене для внешних пользователей.
У меня был гугл, но, похоже, нет никаких сравнений TMG с pfSense.
У кого-нибудь есть опыт / знания об этом?
На данный момент наша инфраструктура - это Windows Server 2008 R2, стоящая за pfSense.
Здесь нет сравнения, потому что на самом деле это два совершенно разных продукта, нацеленных на два разных рынка. Вроде того, как вы, вероятно, никогда не увидите сравнения Ferrari 599 с Bugatti Veryon. Обе безумно быстрые дорогие машины, но нацелены на два разных рынка.
Я использовал оба. Фактически, наш внутренний офис использует TMG, а наш удаленный сайт использует PFSense, и это действительно сводится к тому, что вам нужно в брандмауэре и вашей способности поддерживать.
Я считаю PFSense простым в обслуживании. Настроить каналы аварийного переключения, туннели IPSec, VPN и т. Д. Очень просто. В TMG все это намного сложнее, но это потому, что TMG очень тесно интегрирован в вашу среду Active Directory.
TMG также может выполнять HTTP-маршрутизацию на основе хоста, в то время как PFSense не может, поэтому вы можете использовать один IP-адрес на нескольких внутренних веб-серверах без использования специального обратного прокси-сервера.
Одна из лучших особенностей TMG заключается в том, что вы можете эффективно отключить доступ в Интернет только для одного человека, отключив его учетную запись AD в брандмауэре. Нет необходимости настраивать аутентификацию Squid с RADIUS для вашего AD, а затем настраивать ACL.
Я бы сказал, что TMG сложнее выучить, чем PFSense, если вы начинаете с чистого листа.
Как и сказал Марк, это два совершенно разных продукта. Если вы ищете прокси-сервер, который тесно интегрирован с Active Directory и предоставляет множество полезных функций в этой области, вам нужен TMG. Если вам нужны расширенные NAT, маршрутизация, мульти-WAN, гибкие межплатформенные параметры VPN и т. Д., Вы находитесь где-то между некоторыми, минимальными и несуществующими функциональными возможностями TMG, но pfSense предлагает многое в этих областях и широко используется для эти вещи.
Может лучший вариант? Используйте оба. TMG внутри сети, pfSense на границе, и вы получите лучшее из обоих миров.
Как сказали Марк и Крис, продукты слишком сильно различаются, чтобы их можно было сравнивать друг с другом, и теперь я сделаю это более «несправедливым», потому что я сравню некоторые различия между TMG SP1 + Software update 1 и БЕТА версия pfSense 2.
pfSense - невероятный межсетевой экран с множеством хороших и расширенных функций и чрезвычайно низкими требованиями к оборудованию по сравнению с TMG. Это бесплатно и быстро обновляется. Он прост в использовании и очень быстро реагирует на ваши настройки.
pfSence, кажется, обрабатывает огромные правила блокировки БЫСТРЕЕ чем TMG, и вы можете заметить, что в потоке трафика на обоих концах брандмауэра (после обработки пакетов), и вы также заметите, что GUI-ответ на pfSense довольно быстрый по сравнению с очень медленным TMG. Не пробовал балансировку нагрузки для этого теста.
Что касается стабильности и надежности, похоже, что у pfSense вообще нет никаких шансов. Мы провели стресс-тест с настройкой из 10 машин с 8 торрентами на каждой, а также 2-х ftp-серверов и фермы SharePoint с 2-мя узлами за брандмауэром, подключенными к Интернету через 1 Гбит оптоволокно. Кроме того, у нас было 6 других машин, подключенных к Интернету через отдельные 100-мегабитные линии (в разных местах с 4-мя разными интернет-провайдерами), чтобы мешать трафику, проходящему через брандмауэр. Без помех поток трафика через брандмауэр TMG ожидал где-то между 60–120 МБ / с (восходящий и нисходящий), а при полной атаке всех 6 «нарушителей» скорость снизилась до 30-70 МБ / с. Веб-страницы на сервере SharePoint довольно неплохо реагировали на атаки. Тот же тест с pfSense в качестве брандмауэра был ужасен :-( Пропускная способность упала до 2-30 МБ / с, и время ожидания большинства щелчков (из внешней сети) на веб-странице SharePoint истекло. Мы даже сменили оборудование на другого производителя, чтобы убедитесь, что не было проблем с совместимостью с pfSense и сервером (ами), но было трудно сказать, стало лучше или хуже.
Я не согласен с тем, что TMG имеет минимальную функциональность для использования в качестве расширенного NAT, маршрутизации, нескольких WAN и т. Д .; pfSense предлагает больше, но абсолютно не МНОГО Больше.
Для использования с клиентами Windows внутри TMG предлагает гораздо больше функций, особенно в сочетании с остальной частью семейства ForeFront.
Отчеты и мониторинг в TMG намного лучше, чем pfSense.
Если вы действительно хотите сравнить TMG с другим межсетевым экраном, попробуйте Cisco. Мне нравится сочетание ASA и TMG.
Если вы намерены оставаться партнером РС в течение длительного времени, я предлагаю вам использовать преимущества вашего партнера до его пределов! ;-)
+1 за проблемы со стабильностью / управлением с PfSense. Я думаю, что команда создала выдающийся продукт по сравнению с другими проектами с открытым исходным кодом и бесплатными проектами. С учетом сказанного: такие вещи, как исчезновение Webconfigurator и невозможность управлять системой, быстро ухудшают ее удобство использования в корпоративной среде. вот ссылка одна, а Интернет завален ими: http://forum.pfsense.org/index.php?topic=38965.0
Это типичный случай невозможности сравнить коммерческий продукт с открытым исходным кодом, качества просто нет. Я не собираюсь вдаваться в дебаты по этому поводу, поэтому, защищая открытый исходный код, до сих пор я видел ровно 1 продукт: видеокодер x264, который превосходит любую коммерческую версию. Остальное больше похоже на научный проект, чем на то, что вы хотели бы использовать там, где важна стабильность.