Forefront TMG 与 pfSense

Question 1

无法比较，因为它们实际上是两款完全不同的产品，针对的是两个不同的市场。就像你可能永远不会看到法拉利 599 与布加迪 Veryon 的比较一样。两款车都速度快得惊人，价格昂贵，但针对的是两个不同的市场。

我都用过。实际上，我们的内部办公室使用 TMG，而我们的远程站点使用 PFSense，这实际上取决于您对防火墙设备的要求以及您的维护能力。

我发现 PFSense 维护起来轻而易举。设置故障转移链接、IPSec 隧道、VPN 等非常简单。所有这些在 TMG 中都复杂得多，但这是因为 TMG 与您的 Active Directory 环境紧密集成。

TMG 还可以执行基于主机的 HTTP 路由，而 PFSense 不能，因此您可以在多个内部 Web 服务器上使用一个 IP 地址，而无需特定的反向代理。

TMG 的一大优点是，您可以通过在防火墙中禁用某个人的 AD 帐户来有效地关闭其互联网访问。无需针对您的 AD 设置任何使用 RADIUS 的 Squid 身份验证，然后设置 ACL。

我想说，如果您从一张白纸开始，TMG 比 PFSense 更难学。

Answer

无法比较，因为它们实际上是两款完全不同的产品，针对的是两个不同的市场。就像你可能永远不会看到法拉利 599 与布加迪 Veryon 的比较一样。两款车都速度快得惊人，价格昂贵，但针对的是两个不同的市场。

我都用过。实际上，我们的内部办公室使用 TMG，而我们的远程站点使用 PFSense，这实际上取决于您对防火墙设备的要求以及您的维护能力。

我发现 PFSense 维护起来轻而易举。设置故障转移链接、IPSec 隧道、VPN 等非常简单。所有这些在 TMG 中都复杂得多，但这是因为 TMG 与您的 Active Directory 环境紧密集成。

TMG 还可以执行基于主机的 HTTP 路由，而 PFSense 不能，因此您可以在多个内部 Web 服务器上使用一个 IP 地址，而无需特定的反向代理。

TMG 的一大优点是，您可以通过在防火墙中禁用某个人的 AD 帐户来有效地关闭其互联网访问。无需针对您的 AD 设置任何使用 RADIUS 的 Squid 身份验证，然后设置 ACL。

我想说，如果您从一张白纸开始，TMG 比 PFSense 更难学。

Question 2

正如 Mark 所说，它们是两种完全不同的产品。如果您正在寻找一款与 Active Directory 紧密集成并在该领域提供大量出色功能的代理服务器，那么 TMG 就是您的不二之选。如果您需要高级 NAT、路由、多 WAN、灵活的跨平台 VPN 选项等，那么 TMG 只能提供一些功能，甚至提供极少的功能，甚至没有功能，但 pfSense 在这些领域提供了很多功能，并且被广泛部署在这些领域。

也许是最佳选择？两者兼用。网络内部使用 TMG，边缘使用 pfSense，这样您就可以同时获得两全其美的效果。

Answer

正如 Mark 所说，它们是两种完全不同的产品。如果您正在寻找一款与 Active Directory 紧密集成并在该领域提供大量出色功能的代理服务器，那么 TMG 就是您的不二之选。如果您需要高级 NAT、路由、多 WAN、灵活的跨平台 VPN 选项等，那么 TMG 只能提供一些功能，甚至提供极少的功能，甚至没有功能，但 pfSense 在这些领域提供了很多功能，并且被广泛部署在这些领域。

也许是最佳选择？两者兼用。网络内部使用 TMG，边缘使用 pfSense，这样您就可以同时获得两全其美的效果。

Question 3

正如 Mark 和 Chris 所说，这些产品之间的差异太大，无法相互比较，现在，我将比较 TMG SP1 + Software update 1 与测试版pfSense 2 版本。

pfSense 是一款出色的防火墙，具有许多出色且先进的功能，与 TMG 相比，其硬件要求极低。它是免费的，更新速度很快。它易于使用，并且对您的设置反应非常迅速。

pfSence 似乎可以处理大量的阻止规则快点比 TMG 更快，您可以注意到防火墙两端的流量（数据包处理后），您还会注意到 pfSense 上的 GUI 响应非常快，而 TMG 非常慢。尚未尝试进行此测试的负载平衡。

就稳定性和可靠性而言，pfSense 似乎毫无胜算。我们进行了压力测试，设置了 10 台机器，每台机器有 8 个 torrent，外加 2 个 ftp 服务器和一个 SharePoint 场，其中有 2 个节点，位于防火墙后面，通过 1 Gbit 光纤连接到互联网。此外，我们还有 6 台其他机器通过单独的 100 Mbit 线路（不同位置，4 个不同的 ISP）连接到互联网，以干扰通过防火墙的流量。未受干扰时，通过 TMG 防火墙的流量在 60-120 MB/s（上行和下行）之间，而在所有 6 个“干扰器”的全面攻击下，吞吐速度下降到 30-70 MB/s。在攻击期间，SharePoint 服务器上的网页响应相当正常。使用 pfSense 作为防火墙进行的相同测试非常糟糕 :-( 吞吐量下降到 2-30 MB/s，并且 SharePoint 网页上的大多数点击（来自外部网络）都超时了。我们甚至将硬件更换为另一家制造商的产品，以确保它与 pfSense 和服务器没有兼容性问题，但很难说它是变好了还是变坏了。

我不认为 TMG 的功能只限于高级 NAT、路由、多 WAN 等；pfSense 提供了更多功能，但绝对不是很多更多的。

对于在内部与 Windows 客户端一起使用，TMG 提供了更多功能，尤其是与 ForeFront 系列的其他产品结合使用时。

TMG 中的报告和监控比 pfSense 好得多。

如果您真的想将 TMG 与其他防火墙进行比较，请尝试 Cisco。我喜欢 ASA 和 TMG 的组合。

如果您打算长期与 MS 合作，我建议您最大限度地利用您的合作伙伴福利！;-)

Answer