Thinking about Forefront TMG.

Небольшая заметка для себя о том чем заменить TMG (Microsoft Forefront Threat Management Gateway). Нашел неплохой тред на эту тему. Получается так, что в любом случае нужно смотреть в сторону Cisco ASA.

Installation and Setup Guide for the Active Directory Agent, Release 1.0 > Overview of the Active Directory Agent
ASA: IDFW (Identity Firewall) Step by Step configuration
ASA URL filtering without a Websense or N2H2/Smartfilter server
ASA/PIX 7.2: Block Certain Websites (URLs) Using Regular Expressions with MPF Configuration Examples

Если фильтация слишком громоздкая (и при это сжирает CPU), то смотрим в торону альтернативных вариантов WebSense:
pfSense+Squid+Dansguardian with Active Directory (NTLM) Single Sign On
• Как вариант можно тоже самое только на числом Linux, без костыля в виде pfSense.

По поводу удаленных пользователей, которые раньше из Windows без како-го либо клиента подключалить к TMG: PPTP сервер на ASA не поддерживается (раньше был, сейчас только проздачный проброс), но есть L2TP c IPSec, что есть в Windows клиенте по умолчанию. Или как вариант, приземлять на другом Windows сервере или Cisco IOS + виндовый RADIUS сервер, что вполне возможно.
L2TP/IPSec with Windows 8/7 and Cisco ASA 8.x/9.x
Cisco ASA IOS 8.4 and the art of a native Windows 7 L2TP/IPSec VPN
Configuring L2TP over IPSec
intercept-dhcp

Admin area