Děkuji Ondrovi Žilincovi za odkaz:
http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx
Borec pěkně vysvětluje, že sami nechrání svůj Exchange Online vůbec ničím a jsou spokojeni.
Za mě k tomu poznámka - jo, v pohodě. Do Exchange Online se přes NSA dneska už dostane prakticky kdokoliv, takže proč by to ještě chránili? :-)
A teď jsem si to celé přečetl a silně nesouhlasím:
a) load balancer je sice "packet filter", ale nedělá kontrolu "kvality paketů", což je funkce firewallu.
b) co je dobrého na firewallu, oproti obyčejnému load balanceru? No kontroluje hlavičky, signatury, aplikační firewall blokuje nežádoucí, potenciálně útočné signatury v URL, v HTTP hlavičkách apod.
c) nesouhlasím. vždycky je lepší mít více vrstev ochrany. Předřadit UAG/TMG/cokoliv před Exchange tomu vždycky přidá další úroveň. Oddělí exploity do síťového stacku OS, oddělí neověřené uživatele, zkontroluje URL paterny.
d) ano, souhlasím, že bez kompletního infrastrukturního zabezpečení Exchange a AD infrastruktury je jakákoliv aplikační brána zbytečná, ale pokud máme vnitřek v pořádku, určitě to přidává jistou úroveň jistoty. Samozřejmě, já dlouhodobě nejsem příznivcem předražených "IDS" a "super firewallů" apod. ale právě proto bylo TMG vždy velmi levným a výborným chránitelem s jiným, než Windows OS kódem.
A nakonec jen sebechvála - přesně jak jsem říkal, MS už dělá na WAP (Web Application Proxy), tedy HTTP/HTTPS reverse/forward proxy, kterou budete mít už ve Windows 2012 R2. Ta zastane přesně to, co dělá TMG dneska!