Una de las características más novedosas de Microsoft Forefront Threat Management Gateway 2010 es su Servicio de Inspección de Red
[NIS - Network Inspection Service] pensado para detectar amenazas cuando pasan el firewall. Este servicio NIS permite reconocer, mediante la firma de vulnerabilidades y exploits, amenazas asociadas a ciertos protocolos. El funcionamiento de GAPA, como se explica en el
artículo dedicado a Forefront TMG Web Protection Service se basa en ser capaz de reconocer el tráfico de un determinado protocolo y detectar en él las amenazas.
En la actualidad, la tecnología GAPA incluida en el Servicio NIS de Microsoft Forefront Threat Management Gateway TMG 2010 es capaz de reconocer los siguientes protocolos:
| HTTP | DNS |
| SMB | SMB2 |
| NetBios | MSRPC |
| SMTP | POP3 |
| IMAP | MIME |
Para todos ellos, el equipo de Microsoft crea firmas asociadas a vulnerabilidades, exploits y ataques conocidos que se actualizan mediante Microsoft Update. Dentro de Microsoft Forefront TMG pueden verse las firmas con las que ha sido cargado el Firewall y, para cada una de ellas, la información asociada.
Figura 1: Vulnerabilidad firmada con GAPA
Dentro de cada una de las vulnerabilidades disponibles, es posible acceder a toda la información de dicha vulnerabilidad a través del link mostrado, que lleva, directamente al Malware Center de Microsoft.
Figura 2: Información asociada a la vulnerabilidad
Como se puede apreciar, todas las firmas, en caso de que provoquen alguna anomalía con el funcionamiento normal de la empresa, puede ser cambiado su comportamiento.
Para entender mejor el funcionamiento de los servicios NIS, se recomienda leer [en inglés] la
"Guía de Configuración, Monitorización y Solución de problemas del Servicio NIS de Microsoft Forefront TMG 2010"