从ISA2006迁移到TMG2010的全过程详解文档(图文).doc

资源描述

目录目录 i 一、软件说明 - 1 - 二、方案测试准备 - 2 - 2.1参考文档： - 2 - 2.2测试拓扑： - 2 - 2.3硬件环境要求 - 3 - 2.4操作系统要求 - 3 - 2.5软件环境要求 - 3 - 三、方案部署步骤： - 4 - 3.1 实验环境搭建 - 4 - 3.1.1 域环境搭建 - 4 - 3.1.2 修改HOSTOS 文件指定DNS - 4 - 3.1.3 ISA2006 安装 - 5 - 3.1.4更改ISA2006防火墙模板 - 5 - 3.1.5 搭建DMZ区WEB服务器 - 6 - 3.1.6 如何配置ISA访问规则 - 6 - 3.1.7 ISA2006配置策略的导出 - 7 - 3.2 安装TMG2010 - 7 - 3.2.1安装TMG2010之前的更改 - 7 - 3.2.2开始安装TMG2010 - 8 - 3.3 配置TMG2010 - 8 - 3.3.1 策略迁移 - 8 - 3.3.2 L2TP--VPN配置 - 9 - 3.3.3增强的NAT - 15 - 3.3.3HTTP发布 - 16 - 53.3.4 URL过滤测试 - 17 - 3.3.5 内部与外网通信之间应用WEB反恶意软检查 - 21 - 3.3.6 HTTPS过滤测试 - 27 - 3.3.7 NIS检查功能测试 - 28 - 3.3.8 ISP冗余传输连接 - 28 - 3.4 TMG客户端的类型与安装 - 29 - 3.4.1客户端的类型介绍 - 29 - 3.4.2 客户端的安装 - 30 - 3.4.3身份验证 - 33 - 3.5 TMG2010的备份与恢复 - 34 - 3.5.1 阵列的备份和还原 - 34 - 3.5.2 策略的备份和还， - 34 - 四、问题与解决方案： - 35 - - 一、软件说明软件名称:TMG2010 用途：安全类功能特点：网关级防火墙。可实现HTTPS扫描、VPN、入侵防护、网络检查系统NIS、URL过滤、IPS冗余链路、增强的NAT、WEB反恶意软件等。授权类型：商业软件软件来源：安装光盘简介：在 2009年10月，微软正式发布了 Forefront TMG 的RC（发行候选）版本，这代表离 TMG 的正式发布已经不远了。作为微软三年磨一剑的产品，Forefront TMG 是具有划时代意义的企业级网络安全产品。这种意义主要体现在以下四个方面： · 企业级的整合与管理； · 架构变更与提升； · Web 反病毒与过滤； · 人性化管理与集成操作。 2010 于美国当地时间2009年11月16日正式发布。与ISA2006相比，TMG新增许多功能，具体对比如下：二、方案测试准备 2.1参考文档： 2.2测试拓扑：此网络中原来是以图中心安装ISA2006的主机为网关服务器，本次实验主要在于用TMG2010替换ISA2006充当网关防火墙，实现TMG2010中的新功能。 l 内部区域包括一台域控制器、一台域成员计算机、 l DMZ区包括一台内网的WEB服务器，要通过TMG发布到公网上 l 外部区域包括一台ISP的DNS服务器、和一台外网的WEB服务器，此服务器也充当外网的VPN客户端本测试中的计算机配置参数如下表：计算机名 IP地址网关 DNS 功能操作系统 AD-SERVER 10.11.10.2/24 10.11.10.1 10.11.10.2 DC、DNS 03 SP1 AD-CLIENT 10.11.10.6/24 10.11.10.1 219.149.194.55 测试客户端 03 SP1 ISA2006 内部10.11.10.2/24 外部172.16.18.51/24 外围10.11.10.5/24 172.16.18.150 172.16.15.51 域成员网关防火墙 03 SP1 TMG2010 内部10.11.10.2/24 外部172.16.18.51/24 外围10.11.10.5/24 172.16.18.150 172.16.15.51 域成员网关防火墙 08 R2 FTP 172.16.18.57/24 -- 公网FTP 03 SP1 VPN 172.16.18.56/24 -- 10.11.10.1 VPN客户端 08 2.3硬件环境要求 TMG服务器硬件最低要求推荐配置 CPU 双核心四核心内存 2GB 4GB 硬盘 2.5GB 更多网卡至少一个 2.4操作系统要求 TMG服务器操作系统：windows 2008 sp2 或 windows 2008 r2 ISA2006操作系统：windows 2003 sp1 以上 2.5软件环境要求软件要求： Network Policy Server Routing and Remote Access Services Active Directory Lightweight Directory Services Tools Network Load Balancing Tools Windows PowerShell Microsoft .NET Framework 3.5 SP1 Windows Web Services API Windows Update Microsoft Windows Installer 4.5 三、方案部署步骤： 3.1 实验环境搭建 3.1.1 域环境搭建（一）配置AD-SERVER的IP地址为10.11.10.2/24，DNS：10.11.10.2。（二）单击“开始”，选择“运行”，输入DCPROMO运行AD安装向导。（二）单击“下一步”进入“操作系统兼容性”界面，该界面介绍了一些对于加域中的计算机的要求。（三）单击“下一步”进入“域控制器类型”界面，在这里选择你要安装的域迭制器类型，这里我们选择“新域的域控制器”。（四）单击“下一步”进入“创建一个新域”界面，在这里选择“在新林中的域”因为此域控是第一台域控制器。（五）单击“下一步”进入“新的域名”界面，在这里输入你要创建的域名，在文本框里输入“”。（六）单击“下一步”会出现一个“NETBIOS 域名”界面，显示“域 NETBIOS名”这里确认即可。（七）单击“下一步”会出现“数据库和日志文件夹”界面，提示你选择把AD的数据库和日志文件存储的位置。（八）单击“下一步”会出现“共享的系统卷”界面，此界面让你选择SYSVOL文件的存放位置，注意SYSVOL文件夹必须放在NTFS分区上。（九）单击“下一步”会出现“DNS注册”会提示你没有DNS响应，这里我们选择第二项“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器” （十）单击“下一步”，进入“权限”界面，选择域的模式，这里选择“只与WINDOWS2000或WINDOWS SERVER 2003 操作系统兼容的权限” （十一）单击“下一步”进入“目录还原模式的管理员密码”配置界面，这里需要我们输入还原模式的密码，也可不输入跳过此项，不过建议还是设置。（十二）单击“下一步”进入“摘要”界面，这里会显示你的设置信息，这里无须更改。（十三）单击“下一步”进入安装界面，待安装完成后会进行重启。 3.1.2 修改HOSTOS 文件指定DNS 本次测试中所有需要域名解析的都采用修改HOSTS文件的方式来完成。举例，外网计算机（实验环境中）要访问从ISA发布出来的网站，由有没有DNS进行相应的解析所以无法通过域名访问，这里就需要通过更改HOSTS文件达到实验中的效果。在要访问网站的计算机上打开“我的电脑”，进入C盘，依次打开如下路径：windows/system32/dervice/etc/，在ETC文件夹下找到HOSTS文件。用计事本打开HOSTS文件，在文件中添加如下记录（根据实验环境而定的）： 172.16.18.51 然后保存。然后在运行中输入“cmd”然后PING 成功指向172.16.18.51地址。 3.1.3 ISA2006 安装（一）首先放入ISA2006的安装光盘，双击运行。选择“安装ISA2006”。（二）弹出欢迎界面，这里单击“下一步”。（三）进行“许可协议”界面，这里选择“我接受许可协议中的条款”，单击“下一步” （四）进入客户信息界面，这里需要我们输入：用户名、单位、产品序列号。输入后，点击“下一步”。（五）这里要求我们选择安装类型，默认使用“典型”即可。单击“下一步”。（六）这里要我们指定内部网络的范围，点击“添加”，弹出“地址”标题框，这里我们选择“添加范围”，然后输入内网的IP范围，确定即可。单击“下一步” （七）进入“防火墙客户端连接”界面，这里要求ISA防火墙与ISA客户端之间的通信进行加密，所以不进行勾选。单击“下一步”。（八）这时会出现“服务警告”界面，提示你安装ISA的过程中，哪些服务会重启或被禁用。单击“下一步” （九）这时会有提示，你可以再进行相应的配置更改，如无需更改，继续点击“安装”进入安装界面。安装完成后会有提示。（十）安装完成后进行测试，用内网计算机PING网关IP，发现无法PING通，PING外网计算机也无法PING通，这说明ISA防火墙策略己经生效，因为ISA防火墙默认添加一条规则，禁止“从所有网络”到“所有网络” 3.1.4更改ISA2006防火墙模板（一）单击“开始”—“程序”—“Microsoft ISA server”—“ISA服务器管理”，打开ISA防火墙。（二）打开左侧“配置”菜单栏，选择网络，然后在右侧选择“模板”栏，选择“3向外围网络”，进入“网络模板”向导。单击“下一步” （三）这时会提示你要更改网络配置会覆盖原来的配置，请你保存原有的配置，如果需要保存的话选择“导出”进行保存。（四）单击“下一步”这里需要你输入内网IP地址范围，单击“下一步”这里需要你输入外围网络IP地址范围。（五）单击“下一步”这里会让你选择一个系统自带的防火墙策略，也可以选择“无限制的访问”，以后再根据需要进行更改。（六）单击“下一步”会生成你的配置信息，确认无误后。点击“完成”。最后单击“应用”实现配置。配置完成后会覆盖所有原来的策略！！ 3.1.5 搭建DMZ区WEB服务器（一）在DMZ-WEB主机上点击“开始”—“控制面板”—“添加或删除程序”。（二）点击左侧“添加/删除WINDOWS组件”。勾选“应用程序服务”，然后点击“下一步”进行安装。（三）安装完，依次点击“开始”－“所有程序”－“管理工具”，选中“Internet 信息服务”。在弹出的“IIS管理器”中依次展开“本地主机”－“网站”右键“网站”选择“新建网站”，点击“下一步”。输入对网站的描述然后点击“下一步”。在“网站的IP地址”中选择本地的IP地址，“网站TCP端口”选择默认的80即可，“此网站的主机头”填写WWW.TEST.COM，然后点击下一步。这里选择事先准备好的存放网站的目录，点击“下一步”。在这里勾选“读取”和“浏览”即可，点击“下一步”，然后点击“完成”。（四）停止“默认网站”。 3.1.6 如何配置ISA访问规则（一）右键点击“防火墙策略”—“新建”—“访问规则”。（二）输入此规则的名称，点击“下一步”。（三）在这里选择“允许”或是“拒绝”。（四）根据你的需要选择允许通过的协议。单击“下一步”。（五）在这里选择通讯的来源，可以是某个计算机、某段IP地址、内部或是外围等。（六）在接下来的界面里选择目的通讯地址，可选内容同上（七）选择此规则应用的用户。单击“下一步”。（八）这时会生成规则配置信息。确认无误后点击“完成”。再单击“应用”完成配置。配置访问规则：内网和本地主机访问外网（一）在“防火墙策略”上右键，选择“新建”—“访问规则” （二）规则如下：名称：允许访问外网；动作：允许；协议：所有出栈通讯；源：内部、本地主机；目地：外部用户：所有用户。配置访问规则：允许远程桌面到ISA （一）右键“防火墙策略”—“所有任务”—“系统策略”—“编辑系统策略”。（二）在左侧“远程管理”文件夹中选择“mircrosoft 管理控制台”，单击“从”选项卡，单击“远程管理计算机”选择“编辑”然后单击“添加”输入ISA服务器外网卡的IP地址，然后确定退出。（三）规则如下：名称：允许外网远程到ISA；动作：允许；协议：RDP终端服务；源：外网；目地：远程管理计算机用户：所有用户。 3.1.7 ISA2006配置策略的导出（一）打开ISA2006管理工具，在ISA2006中，右击ISA2006-SERVER计算机名，选择“导出”。（二）在“导出首选项”中，选择“导出机密信息”与“导出用户权限设置”，并且设置保护密码。点击“下一步”。（三）指定导出的文件位置，点击“下一步”，然后点击“完成”。（四）用同样的方法导出“防火墙策略”和“虚拟专用网策略”。 3.2 安装TMG2010 3.2.1安装TMG2010之前的更改（一）先通过共享的方式，把在ISA2006-SERVER计算机上的ISA2006配置策略备份拷贝到AD-SERVER计算机中。然后把ISA2006-SERVER计算机关闭。（二）配置TMG2010计算机的IP地址与ISA2006完全相同。把TMG2010加入到域中。 3.2.2开始安装TMG2010 （一）使用域管理员账号登陆到TMG2010计算机上。（二）放入安装光盘，自动运行。点击“运行准备工具”，单击“下一步”，同意许可协议，点击“下一步”。选择要安装的类型，因为只有一强TMG服务器，所以选择“FOREFRONT TMG 服务和管理”点击“下一步”这时候会进入检查阶段，主要检查计算机上是否安装了要求的软件，如果没有这里会自动安装该软件。安装完成后默认选择进入“启动FOREFRONT TMG安装向导”。（三）点击“下一步”然后接受协议许可，点击“下一步”。，这里要求输入客户信息和产品序列号，点击“下一步”。这里选择TMG的安装路径（TMG只可安装在NTFS分区上）然后点击“下一步”。这里要求我们输入内网的IP范围，根据实验环境这里输入“10.11.10.0-10.11.10.100”确定，。然后点击“下一步”。这时候会提示你安装的过程中有哪些服务会进行重启，单击“下一步”—“安装”。安装完成后点击“完成”即可 3.3 配置TMG2010 3.3.1 策略迁移（一）通过共享把AD-SERVER中保存的ISA2006配置策略拷贝到TMG2010计算机上。（二）点击“开始”—“程序”—“FOREFRONT TMG”—“FOREFRONT管理”。关闭配弹出的配置向导。（三）右键TMG2010计算机名称，选择“导入”，点击“浏览”找到拷贝的服务器策略，点击“下一步”此时会提示，你导入的是早期版本的TMG配置，单击“确定”即可。（四）键入密码，这是在导出ISA Server 2006时所设置的。点击“下一步”，然后点击“完成”。导入完成后会出现如下信息：策略导入完成后点击“应用”。如果没有VPN配置，则不用重新启动计算机，当前导入的设置会立刻生效。（五）然后再依次用相同的方法导入相应的“VPN策略”、“防火墙策略”。 3.3.2 L2TP--VPN配置 L2TP-VPN之预共享密钥方式验证这种模式下的VPN，只要在VPN服务器和VPN客户端上都设置一个事先约定好的密码做为身份标识。（一）首先在域控制器AD-SERVER上建立一个允许拨入的账号。具体操作：单击“开始”—“程序”—“管理工具”—“Active Driectory用户和计算机”启动AD用户和计算机管理界面。在“Users”文件夹上右键选择“新建”—“用户”这里以小涛为例，输入相应的信息。在建立完成用户后，双击该用户。在弹出的“属性”中选择“拨入”选项卡。选中“允许访问”确定选择。（二）配置拨入用记完成后，需要在VPN服务器上也就是TMG防火墙上进行相应的配置，在TMG的左侧选中“选程访问策略”，然后在右侧的任务中选择“配置VPN客户端访问”在“常规”先项卡中勾选“启用VPN客户端访问”，在“允许最大VPN客记端数量”输入100.选择“组”选项卡，单击“添加”在“查找位置”中选中域“”确定。然后点击“高级”—“立即查找”，选中“domain users”因为创建的账户属于普通的域用户组，然后确定。在“协议”选项卡中选择“启用L2TP/IPSEC”然后点击“确定”—“应用”完成配置。选中“定义地址分配”—“添加”在这里输入一段IP地址为拨入的VPN用户分配，服务器选择本机。在“身份验证”选项卡中勾选“允许L2TP连接自定义IPSEC策略”在“预共享密钥”中输入密钥：chinabap。然后点击确定，完成VPN服务器的配置。（三）在要进行VPN拨入的计算机上建立一个VPN连接。然后设置该VPN连接的属性。在“常规”选项卡中输入你要连接到的目地地址。在“网络”选项卡选择“L2TP IPSEC VPN”在“安全”选项卡点击“IPSEC设置”勾选“使用预共享的密钥作身份验证”在文本框中输入chinabap，然后一路确定退出。（四）开始进行拨入测试，用建立的用户和密码进行拨测。拨入成功后会在桌面的右下角出现一个小电脑图标，详细信息如下： L2TP-VPN之证书验证（一）在ad-server上搭建独立根CA证书服务。点击“开始”—“控制面板”—“添加或删除程序”，点击“添加删除windows 组件”先勾选中“应用程序服务器”点击“详细信息”，选中ASP.NET、internet信息服务、启用网络com+访问、应用程序服务控制台。然后点击“确定”—“完成”。开始进行安装IIS。（二）IIS安装完成后再勾选“证书服务”点击“下一步”，选择“独立根CA”，输入此CA的公用名称“ad-”,然后点击“下一步”进行安装，其间会停止IIS服务一次。（三）在ad-server计算机上运行certsrv.msc运行证书颁发程序，在证书服务器上右键选择“属性”，在“策略模块”选项卡上点击“属性”，选择第二项“如查可以的话，按照证书模板中的设置”。然后确定。之后需要重启证书服务生效。（四）在tmg-server计算机上把10.11.10.2添加到信任站点中，并把本地INTERANET的安全级别调到低。并在TMG上创建一个规则允许所有出站协议从本地主机到内部。（五）在tmg-server计算机上打开IE，在地址栏里输入http://10.11.10.2/certsrv，单击“下载CA证书、证书链或CRL”，再点击“下载CA证书”把证书保存到本地。（六）单击“开始—运行”输入MMC，在控制台里点击“文件”选择“添加/删除管理单元” 在左证选择“证书”添加当前用户和本地计算机。点击完成。（七）在上图中展开“证书（本地计算机）”，导入刚才下载下来的证书（八）如上一样，打开IE，输入http://10.11.10.2/certsrt ，选择“申请证书”—“高级证书申请”—“创建并向此CA提交一个申请”，按如下填写，注意姓名要填计算机的名字。（九）然后点击“提交”。因为设置了自动颁发，这里会直接弹出让你安装此证书。单击“安装”即可，此时该证书安装到了用户个人存储中，我们必须要再次打开刚才的MMC证书控制台，把个人用户里的这个证书带私钥导出，然后再导入到计算机个人存储有里。（十）如上图导出证书和私钥，按提示进行即可，其间需要输入保护密码。（十一）导出之后再把证书导入到本地计算机如下图（十二）在客户端上申请CA证书，方如上tmg-server过程一样，需要注意的是以下几个画圈的地方，客户端申请的时候下边要选择“客户端身份验证证书”密钥要勾选可以导出。客户端要申请证书可通过以下几个方式： 1. 先在TMG上设置PPTP-VPN，远程客户拨入再申请； 2. 客户端先申请证书之后再离开所在内网。（十三）在tmg-server上打开TMG管理控制台，选择“远程访问策略VPN”在右侧任务中选择“配置VPN客户端”，在协议选项卡上选择“启用L2TP/IPsec”，然后确定应用。客户端上选反VPN属性，在“网络”选项卡里找到VPN类型，选择“L2TP IPSEC VPN”，然后确定。拨入之后查看VPN详细信息如下如果证书有错误会出现835，没有证书会出现781、800连接不上 3.3.3增强的NAT 在更设置NAT之前，内部客户端反问外网都会NAT转换成默认的IP地址“172.16.18.51” （一）点击“防火墙策略”在右侧选择“工具”选项卡，点击“新建”—“计算机”。这里输入名称“CLIENT”，计算机IP地址用内部的测试客户端的IP“10.11.10.6”点击确定。（二）在右侧选中“网络”，点击中间的“网络规则”选项卡，在右侧的“任务”选项卡中选择“新建规则”。（三）输入规则的名称“client->ftp”点击“下一步”；在来源中添加刚才创建的CLIENT计算机，点击“下一步”；在目标通讯中添加“外部”，点击“下一步”；在网络关系中选择“网络地址转换NAT”，点击“下一步”；在NAT地址中选择“使用指定的IP地址”，在下拉框中选中“172.16.18.56”，点击“下一步”—“完成”。在CLIENT计算机上用FTP连接到站点，在FTP服务器上显示的IP为“172.16.18.56” 。 3.3.3HTTP发布（一）找开“FOREFRONT TMG管理”点击“防火墙策略”，在右侧任务栏上点击“发布WEB”。（二）输入WEB发布规则名称：DMZ’WEB，点击“下一步”。（三）在符合规则条件时要执行的操作中选择“允许”，点击“下一步”。（四）发布类型选择“发布单个网站或负载平衡器”。点击“下一步”。（五）服务器连接安全中选择“使用不安全的连接发布的WEB服务器或服务器场”因为这里要发布HTTP。点击“下一步”。（六）“内部站点名称”这里输入你内问想要访问使用的名称。在“使用计算机名或IP地址连接到发布的服务器”输入要发布的WEB服务器的IP地址，这里输入“10.12.10.2”。点击“下一步”。（七）在“路径”输入“/*”发布所有，点击“下一步”。（八）在“公用名称”输入“”点击“下一步”。（九）这里要求选择一个WEB侦听器，之前没有创建，这里新建一个。点击“新建”，输入侦听器的名称，这里输入“WEB-80”，点击“下一步”。选择“不需要与客户端建立SSL安全连接”，点击“下一步”。在“侦听这些网络上的传入WEB请求”中选择“外部”，点击“下一步”。选择“没有身份验证”，点击“下一步”—“下一步”—“完成”。然后选中此侦听器，点击“下一步”。（十）选择“无委派，客户端无法直接进行身份验证”，点击“下一步”。（十一）这里选择“所有用户”，点击“下一步”—“完成”。然后点击应用。发布成功之后在外网计算机上访问WEB页测试，可以正常访问，如下：内部计算机访问成功。显示如上。 53.3.4 URL过滤测试在微软内部，具有一个安全服务，叫做 Microsoft reputation services，这个 MRS 服务实际上是一个整合了来自大量合作伙伴所提供数据的数据库。在这个数据库中存放的数据就是全球Web 站点的相关类别及安全评估信息，例如某个 URL 地址是否是一个恶意站点，以及这个 URL 地址的类别是新闻站点、体育站点还是娱乐站点之类的信息。在 TMG 中，就可以基于 MRS 数据库的分类，对用户的访问行为进行控制。在TMG中包括了91个URL地址类别，你可以根据需要的类别来阻止或允许用户访问。那么下面来简单介绍一下URL筛选的各个选项。在阵列中选中“WEB访问策略”在右侧的任务中选择“配置URL筛选”，首先来看一下“常规”选项卡中的内容，主要就是确定是否开启URL筛选的功能。在“类别查询”选项卡中你可以尝试输入一个网址，查看一下把它归为了URL筛选的哪类里面，像我们经常上的人人网会被归类到 “博客/wiki”类别中。当然再精密的部署也是可能有疏忽遗漏的地方，就像URL的分类一样，还是会有少数网站因为分类的不正确而没有及时的阻止而导致没有被访问规则禁止。这时我们就可以根据我们所知道的，为这些URL重新进行分类。在“URL类别替代”中我们可以进行更改，我们可以根据实际情况进行添加，改变该URL所在的URL类别，从而达到有效的阻止。在“许可详细信息”查看对改功能的许可时间，因为这里用的是测试版，所有时间有限。那么现在就来开始配置URL过滤：（一）在阵列中选中“tmg-server”—“WEB访问策略”，在右侧的任务栏中选择“配置WEB访问策略”。（二）点击“下一步”进入web访问策略规则，选择“是”，点击“下一步” （三）在“阻止的WEB目标”中选择你要阻止的URL类别，默认TMG会添加一些我们通常禁止的URL类别，我们也可以根据需要进行添加和删除，还可以添加自己创建的URL类别集。这里多添加一个“博客/wiki”的类别用于测试。点击“下一步”。（四）在“阻止的WEB目标例外”中可以添加哪些用户不受此规则的限制。这里不进行选择。点击“下一步”。（五）在“恶意软件检查设置”中选择是否对该规则应用恶意软件检查。这里选择是。点击“下一步”。（六）对于“HTTPS检查设置”这里先不进行设置。选择“不检查HTTPS通讯”，点击“下一步”。（七）在“WEB缓存配置”中勾选“启用默认WEB缓存规则”，选中一个磁盘，在改磁盘上占用一部分空间来存放缓存文件。这里选择C盘。分给1024MB的空间。然后点击“下一步”—“完成” （八）规则建立后把该规则置于最上方，然后应用。接下来访问人人网进行测试，结果如下：我们还可以更改解释信息。在策略上右键选择属性，在“操作”选项卡中的“向用户显示拒绝通知”的文本框中输入要显示的信息。更改后如下： 3.3.5 内部与外网通信之间应用WEB反恶意软检查右键“WEB访问策略”—“配置”—“恶意软件检查”进行配置。 “常规”选项卡中勾选“启用恶意软件检查”来开启全局功能，一定要注意勾选“直到下载完毕，才允许相关规则中的通讯”，否则策略将不生效。 “目标例外”选项卡中定义了哪些域名的访问是可以不用进行恶意软件的检查，像微软自己的网站域然*。我们也可以在这里添加我们信任的域名。在“源例外”的选项卡中，我们可以添加来源于哪些位置的请求是可以不进行恶意软件的检查的在“检查设置”选项卡里，我们可以根据需要阻止。 l 尝试清除已被感染的文件：默认为启用； l 阻止具有低和中等级别严重性的威胁：默认未启用。TMG 反病毒扫描引擎会对非法软件具有严重性的定义，默认情况下只会拒绝具有针对高严重性威胁的访问请求，而针对低或者中等级别严重性威胁的访问请求则会允许； l 阻止可疑的文件：默认为启用； l 阻止已损坏的文件：默认未启用； l 阻止不能被扫描的文件：默认未启用； l 阻止加密的文件：默认启用，此时，如果访问请求为加密压缩文件，则会被TMG直接拒绝掉；阻止扫描时间超过以下时间的文件，默认为300秒：如果针对一个完整文件的扫描时间超过300秒，则会拒绝访问该文件；在配置该选项时需要注意，在下载较大文件（例如超过2 GB的文件）时，可能会遇到这个限制； l 阻止超过以下嵌套压缩层数的压缩文件，默认为20层。如果一个压缩包的嵌套压缩层数超过20层，则会被TMG 拒绝访问； l 阻止超过以下文件大小的文件，默认为1000 MB：如果一个文件大小超过1000 MB，则会被TMG 拒绝访问； l 阻止解压后文件超过以下大小的压缩包，默认为4095 MB：如果一个压缩包解压之后的大小超过4095 MB，则会被TMG拒绝访问。 “定义更新”的选项卡里定义了关于升级的一些配置，包括生级的方式（是自动还是不安装），更新的频率。以及什么情况下发出警报。在“内容传输”选项卡中在内容传输标签，可以定义针对被扫描文件的传输方式。HTTP 非法软件扫描的工作原理是当用户通过 TMG 访问请求某个 Web 服务器上的文件时， TMG 首先模拟用户的访问请求，从目的 Web 服务器上获得用户访问请求的文件，然后再进行非法软件扫描，扫描完成之后再发送给用户。通常情况下，只有当访问请求的文件完整下载之后，才能进行完整的反病毒扫描。在 TMG 从 Web 服务器上下载文件时，如何同时保持TMG 和用户之间的访问请求连接就成了另外一个需要关注的地方。在 TMG 中，为了保证和用户之间的访问请求连接不会被超时断开，具有以下三中内容传输方式： l 标准传输（Standard trickling）：在这种传输方式下，当 TMG 从 Web 服务器上下载文件的同时，将会把已通过扫描检查的部分以较低的速率发送给用户，从而保持用户端和 TMG 之间的连接。当 TMG 下载文件并完成扫描之后，将会以较大的速率将文件发送给用户； l 快速传输（Fast trickling）：对于特定的HTTP传输场景，例如通过HTTP播放视频（.flv），则标准传输方式的低初始速率会导致视频不能正常播放。而快速传输则用户解决这个问题，和标准传输不同，快速传输以和 TMG 下载相同的速度，将已通过扫描检查的部分以发送给用户； l 下载进度通知（Progress Notification）：当用户请求某个文件时，在TMG完成下载与扫描检查之前，给用户返回一个基于HTML页面的下载进度通知，等TMG完成下载与扫描检查后，再提示用户进行文件的下载。默认情况下，针对非法软件扫描的内容，TMG默认使用标准传输方式进行传输；但是针对特定的内容类型和扩展名，分别启用了下载进度通知和快速传输，如下图所示：下面我们设置一下对访问外网的时候进行恶意软件检测 “存储”选项中，可以更改下载到TMG之后的文件存放的位置。默认是存放在C盘下名为TEMP的文件夹里。如果用户所在的环境下载量比量大，那么建议为此处分配一个比较大的磁盘。（一）首先，开启恶意软件检测的功能。全局功能设置“内容传输”如下图：（二）新建一条访问规则为可以从内部和本地主机访问外网，具体如下：规则名称：无限制的外网访问操作：允许协议：所有出栈协议恶意软件检查：对该规则启用恶意软件检查，选择自义定规则—阻止大于5M的文件源：本地主机、内部、VPN客户端目地：外部（三）然后双击该规则，可根据需要对规则进行修改，该规则会部分覆盖全局策略。（四）设置完成后应用规则。打开迅雷网站，下载迅雷软件（软件大小大于5M），结果如下：此功能如果不禁止下载软件将达不到效果。 3.3.6 HTTPS过滤测试（一）在TMG阵列中选择“web访问策略”，点击“https 检查：以禁用”会弹出HTTPS检查的配置界面。在“目标例外”中可以填写哪些HTTPS的连接是不需要检查的。“源例外”中填写内部哪些计算机是不受HTTPS检查的。“客户端通知”中如果勾选通知，那么装有TMG客户端的计算机上访问HTTPS会弹出提示，无客户端的计算机不会显示。（二）勾选“启用https检查”来进行启用。（三）如果你的企业中有证书服务器，可以给TMG颁发相应的证书。如果没有可以使用TMG生成证书。选择“使用TMG生成证书”点击“生成”。然后对证书做相就的描述、过期时间设定。然后点击“立即生成证书”，将生成的证书安装到“受信任的根证书颁发机构”按向导进行即可（四）安装完成证书后，点击“https 检查受信任根CA证书选项”。证书的部署方法有两种。如果是在域中可以使用AD+域管理员账号自动进行安装；如果是在工作组中，那么只有导出证书，在每一台计算机中安装此证书（非域环境下不推荐开启HTTPS功能）。这里使用AD自动进行的方式，输入域管理员的用户名和密码后会自动安装在客户端计算机上。（五）点击确定完成TMG端配置并应用。 3.3.7 NIS检查功能测试（一）在FOREFRONT TMG管理控制台中点击服务器，在右侧“任务”选项卡中单击“启动入门向导”，再点击“定义部署选项”。（二）在“microsoft update设置”选择“使用Microsoft upcdate 服务检查更新”，点击“下一步”。（三）在“许可证”一栏选中“激活补充许可证并启用NIS”：在许可证书中输入“激活评估许可证并启用WEB保护”（因为这里是评估测试，正常使用—激活已购买许可并启用WEB保护，并在密钥中输入购买的密钥）。点击“下一步”。（四）在选择自动定义更新操作选择“检查并安装定义”；自动轮询频率“15分钟”：如果在此天数后没有安装更新触发警报“45天”；为新签名选择响应策略“microsoft默认策略”。点击“下一步”。（五）下面会有一个用户反馈界面，这里可以不参与，都选择“否”即可，点击“完成”。（六）在管理控制台中点击“入侵防御系统”，在右侧选中“配置属性”。“常规”选项卡中勾选“启用”；“例外”中默认把微软的站点添加到这里；“定义更新”这里有个版本控制，在这里勾选“选择要激活的NIS签名集”选择最新签名，点击“激活”；“协议异常策略”中一般勾选“允许”。然后点击“确定”，选择“应用” 3.3.8 ISP冗余传输连接 3.4 TMG客户端的类型与安装 3.4.1客户端的类型介绍功能 SecureNAT 客户端防火墙客户端 Web 代理客户端要求安装要求更改某些网络配置是不，要求 Web 浏览器配置操作系统支持任何支持传输控制协议/Internet 协议 (TCP/IP) 的操作系统仅 Windows 平台所有平台，但采用 Web 应用程序的形式协议支持要求有用于多种连接协议的应用程序筛选器所有 Winsock 应用程序超文本传输协议 (HTTP)、安全 HTTP (HTTPS)、

展开阅读全文