Forefront TMG 2010防火墻配置與管理指南

目  錄
第1章  Forefront TMG 2010功能概述 1
1.1  Forefront TMG 2010主要功能 1
1.2  Forefront TMG版本 2
1.3  Forefront TMG系統(tǒng)需求 4
1.4  Forefront TMG的防火墻類別與多網(wǎng)絡(luò)支持 4
1.5  與VPN的集成 5
1.6  多功能代理服務(wù)器與協(xié)議組管理 5
1.7  惡意軟件檢查 6
1.8  雙線ISP冗余功能 7
1.9  網(wǎng)絡(luò)入侵保護(hù)系統(tǒng) 8
1.10  Forefront TMG企業(yè)版的特點 9
第2章  快速入門——Forefront TMG 2010標(biāo)準(zhǔn)版的安裝 11
2.1  準(zhǔn)備實驗環(huán)境 11
2.1.1  創(chuàng)建Windows Server 2008 R2的虛擬機 12
2.1.2  在虛擬機中安裝Windows Server 2008 R2 14
2.1.3  Windows Server 2008 R2的基本配置 17
2.1.4  為虛擬機創(chuàng)建快照 20
2.1.5  創(chuàng)建Forefront TMG實驗虛擬機 20
2.2  安裝Forefront TMG標(biāo)準(zhǔn)版 22
2.2.1  Forefront TMG安裝前的規(guī)劃 23
2.2.2  安裝Forefront TMG 26
2.3  Forefront TMG入門向?qū)?29
2.3.1  網(wǎng)絡(luò)設(shè)置向?qū)?29
2.3.2  系統(tǒng)設(shè)置向?qū)?31
2.3.3  部署選項 32
2.3.4  Web訪問向?qū)?33
2.3.5  Forefront TMG管理控制臺與儀表板功能 35
2.4  Forefront TMG的監(jiān)視功能 37
2.4.1  警報 37
2.4.2  會話 37
2.4.3  連接性驗證程序 39
2.4.4  服務(wù) 42
2.4.5  配置 43
第3章  安全訪問Internet——Forefront TMG代理服務(wù)器配置 44
3.1  Forefront TMG和網(wǎng)絡(luò)基礎(chǔ)知識 44
3.1.1  了解Forefront TMG所處的網(wǎng)絡(luò)位置 44
3.1.2  網(wǎng)絡(luò)基礎(chǔ)知識 47
3.1.3  通過電話系統(tǒng)理解路由、NAT、NAPT的概念 48
3.1.4  網(wǎng)絡(luò)服務(wù)與TCP/IP端口 50
3.1.5  代理與轉(zhuǎn)換 52
3.1.6  端口映射與端口轉(zhuǎn)發(fā) 52
3.1.7  理解Forefront TMG中的網(wǎng)絡(luò) 53
3.1.8  理解Forefront TMG的網(wǎng)絡(luò)規(guī)則 54
3.1.9  理解Forefront TMG的客戶端 55
3.2  安全連接Internet——讓Forefront TMG作為企業(yè)中的代理服務(wù)器 56
3.2.1  配置實驗環(huán)境 56
3.2.2  檢測Forefront TMG默認(rèn)策略 58
3.2.3  設(shè)置內(nèi)網(wǎng)ping通網(wǎng)關(guān) 59
3.2.4  設(shè)置內(nèi)網(wǎng)訪問Internet 62
3.2.5  Forefront TMG的時間對象 63
3.2.6  定義不受限制用戶 70
3.2.7  禁止訪問某些網(wǎng)站 73
3.2.8  針對基于 Web 的威脅啟用保護(hù)技術(shù) 75
3.3  惡意軟件檢查功能 81
3.3.1  啟用全局惡意軟件檢查 81
3.3.2  在 Web 訪問規(guī)則中啟用惡意軟件檢查 82
3.3.3  使用新建訪問規(guī)則向?qū)⒂脨阂廛浖z查 82
3.3.4  在現(xiàn)有規(guī)則中啟用惡意軟件檢查 82
3.3.5  配置全局惡意軟件檢查選項 83
3.3.6  定義惡意軟件檢查例外 84
3.3.7  配置惡意軟件檢查內(nèi)容傳遞 85
3.3.8  配置惡意軟件定義更新 87
3.3.9  配置惡意軟件檢查存儲位置 87
3.3.10  驗證惡意軟件檢查更新機制是否正常工作 88
3.3.11  通過 Web 代理鏈配置惡意軟件檢查 89
3.4  配置HTTP篩選 90
3.4.1  配置訪問規(guī)則進(jìn)行HTTP篩選 91
3.4.2  配置HTTP方法 92
3.4.3  配置HTTP擴展名阻止 93
3.4.4  配置頭阻止 93
3.4.5  配置阻止簽名 94
3.4.6  確定簽名的方法 95
3.4.7  配置FTP協(xié)議策略 98
3.5  啟用緩存高效訪問Internet 98
3.5.1  緩存概述 98
3.5.2  在Forefront TMG中啟用緩存 99
3.5.3  配置緩存規(guī)則 101
3.5.4  配置內(nèi)容下載作業(yè) 104
3.6  Forefront TMG的ISP冗余功能 105
3.6.1  Forefront TMG的雙ISP功能概述 106
3.6.2  在Forefront TMG中啟用ISP冗余 106
3.6.3  禁用ISP冗余功能 110
3.7  Forefront TMG部署與使用注意事項 111
第4章  發(fā)布服務(wù)器到Internet—— Forefront TMG防火墻配置 115
4.1  發(fā)布Web服務(wù)器到Internet 115
4.1.1  從SecureNAT客戶端訪問發(fā)布內(nèi)部服務(wù)器的注意事項 115
4.1.2  發(fā)布服務(wù)器到Internet的示意拓?fù)鋱D 116
4.1.3  實驗環(huán)境準(zhǔn)備 117
4.1.4  為發(fā)布網(wǎng)站創(chuàng)建Web偵聽器 120
4.1.5  發(fā)布www.msft.com到Internet 122
4.1.6  發(fā)布其他網(wǎng)站到Internet 126
4.1.7  通過復(fù)制規(guī)則的方法發(fā)布其他Web服務(wù)器 127
4.1.8  發(fā)布非80端口網(wǎng)站到Internet 128
4.1.9  為相同或相關(guān)的策略創(chuàng)建策略組 131
4.2  發(fā)布多個終端服務(wù)器到Internet 132
4.2.1  發(fā)布Forefront TMG本身的終端服務(wù)器 133
4.2.2  使用其他端口發(fā)布終端服務(wù)器 135
4.2.3  復(fù)制規(guī)劃并修改適合于其他終端的服務(wù)器 136
4.3  發(fā)布多個FTP服務(wù)器到Internet 137
4.3.1  FTP的PASV與PORT模式概述 138
4.3.2  使用防火墻發(fā)布FTP服務(wù)器 139
4.4  發(fā)布郵件服務(wù)器到Internet 150
4.5  發(fā)布使用證書加密的網(wǎng)站 154
4.5.1  HTTPS概述 154
4.5.2  安裝獨立證書服務(wù)器 155
4.5.3  為www.msft.com網(wǎng)站申請服務(wù)器證書 157
4.5.4  信任證書頒發(fā)機構(gòu)及申請用戶證書 163
4.5.5  將用戶證書導(dǎo)入到計算機存儲中 167
4.5.6  發(fā)布HTTPS網(wǎng)站 171
4.5.7  在客戶端驗證 175
4.5.8  設(shè)置客戶端必須有證書才能訪問網(wǎng)站 175
4.6  發(fā)布其他服務(wù)器到Internet 178
4.6.1  發(fā)布SharePoint服務(wù)器 179
4.6.2  發(fā)布Exchange的OWA客戶端 181
4.6.3  發(fā)布其他服務(wù)器 183
4.7  通過域名訪問單位內(nèi)部網(wǎng)站的問題 183
第5章  深刻理解Forefront TMG 186
5.1  Forefront TMG 2010在不同用戶網(wǎng)絡(luò)中的硬件配置 186
5.1.1  服務(wù)器硬件設(shè)計 187
5.1.2  處理器選擇 187
5.1.3  存儲注意事項 188
5.1.4  超過 500