Forefront TMG 2010防火墻配置與管理指南

目  錄
第1章  Forefront TMG 2010功能概述 1
1.1  Forefront TMG 2010主要功能 1
1.2  Forefront TMG版本 2
1.3  Forefront TMG系統(tǒng)需求 4
1.4  Forefront TMG的防火墻類別與多網(wǎng)絡支持 4
1.5  與VPN的集成 5
1.6  多功能代理服務器與協(xié)議組管理 5
1.7  惡意軟件檢查 6
1.8  雙線ISP冗余功能 7
1.9  網(wǎng)絡入侵保護系統(tǒng) 8
1.10  Forefront TMG企業(yè)版的特點 9
第2章  快速入門——Forefront TMG 2010標準版的安裝 11
2.1  準備實驗環(huán)境 11
2.1.1  創(chuàng)建Windows Server 2008 R2的虛擬機 12
2.1.2  在虛擬機中安裝Windows Server 2008 R2 14
2.1.3  Windows Server 2008 R2的基本配置 17
2.1.4  為虛擬機創(chuàng)建快照 20
2.1.5  創(chuàng)建Forefront TMG實驗虛擬機 20
2.2  安裝Forefront TMG標準版 22
2.2.1  Forefront TMG安裝前的規(guī)劃 23
2.2.2  安裝Forefront TMG 26
2.3  Forefront TMG入門向導 29
2.3.1  網(wǎng)絡設置向導 29
2.3.2  系統(tǒng)設置向導 31
2.3.3  部署選項 32
2.3.4  Web訪問向導 33
2.3.5  Forefront TMG管理控制臺與儀表板功能 35
2.4  Forefront TMG的監(jiān)視功能 37
2.4.1  警報 37
2.4.2  會話 37
2.4.3  連接性驗證程序 39
2.4.4  服務 42
2.4.5  配置 43
第3章  安全訪問Internet——Forefront TMG代理服務器配置 44
3.1  Forefront TMG和網(wǎng)絡基礎知識 44
3.1.1  了解Forefront TMG所處的網(wǎng)絡位置 44
3.1.2  網(wǎng)絡基礎知識 47
3.1.3  通過電話系統(tǒng)理解路由、NAT、NAPT的概念 48
3.1.4  網(wǎng)絡服務與TCP/IP端口 50
3.1.5  代理與轉換 52
3.1.6  端口映射與端口轉發(fā) 52
3.1.7  理解Forefront TMG中的網(wǎng)絡 53
3.1.8  理解Forefront TMG的網(wǎng)絡規(guī)則 54
3.1.9  理解Forefront TMG的客戶端 55
3.2  安全連接Internet——讓Forefront TMG作為企業(yè)中的代理服務器 56
3.2.1  配置實驗環(huán)境 56
3.2.2  檢測Forefront TMG默認策略 58
3.2.3  設置內(nèi)網(wǎng)ping通網(wǎng)關 59
3.2.4  設置內(nèi)網(wǎng)訪問Internet 62
3.2.5  Forefront TMG的時間對象 63
3.2.6  定義不受限制用戶 70
3.2.7  禁止訪問某些網(wǎng)站 73
3.2.8  針對基于 Web 的威脅啟用保護技術 75
3.3  惡意軟件檢查功能 81
3.3.1  啟用全局惡意軟件檢查 81
3.3.2  在 Web 訪問規(guī)則中啟用惡意軟件檢查 82
3.3.3  使用新建訪問規(guī)則向導啟用惡意軟件檢查 82
3.3.4  在現(xiàn)有規(guī)則中啟用惡意軟件檢查 82
3.3.5  配置全局惡意軟件檢查選項 83
3.3.6  定義惡意軟件檢查例外 84
3.3.7  配置惡意軟件檢查內(nèi)容傳遞 85
3.3.8  配置惡意軟件定義更新 87
3.3.9  配置惡意軟件檢查存儲位置 87
3.3.10  驗證惡意軟件檢查更新機制是否正常工作 88
3.3.11  通過 Web 代理鏈配置惡意軟件檢查 89
3.4  配置HTTP篩選 90
3.4.1  配置訪問規(guī)則進行HTTP篩選 91
3.4.2  配置HTTP方法 92
3.4.3  配置HTTP擴展名阻止 93
3.4.4  配置頭阻止 93
3.4.5  配置阻止簽名 94
3.4.6  確定簽名的方法 95
3.4.7  配置FTP協(xié)議策略 98
3.5  啟用緩存高效訪問Internet 98
3.5.1  緩存概述 98
3.5.2  在Forefront TMG中啟用緩存 99
3.5.3  配置緩存規(guī)則 101
3.5.4  配置內(nèi)容下載作業(yè) 104
3.6  Forefront TMG的ISP冗余功能 105
3.6.1  Forefront TMG的雙ISP功能概述 106
3.6.2  在Forefront TMG中啟用ISP冗余 106
3.6.3  禁用ISP冗余功能 110
3.7  Forefront TMG部署與使用注意事項 111
第4章  發(fā)布服務器到Internet—— Forefront TMG防火墻配置 115
4.1  發(fā)布Web服務器到Internet 115
4.1.1  從SecureNAT客戶端訪問發(fā)布內(nèi)部服務器的注意事項 115
4.1.2  發(fā)布服務器到Internet的示意拓撲圖 116
4.1.3  實驗環(huán)境準備 117
4.1.4  為發(fā)布網(wǎng)站創(chuàng)建Web偵聽器 120
4.1.5  發(fā)布www.msft.com到Internet 122
4.1.6  發(fā)布其他網(wǎng)站到Internet 126
4.1.7  通過復制規(guī)則的方法發(fā)布其他Web服務器 127
4.1.8  發(fā)布非80端口網(wǎng)站到Internet 128
4.1.9  為相同或相關的策略創(chuàng)建策略組 131
4.2  發(fā)布多個終端服務器到Internet 132
4.2.1  發(fā)布Forefront TMG本身的終端服務器 133
4.2.2  使用其他端口發(fā)布終端服務器 135
4.2.3  復制規(guī)劃并修改適合于其他終端的服務器 136
4.3  發(fā)布多個FTP服務器到Internet 137
4.3.1  FTP的PASV與PORT模式概述 138
4.3.2  使用防火墻發(fā)布FTP服務器 139
4.4  發(fā)布郵件服務器到Internet 150
4.5  發(fā)布使用證書加密的網(wǎng)站 154
4.5.1  HTTPS概述 154
4.5.2  安裝獨立證書服務器 155
4.5.3  為www.msft.com網(wǎng)站申請服務器證書 157
4.5.4  信任證書頒發(fā)機構及申請用戶證書 163
4.5.5  將用戶證書導入到計算機存儲中 167
4.5.6  發(fā)布HTTPS網(wǎng)站 171
4.5.7  在客戶端驗證 175
4.5.8  設置客戶端必須有證書才能訪問網(wǎng)站 175
4.6  發(fā)布其他服務器到Internet 178
4.6.1  發(fā)布SharePoint服務器 179
4.6.2  發(fā)布Exchange的OWA客戶端 181
4.6.3  發(fā)布其他服務器 183
4.7  通過域名訪問單位內(nèi)部網(wǎng)站的問題 183
第5章  深刻理解Forefront TMG 186
5.1  Forefront TMG 2010在不同用戶網(wǎng)絡中的硬件配置 186
5.1.1  服務器硬件設計 187
5.1.2  處理器選擇 187
5.1.3  存儲注意事項 188
5.1.4  超過 500