活用Forefront TMG保護網絡安全

編者按：硬件級別的防火墻雖然功能很強大，但是價格也比較高。相比之下，使用Forefront TMG 這款高級防火墻軟件，同樣可以實現安全控制功能，而且在某些方面，還擁有獨特的功能。Forefront TMG 對主機硬件的要求并不特殊，使用和管理起來都很方便。

過濾病毒，保護內網安全

在Forefront TMG 控制臺左側選擇“更新中心”項，在右側的“惡意軟件檢查”項的右鍵菜單上點擊“檢查并安裝新定義”項，執行病毒庫更新操作。在“網絡檢查系統”欄中可以更新網絡入侵檢測數據庫。點擊“配置設置”鏈接，在彈出窗口中的“定義更新”面板中選擇“惡意軟件檢查”項，點擊“配置所選項”按鈕，在“自動輪詢頻率”列表中可以選擇自動更新頻率。在左側選擇“Web 訪問策略”項，在右側的“惡意軟件檢查”欄中確保其處于“已啟用狀態”。

否則的話，可以打開惡意軟件檢查窗口，在“常規”面板中選擇“啟用惡意軟件檢查”項，將其激活。選擇“直到下載完畢，才允許相關規則中的通訊”項，表示當初次使用時，必須下載惡意軟件檢測引擎和簽名數據，之后才允許在規則中進行數據通訊。注意，必須等待病毒庫更新完畢后，才允許選擇該項。點擊“應用”按鈕，然后啟用上述配置參數。

防止內網病毒堵塞帶寬

在Forefront TMG 控制臺左側選擇“入侵防御系統”項，在右側的“行為入侵檢測”面板中點擊“配置淹沒緩解設置”項，在彈出窗口中的“淹沒緩解”面板中選擇“緩解淹沒攻擊和蠕蟲傳播”項，在其下可以定義具體的緩解限制策略。例如，在“每個IP 地址每分鐘的最大TCP連接請求數”欄中點擊“編輯”按鈕，在打開窗口中的“限制”欄中可以設置所需的數量，默認為100。在“每個IP 地址的最大TCP 并行連接數”欄中點擊“編輯”按鈕，可以更改其數量值，默認為160。

默認情況下，最大TCP 并行連接數為80。在“每個IP地址每分鐘的最大HTTP 請求數”欄中點擊“編輯”按鈕，可以調整其數量值，默認為600。在“每個規則每秒最大非TCP 新會話數”欄中可以調整其數量值，默認為1000。在“每個IP 地址的最大UDP并行會話數”欄中可以設置其數量值，默認為160。

在“指定觸發報警的拒絕數據包數”欄中可以更改其數量值。當內網某主機上潛伏的病毒創建的TCP等連接數量超過預設值，Forefront TMG 就會禁止其繼續連接。

使用入侵檢測功能

在Forefront TMG 控制臺左側選擇“入侵檢測系統”項，在右側的“行為入侵檢測”面板中點擊“配置常見網絡攻擊的檢測設置”項，在彈出窗口中的“一般性攻擊”面板中選擇“啟用入侵檢測”項，在其下可以選擇檢測的攻擊類型，包括Windows帶外攻擊、Land 攻擊、循環Ping 攻擊、IP 半 掃描、UDP炸彈以及端口掃描等。

Land 攻擊和IP 半掃描采用的都是偽造連接會話的方法，來消耗目標主機的資源，擾亂其正常的工作。如果選擇端口掃描檢測功能，可以在“已知端口”和“所有端口”欄中分別指掃描的次數，如果發現掃描的次數超過該值，就對其進行攔截。當Forefront TMG 檢測到入侵行為后，在其左側點擊“監視”項，在右側的“警報”面板中顯示帶有感嘆號和紅色叉號的記錄，選擇這些警報記錄，在“警報信息”欄中顯示具體的報警信息，包括黑客的IP 等內容、攻擊類型以及掃描端口范圍等內容。

控制用戶上網行為

在Forefront TMG 控制臺的左側選擇“Web 訪問策略”項，在右側選擇“allow access Web”策略，在其右鍵菜單上點擊“屬性”項，在打開窗口的“內容類型”面板中選擇“選擇的內容類型（如果選擇此選項，規則將只能應用于HTTP 和HTTPS 通訊）”項，在“內容類型”列表中選擇允許用戶訪問的類型，例如HTML 文檔、VRVL、壓縮的文件及文本等。對于沒有選擇的類別，是不允許用戶訪問的。在右側的“工具箱”面板中選擇“計劃”列表，選擇上述修改的“allow access Web”策略，將其拖動到“計劃”列表中的“工作時間”和“周末”等項目上，可以在指定的時間內使用該規則。

有時出于安全性的考慮，管理員只希望指定的用戶才可以訪問Internet 上，雙擊“allow access Web”策略，在其屬性窗口中的“用戶”面板中的“此規則應用于來自下列用戶集的請求”列表中選擇“所有用戶”項的，點擊“刪除”按鈕將其刪除。點擊“添加”按鈕，在添加用戶窗口中選擇特定的用戶集，將其添加進來。點擊“應用”按鈕保存配置信息。這樣，在客戶端只有使用該用戶集的賬戶登錄系統，才可以正常訪問外網。

在Forefront TMG 控制臺左側選擇“網絡連接”項，在右側的“網絡”面板中選擇“內部”項，在其屬性窗口中的“Web 代理”面板中取消“為此網絡啟用Web 代理客戶端連接”項的選擇狀態，在“Forefront TMG 客戶端”面板中取消“自動檢測設置”“使用自動配置腳本”和“使用Web 代理服務器”等項的選擇狀態。這樣就取消了Forefront TMG的Web 代 理狀態，僅作為防火墻來使用。

這樣，內網用戶必須加入到域環境，才可以順利上網。在Forefront TMG 控制臺左側選擇“Web 訪問策略”項，在右側的“allow access Web”策略的右鍵菜單上點擊“配置HTTP”項，在彈出窗口的“擴展名”面板中的列表中默認選擇“允許所有擴展名”項，允許下載所有類型的文件。選擇“只允許指定的擴展名”項，只允許下載指定類型的文件。這里選擇“阻止指定的擴展名(允許所有其他擴展名)”項，表示只攔截指定的擴展名文件。點擊“添加”按鈕，輸入具體的擴展名（例如“.vbs”），輸入描述信息，點擊“確定”按鈕，將其添加到阻止列表中。同理可以添加更多的擴展名，選擇“阻止包含不明確的擴展名的請求”項，可以攔截擴展名來歷不明的非法文件。

順暢連接遠程桌面

當內網用戶試圖連接外網主機的遠程桌面服務時，因為外網主機可能修改了連接端口（默認為3 389），按照常規方法，在Forefront TMG中創建訪問規則，就會出現無法順利連接的情況。在Forefront TMG 右側的“工具箱”面板中點擊“新建”→“協議”項，在向導界面中輸入協議名（例如“Newrdp”），在下一步窗口中點擊“新建”按鈕，在彈出窗口中的“端口范圍”欄中輸入具體的范圍，這里假設目標主機的遠程桌面端口修改為7 999，因此設置端口分為從7 999 到7 999。點擊“完成”按鈕，創建該協議。

在Forefront TMG 控制臺左側點擊“防火墻策略”項，在右側的“任務”面板中點擊“創建訪問規則”鏈接，在向導界面中輸入規則名（例如“Rdprule”），選擇“允許”項，在下一步窗口中點擊“添加”按鈕，在添加協議窗口中選擇“用戶定義”→“Newrdp”項，在下一步窗口中點擊“添加”按鈕，選擇“網絡”→“內部”項。

當然，也可以事先定義某臺內網計算機或者計算機集，將其單獨添加進來，可以對指定的計算機的訪問操作進行控制。點擊“下一步”按鈕，然后點擊“添加”按鈕，選擇“網絡”→“外部”項，點擊“完成”按鈕，創建該規則。之后內網主機中的用戶就可以運行“mstcs.exe”程序，輸入“IP:7999”地址格式，來連接目標主機的遠程桌面服務。

合理調控內網用戶上網帶寬

在Forefront TMG 主機上安裝Bandwidth Splitter軟件，之后重啟Forefront TMG，在左側選擇“bandwidth Splitter →Shaping Rules”項，在其右鍵菜單上點擊“新建→Rule”項，在向導窗口中輸入規則名稱，在下一步Applies To 窗口中選擇“IP address sets specified below”項，按照IP 地址控制其帶寬量。點擊“Add”按鈕，在彈出窗口中選擇“Networks →內部”項，點擊“Add”按鈕，完成添加操作。

點擊“下一步”按鈕，在Destinations 窗口中點擊“Add”按鈕，在彈出窗口中選擇“Networks →外部”項，點擊“Add”按鈕，完成添加操作。在下一步窗口中的“This rule applies on this schedule”列表中選擇計劃項目，例如，選擇“Always”項，表示在任意時間內均執行該控制策略。在下一步窗口的列表中選擇帶寬控制類型，包括總流量、進出的數據、進入的數據以及發出的數據等。在下一步窗口中選擇“Limit number of concurrent con nextions”項，可以輸入允許連接的數量。例如，對于BT下載來說，會和外界建立很多連接等。

點擊“下一步”按鈕，然后選擇“Assign bandwidth individually to each appli cation user/address”項，表示為每一個內網用戶分配上述預設的帶寬。選擇“Disytibute bandwidth between all users/addresses”項，表示所有用戶共同擁有上述預設的帶寬。點擊“完成”按鈕，創建該規則。之后點擊工具欄上的應用按鈕，激活該規則。

這樣，當內網用戶在下載數據時，其速度無法超過預設值（例如每秒200 KB 等）。

過濾惡意站點

為了防止用戶誤入釣魚、詐騙及賭博等非法網站，Forefront TMG 提供了URL地址分類過濾功能，可以對這些威脅行為進行屏蔽。如果用戶不小心訪問了這些網站，Forefront TMG 可以對其進行檢測，當發現它們存在危害性時，就會進行攔截。

在 Forefront TMG 控制臺左側選擇“Web 訪問策略”項，在中部選擇“allow access Web”規則（該規則允許所有的內部用戶均可訪問Internet），在右側的“工具箱”面板中打開“URL 類別”項，在其下顯示預設的各種類別。例如雙擊“賭博”類，在彈出窗口中顯示其描述信息。

在“任務”面板中點擊“配置URL 篩選”鏈接，在URL篩選設置窗口中的“常規”面板中選擇“啟用URL 篩選”項，在“類別查詢”面板中輸入某個網站地址，點擊“查詢”按鈕，可以查看其所屬的類別。點擊“應用”按鈕，保存配置信息。在“allow access Web”規則的右鍵菜單上點擊“配置HTTP”項，在彈出窗口的面板中的“例外”列表中點擊“添加”按鈕，在添加網絡實體窗口中打開“URL 類別”項，在其下選擇雙擊具體的類別（例如賭博或仿冒網站等），將其添加到例外列表中。點擊“應用”按鈕，保存配置信息。

這樣，當內網用戶訪問這些類別的網站時，就會被Forefront TMG 屏蔽。

查看加密數據包，防止病毒入侵

前面談到的Forefront TMG的病毒過濾功能，針對的是未加密的通訊而言的。只有讓Forefront TMG 了解加密的內容，才可以執行檢測功能。

要想實現上述功能，首先需要在Forefront TMG 主機和內網主機之間配置證書。在Forefront TMG 控制臺左側選擇“Web 訪問策略”項，在右側的“HTTPS 檢查”欄中點擊“已禁用”鏈接，在彈出窗口中選擇“啟用HTTPS 檢查”項，啟用該功能。選擇“檢查通訊并驗證站點證書”項，表示讓Forefront TMG 檢測目標HTTPS 網站證書的合法性，并讓它可以檢測加密通信中的數據是否安全。

選 擇“使 用Forefront TMG 生成證書”項，點擊“生成”按鈕，在彈出窗口中可以更改頒發者名稱，選擇從不過期項目，輸入說明信息，并點擊“立即生成證書”按鈕，在證書窗口中顯示詳細信息，點擊“安裝證書”按鈕，執行證書安裝操作。

在上一個窗口中點擊“HTTPS 檢查收信人根CA 證書選項”按鈕，在彈出窗口中點擊“查看證書詳細信息”按鈕，在查看證書窗口中點擊“安裝證書”按鈕。在向導界面中選擇“將所有的證書放入下列存儲”項，點擊“瀏覽”按鈕，在“選擇證書存儲”窗口中選擇“顯示物理存儲區”項。在列表中選擇“受信任的根證書頒發機構”→“本地計算機”項，點擊“完成”按鈕，導入該證書。

之后選擇“通過Active Directory 自動進行”項，點擊“域管理員憑據”按鈕，并輸入域管理員賬戶名（格式為“域名/賬戶名”）和密碼，執行證書部署操作。這樣，域中的所有主機就都可以信任Forefront TMG 產生的證書了。

當然，需要在Forefront TMG 主機和域中各主機上執行“gpupdate/force”命令，來獲取上述證書。運行“mmc”命令，在控制臺窗口中點擊“文件→添加/刪除管理單元”項，在彈出窗口選擇“證書”項，點擊“添加”按鈕，依次選擇“計算機賬戶”和“本地計算機”項，然后在左側選擇“證書→受信任的根證書頒發機構→證書”項，在右側可以看到上述證書信息。

這樣，當內網主機和目標HTTPS 網站進行通訊時，Forefront TMG 防火墻就可以對它們進行檢測和分析，及時發現其中的病毒并進行攔截。