編者按：硬件級(jí)別的防火墻雖然功能很強(qiáng)大，但是價(jià)格也比較高。相比之下，使用Forefront TMG 這款高級(jí)防火墻軟件，同樣可以實(shí)現(xiàn)安全控制功能，而且在某些方面，還擁有獨(dú)特的功能。Forefront TMG 對(duì)主機(jī)硬件的要求并不特殊，使用和管理起來(lái)都很方便。

過(guò)濾病毒，保護(hù)內(nèi)網(wǎng)安全

在Forefront TMG 控制臺(tái)左側(cè)選擇“更新中心”項(xiàng)，在右側(cè)的“惡意軟件檢查”項(xiàng)的右鍵菜單上點(diǎn)擊“檢查并安裝新定義”項(xiàng)，執(zhí)行病毒庫(kù)更新操作。在“網(wǎng)絡(luò)檢查系統(tǒng)”欄中可以更新網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)庫(kù)。點(diǎn)擊“配置設(shè)置”鏈接，在彈出窗口中的“定義更新”面板中選擇“惡意軟件檢查”項(xiàng)，點(diǎn)擊“配置所選項(xiàng)”按鈕，在“自動(dòng)輪詢頻率”列表中可以選擇自動(dòng)更新頻率。在左側(cè)選擇“Web 訪問(wèn)策略”項(xiàng)，在右側(cè)的“惡意軟件檢查”欄中確保其處于“已啟用狀態(tài)”。

否則的話，可以打開(kāi)惡意軟件檢查窗口，在“常規(guī)”面板中選擇“啟用惡意軟件檢查”項(xiàng)，將其激活。選擇“直到下載完畢，才允許相關(guān)規(guī)則中的通訊”項(xiàng)，表示當(dāng)初次使用時(shí)，必須下載惡意軟件檢測(cè)引擎和簽名數(shù)據(jù)，之后才允許在規(guī)則中進(jìn)行數(shù)據(jù)通訊。注意，必須等待病毒庫(kù)更新完畢后，才允許選擇該項(xiàng)。點(diǎn)擊“應(yīng)用”按鈕，然后啟用上述配置參數(shù)。

防止內(nèi)網(wǎng)病毒堵塞帶寬

在Forefront TMG 控制臺(tái)左側(cè)選擇“入侵防御系統(tǒng)”項(xiàng)，在右側(cè)的“行為入侵檢測(cè)”面板中點(diǎn)擊“配置淹沒(méi)緩解設(shè)置”項(xiàng)，在彈出窗口中的“淹沒(méi)緩解”面板中選擇“緩解淹沒(méi)攻擊和蠕蟲(chóng)傳播”項(xiàng)，在其下可以定義具體的緩解限制策略。例如，在“每個(gè)IP 地址每分鐘的最大TCP連接請(qǐng)求數(shù)”欄中點(diǎn)擊“編輯”按鈕，在打開(kāi)窗口中的“限制”欄中可以設(shè)置所需的數(shù)量，默認(rèn)為100。在“每個(gè)IP 地址的最大TCP 并行連接數(shù)”欄中點(diǎn)擊“編輯”按鈕，可以更改其數(shù)量值，默認(rèn)為160。

默認(rèn)情況下，最大TCP 并行連接數(shù)為80。在“每個(gè)IP地址每分鐘的最大HTTP 請(qǐng)求數(shù)”欄中點(diǎn)擊“編輯”按鈕，可以調(diào)整其數(shù)量值，默認(rèn)為600。在“每個(gè)規(guī)則每秒最大非TCP 新會(huì)話數(shù)”欄中可以調(diào)整其數(shù)量值，默認(rèn)為1000。在“每個(gè)IP 地址的最大UDP并行會(huì)話數(shù)”欄中可以設(shè)置其數(shù)量值，默認(rèn)為160。

在“指定觸發(fā)報(bào)警的拒絕數(shù)據(jù)包數(shù)”欄中可以更改其數(shù)量值。當(dāng)內(nèi)網(wǎng)某主機(jī)上潛伏的病毒創(chuàng)建的TCP等連接數(shù)量超過(guò)預(yù)設(shè)值，F(xiàn)orefront TMG 就會(huì)禁止其繼續(xù)連接。

使用入侵檢測(cè)功能

在Forefront TMG 控制臺(tái)左側(cè)選擇“入侵檢測(cè)系統(tǒng)”項(xiàng)，在右側(cè)的“行為入侵檢測(cè)”面板中點(diǎn)擊“配置常見(jiàn)網(wǎng)絡(luò)攻擊的檢測(cè)設(shè)置”項(xiàng)，在彈出窗口中的“一般性攻擊”面板中選擇“啟用入侵檢測(cè)”項(xiàng)，在其下可以選擇檢測(cè)的攻擊類(lèi)型，包括Windows帶外攻擊、Land 攻擊、循環(huán)Ping 攻擊、IP 半 掃描、UDP炸彈以及端口掃描等。

Land 攻擊和IP 半掃描采用的都是偽造連接會(huì)話的方法，來(lái)消耗目標(biāo)主機(jī)的資源，擾亂其正常的工作。如果選擇端口掃描檢測(cè)功能，可以在“已知端口”和“所有端口”欄中分別指掃描的次數(shù)，如果發(fā)現(xiàn)掃描的次數(shù)超過(guò)該值，就對(duì)其進(jìn)行攔截。當(dāng)Forefront TMG 檢測(cè)到入侵行為后，在其左側(cè)點(diǎn)擊“監(jiān)視”項(xiàng)，在右側(cè)的“警報(bào)”面板中顯示帶有感嘆號(hào)和紅色叉號(hào)的記錄，選擇這些警報(bào)記錄，在“警報(bào)信息”欄中顯示具體的報(bào)警信息，包括黑客的IP 等內(nèi)容、攻擊類(lèi)型以及掃描端口范圍等內(nèi)容。

控制用戶上網(wǎng)行為

在Forefront TMG 控制臺(tái)的左側(cè)選擇“Web 訪問(wèn)策略”項(xiàng)，在右側(cè)選擇“allow access Web”策略，在其右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在打開(kāi)窗口的“內(nèi)容類(lèi)型”面板中選擇“選擇的內(nèi)容類(lèi)型（如果選擇此選項(xiàng)，規(guī)則將只能應(yīng)用于HTTP 和HTTPS 通訊）”項(xiàng)，在“內(nèi)容類(lèi)型”列表中選擇允許用戶訪問(wèn)的類(lèi)型，例如HTML 文檔、VRVL、壓縮的文件及文本等。對(duì)于沒(méi)有選擇的類(lèi)別，是不允許用戶訪問(wèn)的。在右側(cè)的“工具箱”面板中選擇“計(jì)劃”列表，選擇上述修改的“allow access Web”策略，將其拖動(dòng)到“計(jì)劃”列表中的“工作時(shí)間”和“周末”等項(xiàng)目上，可以在指定的時(shí)間內(nèi)使用該規(guī)則。

有時(shí)出于安全性的考慮，管理員只希望指定的用戶才可以訪問(wèn)Internet 上，雙擊“allow access Web”策略，在其屬性窗口中的“用戶”面板中的“此規(guī)則應(yīng)用于來(lái)自下列用戶集的請(qǐng)求”列表中選擇“所有用戶”項(xiàng)的，點(diǎn)擊“刪除”按鈕將其刪除。點(diǎn)擊“添加”按鈕，在添加用戶窗口中選擇特定的用戶集，將其添加進(jìn)來(lái)。點(diǎn)擊“應(yīng)用”按鈕保存配置信息。這樣，在客戶端只有使用該用戶集的賬戶登錄系統(tǒng)，才可以正常訪問(wèn)外網(wǎng)。

在Forefront TMG 控制臺(tái)左側(cè)選擇“網(wǎng)絡(luò)連接”項(xiàng)，在右側(cè)的“網(wǎng)絡(luò)”面板中選擇“內(nèi)部”項(xiàng)，在其屬性窗口中的“Web 代理”面板中取消“為此網(wǎng)絡(luò)啟用Web 代理客戶端連接”項(xiàng)的選擇狀態(tài)，在“Forefront TMG 客戶端”面板中取消“自動(dòng)檢測(cè)設(shè)置”“使用自動(dòng)配置腳本”和“使用Web 代理服務(wù)器”等項(xiàng)的選擇狀態(tài)。這樣就取消了Forefront TMG的Web 代 理狀態(tài)，僅作為防火墻來(lái)使用。

這樣，內(nèi)網(wǎng)用戶必須加入到域環(huán)境，才可以順利上網(wǎng)。在Forefront TMG 控制臺(tái)左側(cè)選擇“Web 訪問(wèn)策略”項(xiàng)，在右側(cè)的“allow access Web”策略的右鍵菜單上點(diǎn)擊“配置HTTP”項(xiàng)，在彈出窗口的“擴(kuò)展名”面板中的列表中默認(rèn)選擇“允許所有擴(kuò)展名”項(xiàng)，允許下載所有類(lèi)型的文件。選擇“只允許指定的擴(kuò)展名”項(xiàng)，只允許下載指定類(lèi)型的文件。這里選擇“阻止指定的擴(kuò)展名(允許所有其他擴(kuò)展名)”項(xiàng)，表示只攔截指定的擴(kuò)展名文件。點(diǎn)擊“添加”按鈕，輸入具體的擴(kuò)展名（例如“.vbs”），輸入描述信息，點(diǎn)擊“確定”按鈕，將其添加到阻止列表中。同理可以添加更多的擴(kuò)展名，選擇“阻止包含不明確的擴(kuò)展名的請(qǐng)求”項(xiàng)，可以攔截?cái)U(kuò)展名來(lái)歷不明的非法文件。

順暢連接遠(yuǎn)程桌面

當(dāng)內(nèi)網(wǎng)用戶試圖連接外網(wǎng)主機(jī)的遠(yuǎn)程桌面服務(wù)時(shí)，因?yàn)橥饩W(wǎng)主機(jī)可能修改了連接端口（默認(rèn)為3 389），按照常規(guī)方法，在Forefront TMG中創(chuàng)建訪問(wèn)規(guī)則，就會(huì)出現(xiàn)無(wú)法順利連接的情況。在Forefront TMG 右側(cè)的“工具箱”面板中點(diǎn)擊“新建”→“協(xié)議”項(xiàng)，在向?qū)Ы缑嬷休斎雲(yún)f(xié)議名（例如“Newrdp”），在下一步窗口中點(diǎn)擊“新建”按鈕，在彈出窗口中的“端口范圍”欄中輸入具體的范圍，這里假設(shè)目標(biāo)主機(jī)的遠(yuǎn)程桌面端口修改為7 999，因此設(shè)置端口分為從7 999 到7 999。點(diǎn)擊“完成”按鈕，創(chuàng)建該協(xié)議。

在Forefront TMG 控制臺(tái)左側(cè)點(diǎn)擊“防火墻策略”項(xiàng)，在右側(cè)的“任務(wù)”面板中點(diǎn)擊“創(chuàng)建訪問(wèn)規(guī)則”鏈接，在向?qū)Ы缑嬷休斎胍?guī)則名（例如“Rdprule”），選擇“允許”項(xiàng)，在下一步窗口中點(diǎn)擊“添加”按鈕，在添加協(xié)議窗口中選擇“用戶定義”→“Newrdp”項(xiàng)，在下一步窗口中點(diǎn)擊“添加”按鈕，選擇“網(wǎng)絡(luò)”→“內(nèi)部”項(xiàng)。

當(dāng)然，也可以事先定義某臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)或者計(jì)算機(jī)集，將其單獨(dú)添加進(jìn)來(lái)，可以對(duì)指定的計(jì)算機(jī)的訪問(wèn)操作進(jìn)行控制。點(diǎn)擊“下一步”按鈕，然后點(diǎn)擊“添加”按鈕，選擇“網(wǎng)絡(luò)”→“外部”項(xiàng)，點(diǎn)擊“完成”按鈕，創(chuàng)建該規(guī)則。之后內(nèi)網(wǎng)主機(jī)中的用戶就可以運(yùn)行“mstcs.exe”程序，輸入“IP:7999”地址格式，來(lái)連接目標(biāo)主機(jī)的遠(yuǎn)程桌面服務(wù)。

合理調(diào)控內(nèi)網(wǎng)用戶上網(wǎng)帶寬

在Forefront TMG 主機(jī)上安裝Bandwidth Splitter軟件，之后重啟Forefront TMG，在左側(cè)選擇“bandwidth Splitter →Shaping Rules”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建→Rule”項(xiàng)，在向?qū)Т翱谥休斎胍?guī)則名稱(chēng)，在下一步Applies To 窗口中選擇“IP address sets specified below”項(xiàng)，按照IP 地址控制其帶寬量。點(diǎn)擊“Add”按鈕，在彈出窗口中選擇“Networks →內(nèi)部”項(xiàng)，點(diǎn)擊“Add”按鈕，完成添加操作。

點(diǎn)擊“下一步”按鈕，在Destinations 窗口中點(diǎn)擊“Add”按鈕，在彈出窗口中選擇“Networks →外部”項(xiàng)，點(diǎn)擊“Add”按鈕，完成添加操作。在下一步窗口中的“This rule applies on this schedule”列表中選擇計(jì)劃項(xiàng)目，例如，選擇“Always”項(xiàng)，表示在任意時(shí)間內(nèi)均執(zhí)行該控制策略。在下一步窗口的列表中選擇帶寬控制類(lèi)型，包括總流量、進(jìn)出的數(shù)據(jù)、進(jìn)入的數(shù)據(jù)以及發(fā)出的數(shù)據(jù)等。在下一步窗口中選擇“Limit number of concurrent con nextions”項(xiàng)，可以輸入允許連接的數(shù)量。例如，對(duì)于BT下載來(lái)說(shuō)，會(huì)和外界建立很多連接等。

點(diǎn)擊“下一步”按鈕，然后選擇“Assign bandwidth individually to each appli cation user/address”項(xiàng)，表示為每一個(gè)內(nèi)網(wǎng)用戶分配上述預(yù)設(shè)的帶寬。選擇“Disytibute bandwidth between all users/addresses”項(xiàng)，表示所有用戶共同擁有上述預(yù)設(shè)的帶寬。點(diǎn)擊“完成”按鈕，創(chuàng)建該規(guī)則。之后點(diǎn)擊工具欄上的應(yīng)用按鈕，激活該規(guī)則。

這樣，當(dāng)內(nèi)網(wǎng)用戶在下載數(shù)據(jù)時(shí)，其速度無(wú)法超過(guò)預(yù)設(shè)值（例如每秒200 KB 等）。

過(guò)濾惡意站點(diǎn)

為了防止用戶誤入釣魚(yú)、詐騙及賭博等非法網(wǎng)站，F(xiàn)orefront TMG 提供了URL地址分類(lèi)過(guò)濾功能，可以對(duì)這些威脅行為進(jìn)行屏蔽。如果用戶不小心訪問(wèn)了這些網(wǎng)站，F(xiàn)orefront TMG 可以對(duì)其進(jìn)行檢測(cè)，當(dāng)發(fā)現(xiàn)它們存在危害性時(shí)，就會(huì)進(jìn)行攔截。

在 Forefront TMG 控制臺(tái)左側(cè)選擇“Web 訪問(wèn)策略”項(xiàng)，在中部選擇“allow access Web”規(guī)則（該規(guī)則允許所有的內(nèi)部用戶均可訪問(wèn)Internet），在右側(cè)的“工具箱”面板中打開(kāi)“URL 類(lèi)別”項(xiàng)，在其下顯示預(yù)設(shè)的各種類(lèi)別。例如雙擊“賭博”類(lèi)，在彈出窗口中顯示其描述信息。

在“任務(wù)”面板中點(diǎn)擊“配置URL 篩選”鏈接，在URL篩選設(shè)置窗口中的“常規(guī)”面板中選擇“啟用URL 篩選”項(xiàng)，在“類(lèi)別查詢”面板中輸入某個(gè)網(wǎng)站地址，點(diǎn)擊“查詢”按鈕，可以查看其所屬的類(lèi)別。點(diǎn)擊“應(yīng)用”按鈕，保存配置信息。在“allow access Web”規(guī)則的右鍵菜單上點(diǎn)擊“配置HTTP”項(xiàng)，在彈出窗口的面板中的“例外”列表中點(diǎn)擊“添加”按鈕，在添加網(wǎng)絡(luò)實(shí)體窗口中打開(kāi)“URL 類(lèi)別”項(xiàng)，在其下選擇雙擊具體的類(lèi)別（例如賭博或仿冒網(wǎng)站等），將其添加到例外列表中。點(diǎn)擊“應(yīng)用”按鈕，保存配置信息。

這樣，當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)這些類(lèi)別的網(wǎng)站時(shí)，就會(huì)被Forefront TMG 屏蔽。

查看加密數(shù)據(jù)包，防止病毒入侵

前面談到的Forefront TMG的病毒過(guò)濾功能，針對(duì)的是未加密的通訊而言的。只有讓Forefront TMG 了解加密的內(nèi)容，才可以執(zhí)行檢測(cè)功能。

要想實(shí)現(xiàn)上述功能，首先需要在Forefront TMG 主機(jī)和內(nèi)網(wǎng)主機(jī)之間配置證書(shū)。在Forefront TMG 控制臺(tái)左側(cè)選擇“Web 訪問(wèn)策略”項(xiàng)，在右側(cè)的“HTTPS 檢查”欄中點(diǎn)擊“已禁用”鏈接，在彈出窗口中選擇“啟用HTTPS 檢查”項(xiàng)，啟用該功能。選擇“檢查通訊并驗(yàn)證站點(diǎn)證書(shū)”項(xiàng)，表示讓Forefront TMG 檢測(cè)目標(biāo)HTTPS 網(wǎng)站證書(shū)的合法性，并讓它可以檢測(cè)加密通信中的數(shù)據(jù)是否安全。

選 擇“使 用Forefront TMG 生成證書(shū)”項(xiàng)，點(diǎn)擊“生成”按鈕，在彈出窗口中可以更改頒發(fā)者名稱(chēng)，選擇從不過(guò)期項(xiàng)目，輸入說(shuō)明信息，并點(diǎn)擊“立即生成證書(shū)”按鈕，在證書(shū)窗口中顯示詳細(xì)信息，點(diǎn)擊“安裝證書(shū)”按鈕，執(zhí)行證書(shū)安裝操作。

在上一個(gè)窗口中點(diǎn)擊“HTTPS 檢查收信人根CA 證書(shū)選項(xiàng)”按鈕，在彈出窗口中點(diǎn)擊“查看證書(shū)詳細(xì)信息”按鈕，在查看證書(shū)窗口中點(diǎn)擊“安裝證書(shū)”按鈕。在向?qū)Ы缑嬷羞x擇“將所有的證書(shū)放入下列存儲(chǔ)”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，在“選擇證書(shū)存儲(chǔ)”窗口中選擇“顯示物理存儲(chǔ)區(qū)”項(xiàng)。在列表中選擇“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”→“本地計(jì)算機(jī)”項(xiàng)，點(diǎn)擊“完成”按鈕，導(dǎo)入該證書(shū)。

之后選擇“通過(guò)Active Directory 自動(dòng)進(jìn)行”項(xiàng)，點(diǎn)擊“域管理員憑據(jù)”按鈕，并輸入域管理員賬戶名（格式為“域名/賬戶名”）和密碼，執(zhí)行證書(shū)部署操作。這樣，域中的所有主機(jī)就都可以信任Forefront TMG 產(chǎn)生的證書(shū)了。

當(dāng)然，需要在Forefront TMG 主機(jī)和域中各主機(jī)上執(zhí)行“gpupdate/force”命令，來(lái)獲取上述證書(shū)。運(yùn)行“mmc”命令，在控制臺(tái)窗口中點(diǎn)擊“文件→添加/刪除管理單元”項(xiàng)，在彈出窗口選擇“證書(shū)”項(xiàng)，點(diǎn)擊“添加”按鈕，依次選擇“計(jì)算機(jī)賬戶”和“本地計(jì)算機(jī)”項(xiàng)，然后在左側(cè)選擇“證書(shū)→受信任的根證書(shū)頒發(fā)機(jī)構(gòu)→證書(shū)”項(xiàng)，在右側(cè)可以看到上述證書(shū)信息。

這樣，當(dāng)內(nèi)網(wǎng)主機(jī)和目標(biāo)HTTPS 網(wǎng)站進(jìn)行通訊時(shí)，F(xiàn)orefront TMG 防火墻就可以對(duì)它們進(jìn)行檢測(cè)和分析，及時(shí)發(fā)現(xiàn)其中的病毒并進(jìn)行攔截。