活用Forefront TMG保护网络安全

编者按：硬件级别的防火墙虽然功能很强大，但是价格也比较高。相比之下，使用Forefront TMG 这款高级防火墙软件，同样可以实现安全控制功能，而且在某些方面，还拥有独特的功能。Forefront TMG 对主机硬件的要求并不特殊，使用和管理起来都很方便。

过滤病毒，保护内网安全

在Forefront TMG 控制台左侧选择“更新中心”项，在右侧的“恶意软件检查”项的右键菜单上点击“检查并安装新定义”项，执行病毒库更新操作。在“网络检查系统”栏中可以更新网络入侵检测数据库。点击“配置设置”链接，在弹出窗口中的“定义更新”面板中选择“恶意软件检查”项，点击“配置所选项”按钮，在“自动轮询频率”列表中可以选择自动更新频率。在左侧选择“Web 访问策略”项，在右侧的“恶意软件检查”栏中确保其处于“已启用状态”。

否则的话，可以打开恶意软件检查窗口，在“常规”面板中选择“启用恶意软件检查”项，将其激活。选择“直到下载完毕，才允许相关规则中的通讯”项，表示当初次使用时，必须下载恶意软件检测引擎和签名数据，之后才允许在规则中进行数据通讯。注意，必须等待病毒库更新完毕后，才允许选择该项。点击“应用”按钮，然后启用上述配置参数。

防止内网病毒堵塞带宽

在Forefront TMG 控制台左侧选择“入侵防御系统”项，在右侧的“行为入侵检测”面板中点击“配置淹没缓解设置”项，在弹出窗口中的“淹没缓解”面板中选择“缓解淹没攻击和蠕虫传播”项，在其下可以定义具体的缓解限制策略。例如，在“每个IP 地址每分钟的最大TCP连接请求数”栏中点击“编辑”按钮，在打开窗口中的“限制”栏中可以设置所需的数量，默认为100。在“每个IP 地址的最大TCP 并行连接数”栏中点击“编辑”按钮，可以更改其数量值，默认为160。

默认情况下，最大TCP 并行连接数为80。在“每个IP地址每分钟的最大HTTP 请求数”栏中点击“编辑”按钮，可以调整其数量值，默认为600。在“每个规则每秒最大非TCP 新会话数”栏中可以调整其数量值，默认为1000。在“每个IP 地址的最大UDP并行会话数”栏中可以设置其数量值，默认为160。

在“指定触发报警的拒绝数据包数”栏中可以更改其数量值。当内网某主机上潜伏的病毒创建的TCP等连接数量超过预设值，Forefront TMG 就会禁止其继续连接。

使用入侵检测功能

在Forefront TMG 控制台左侧选择“入侵检测系统”项，在右侧的“行为入侵检测”面板中点击“配置常见网络攻击的检测设置”项，在弹出窗口中的“一般性攻击”面板中选择“启用入侵检测”项，在其下可以选择检测的攻击类型，包括Windows带外攻击、Land 攻击、循环Ping 攻击、IP 半 扫描、UDP炸弹以及端口扫描等。

Land 攻击和IP 半扫描采用的都是伪造连接会话的方法，来消耗目标主机的资源，扰乱其正常的工作。如果选择端口扫描检测功能，可以在“已知端口”和“所有端口”栏中分别指扫描的次数，如果发现扫描的次数超过该值，就对其进行拦截。当Forefront TMG 检测到入侵行为后，在其左侧点击“监视”项，在右侧的“警报”面板中显示带有感叹号和红色叉号的记录，选择这些警报记录，在“警报信息”栏中显示具体的报警信息，包括黑客的IP 等内容、攻击类型以及扫描端口范围等内容。

控制用户上网行为

在Forefront TMG 控制台的左侧选择“Web 访问策略”项，在右侧选择“allow access Web”策略，在其右键菜单上点击“属性”项，在打开窗口的“内容类型”面板中选择“选择的内容类型（如果选择此选项，规则将只能应用于HTTP 和HTTPS 通讯）”项，在“内容类型”列表中选择允许用户访问的类型，例如HTML 文档、VRVL、压缩的文件及文本等。对于没有选择的类别，是不允许用户访问的。在右侧的“工具箱”面板中选择“计划”列表，选择上述修改的“allow access Web”策略，将其拖动到“计划”列表中的“工作时间”和“周末”等项目上，可以在指定的时间内使用该规则。

有时出于安全性的考虑，管理员只希望指定的用户才可以访问Internet 上，双击“allow access Web”策略，在其属性窗口中的“用户”面板中的“此规则应用于来自下列用户集的请求”列表中选择“所有用户”项的，点击“删除”按钮将其删除。点击“添加”按钮，在添加用户窗口中选择特定的用户集，将其添加进来。点击“应用”按钮保存配置信息。这样，在客户端只有使用该用户集的账户登录系统，才可以正常访问外网。

在Forefront TMG 控制台左侧选择“网络连接”项，在右侧的“网络”面板中选择“内部”项，在其属性窗口中的“Web 代理”面板中取消“为此网络启用Web 代理客户端连接”项的选择状态，在“Forefront TMG 客户端”面板中取消“自动检测设置”“使用自动配置脚本”和“使用Web 代理服务器”等项的选择状态。这样就取消了Forefront TMG的Web 代 理状态，仅作为防火墙来使用。

这样，内网用户必须加入到域环境，才可以顺利上网。在Forefront TMG 控制台左侧选择“Web 访问策略”项，在右侧的“allow access Web”策略的右键菜单上点击“配置HTTP”项，在弹出窗口的“扩展名”面板中的列表中默认选择“允许所有扩展名”项，允许下载所有类型的文件。选择“只允许指定的扩展名”项，只允许下载指定类型的文件。这里选择“阻止指定的扩展名(允许所有其他扩展名)”项，表示只拦截指定的扩展名文件。点击“添加”按钮，输入具体的扩展名（例如“.vbs”），输入描述信息，点击“确定”按钮，将其添加到阻止列表中。同理可以添加更多的扩展名，选择“阻止包含不明确的扩展名的请求”项，可以拦截扩展名来历不明的非法文件。

顺畅连接远程桌面

当内网用户试图连接外网主机的远程桌面服务时，因为外网主机可能修改了连接端口（默认为3 389），按照常规方法，在Forefront TMG中创建访问规则，就会出现无法顺利连接的情况。在Forefront TMG 右侧的“工具箱”面板中点击“新建”→“协议”项，在向导界面中输入协议名（例如“Newrdp”），在下一步窗口中点击“新建”按钮，在弹出窗口中的“端口范围”栏中输入具体的范围，这里假设目标主机的远程桌面端口修改为7 999，因此设置端口分为从7 999 到7 999。点击“完成”按钮，创建该协议。

在Forefront TMG 控制台左侧点击“防火墙策略”项，在右侧的“任务”面板中点击“创建访问规则”链接，在向导界面中输入规则名（例如“Rdprule”），选择“允许”项，在下一步窗口中点击“添加”按钮，在添加协议窗口中选择“用户定义”→“Newrdp”项，在下一步窗口中点击“添加”按钮，选择“网络”→“内部”项。

当然，也可以事先定义某台内网计算机或者计算机集，将其单独添加进来，可以对指定的计算机的访问操作进行控制。点击“下一步”按钮，然后点击“添加”按钮，选择“网络”→“外部”项，点击“完成”按钮，创建该规则。之后内网主机中的用户就可以运行“mstcs.exe”程序，输入“IP:7999”地址格式，来连接目标主机的远程桌面服务。

合理调控内网用户上网带宽

在Forefront TMG 主机上安装Bandwidth Splitter软件，之后重启Forefront TMG，在左侧选择“bandwidth Splitter →Shaping Rules”项，在其右键菜单上点击“新建→Rule”项，在向导窗口中输入规则名称，在下一步Applies To 窗口中选择“IP address sets specified below”项，按照IP 地址控制其带宽量。点击“Add”按钮，在弹出窗口中选择“Networks →内部”项，点击“Add”按钮，完成添加操作。

点击“下一步”按钮，在Destinations 窗口中点击“Add”按钮，在弹出窗口中选择“Networks →外部”项，点击“Add”按钮，完成添加操作。在下一步窗口中的“This rule applies on this schedule”列表中选择计划项目，例如，选择“Always”项，表示在任意时间内均执行该控制策略。在下一步窗口的列表中选择带宽控制类型，包括总流量、进出的数据、进入的数据以及发出的数据等。在下一步窗口中选择“Limit number of concurrent con nextions”项，可以输入允许连接的数量。例如，对于BT下载来说，会和外界建立很多连接等。

点击“下一步”按钮，然后选择“Assign bandwidth individually to each appli cation user/address”项，表示为每一个内网用户分配上述预设的带宽。选择“Disytibute bandwidth between all users/addresses”项，表示所有用户共同拥有上述预设的带宽。点击“完成”按钮，创建该规则。之后点击工具栏上的应用按钮，激活该规则。

这样，当内网用户在下载数据时，其速度无法超过预设值（例如每秒200 KB 等）。

过滤恶意站点

为了防止用户误入钓鱼、诈骗及赌博等非法网站，Forefront TMG 提供了URL地址分类过滤功能，可以对这些威胁行为进行屏蔽。如果用户不小心访问了这些网站，Forefront TMG 可以对其进行检测，当发现它们存在危害性时，就会进行拦截。

在 Forefront TMG 控制台左侧选择“Web 访问策略”项，在中部选择“allow access Web”规则（该规则允许所有的内部用户均可访问Internet），在右侧的“工具箱”面板中打开“URL 类别”项，在其下显示预设的各种类别。例如双击“赌博”类，在弹出窗口中显示其描述信息。

在“任务”面板中点击“配置URL 筛选”链接，在URL筛选设置窗口中的“常规”面板中选择“启用URL 筛选”项，在“类别查询”面板中输入某个网站地址，点击“查询”按钮，可以查看其所属的类别。点击“应用”按钮，保存配置信息。在“allow access Web”规则的右键菜单上点击“配置HTTP”项，在弹出窗口的面板中的“例外”列表中点击“添加”按钮，在添加网络实体窗口中打开“URL 类别”项，在其下选择双击具体的类别（例如赌博或仿冒网站等），将其添加到例外列表中。点击“应用”按钮，保存配置信息。

这样，当内网用户访问这些类别的网站时，就会被Forefront TMG 屏蔽。

查看加密数据包，防止病毒入侵

前面谈到的Forefront TMG的病毒过滤功能，针对的是未加密的通讯而言的。只有让Forefront TMG 了解加密的内容，才可以执行检测功能。

要想实现上述功能，首先需要在Forefront TMG 主机和内网主机之间配置证书。在Forefront TMG 控制台左侧选择“Web 访问策略”项，在右侧的“HTTPS 检查”栏中点击“已禁用”链接，在弹出窗口中选择“启用HTTPS 检查”项，启用该功能。选择“检查通讯并验证站点证书”项，表示让Forefront TMG 检测目标HTTPS 网站证书的合法性，并让它可以检测加密通信中的数据是否安全。

选 择“使 用Forefront TMG 生成证书”项，点击“生成”按钮，在弹出窗口中可以更改颁发者名称，选择从不过期项目，输入说明信息，并点击“立即生成证书”按钮，在证书窗口中显示详细信息，点击“安装证书”按钮，执行证书安装操作。

在上一个窗口中点击“HTTPS 检查收信人根CA 证书选项”按钮，在弹出窗口中点击“查看证书详细信息”按钮，在查看证书窗口中点击“安装证书”按钮。在向导界面中选择“将所有的证书放入下列存储”项，点击“浏览”按钮，在“选择证书存储”窗口中选择“显示物理存储区”项。在列表中选择“受信任的根证书颁发机构”→“本地计算机”项，点击“完成”按钮，导入该证书。

之后选择“通过Active Directory 自动进行”项，点击“域管理员凭据”按钮，并输入域管理员账户名（格式为“域名/账户名”）和密码，执行证书部署操作。这样，域中的所有主机就都可以信任Forefront TMG 产生的证书了。

当然，需要在Forefront TMG 主机和域中各主机上执行“gpupdate/force”命令，来获取上述证书。运行“mmc”命令，在控制台窗口中点击“文件→添加/删除管理单元”项，在弹出窗口选择“证书”项，点击“添加”按钮，依次选择“计算机账户”和“本地计算机”项，然后在左侧选择“证书→受信任的根证书颁发机构→证书”项，在右侧可以看到上述证书信息。

这样，当内网主机和目标HTTPS 网站进行通讯时，Forefront TMG 防火墙就可以对它们进行检测和分析，及时发现其中的病毒并进行拦截。