内部网络的办公终端要求访问互联网,主要是收发邮件和查找资料。但以前多次发生一台终端上网感染病毒后,在内部网络大面积传播的问题,逐台查杀病毒花费了不少时间,而且还不容易断根,病毒很容易死灰复燃。为了平衡需求和安全的矛盾,部署了微软的Forefront TMG软件,该软件可作为防火墙和网页缓存服务器使用,但只使用网页缓存服务器功能。

一、试验环境

虚拟机软件使用VMWare7.0

建立一个虚拟机,安装Windows 2008 R2 64位操作系统和TMG服务器软件。虚拟机配置双网卡,一个网卡使用主机模式的虚拟网络,连入地址范围为192.168.2.0/32的内网,而另一个网卡使用桥接模式的虚拟网卡,使用外部路由器提供的DHCP,自动获取一个IP地址,并通过宿主机连入互联网。

建立一个虚拟机,安装Windows XP SP2操作系统和TMG客户端软件,配置单网卡,连入地址范围为192.168.2.0/32的内网。

客户端与服务器端之间网络保持连通。

二、试验过程

1.安装完TMG服务器端,选择“单一适配器”的网络模式,将连接内部网络的网卡作为“内部网络”,并启用对Forefront TMG客户端和Web代理客户端 的支持。安装完客户端软件,发现客户端无法连接到服务器端,解析服务器端名字失败,因此不能自动从服务器端下载配置文件完成对IE浏览器的设置。

解决该问题的办法是,在TMG管理控制台上增加一个访问规则,规则允许从“内部网络”到“本地主机”的NetBIOS会话、NetBIOS名称服务和NetBIOS数据报协议的网络通信,启用并应用规则后,客户端可以连接到服务器端,同时查看IE浏览器的代理服务器设置,发现已经自动将服务器端的IP地址作为代理服务器的地址,代理端口使用8080

2.客户端访问外网的站点,例如www.google.com.hk,因为还没有得到授权,因此访问请求被TMG拒绝。

解决该问题的办法是,在TMG管理控制台中,增加一个访问规则,规则允许“内部网络”和“本地主机”到“外部网络”的HTTPHTTPS协议的网络通信。启用并应用规则后,再次访问外网站点,发现可以成功访问。

3.安装完服务器端后,TMG会自动接管服务器的Windows桌面防火墙,因此不需要单独再进行配置。安装完客户端后,为防止浏览互联网时感染网页携带的病毒和***,可以启动Windows桌面防火墙,并且不允许任何例外。

4.为保证安全,还可以进一步配置TMG,使用其提供的恶意网站、恶意软件和恶意行为检测等功能发现威胁,并自动阻断访问。