TMG三种客户端模式

TMG的简介：

TMG(Forefront-Threat Management Gateway)威胁管理网关，Forefront TMG是一个高级状态检测以及应用层检测防火墙，它是微软安全战略架构Forefront中的新成员，替换原来的Microsoft Internet Security and Acceleration (ISA)，成为下一代网络边缘防护产品。

ISA 不仅仅是一个防火墙，而是通过与其他微软产品或技术（例如活动目录）结合来实现完善的企业安全管理与控制。而从这次产品名称变更（从 ISA（互联网安全与加速，Internet Security and Acceleration）变更到 TMG，除了一贯的提供对于活动目录的支持外，TMG 已经能够完美的和 NAP 进行集成，实现完善的 VPN 隔离与控制；基于状态检测是TMG的一个亮点，由此Forefront网络边缘防护覆盖了OSI 7层模型中的上5层，即网络层、传输层、会话层、表示层、应用层，让网络安全防护更加安全。ISA凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能，在企业中有着 广泛的应用。被公认为X86架构下最优秀的企业级路由软件防火墙。

TMG&IS相对的优势：主要体现在四大方面：

1. 企业级的安全整合与管理

ISA（Internet Security and Acceleration）主要负责网络边缘范围的安全防范与保护；

TMG（Threat Management Gateway）不仅想负责网络边缘范围的安全与防护而是想统一企业安全威胁管理；TMG除了一贯的提供对于活动目录的支持外，TMG已经能够完美的和NAP进行集成，实现完善的VPN隔离与控制；

2. 架构变更与提升

从32位的windows2003架构完美的提升到了64位windows2008 的架构；

Windows2008架构与windows2003架构相比主要体现于：完美支持64位地址寻址，从而不再受4G内存的寻址限制，在内存的读写及管理方面得到了极大的性能提升，从而TMG可以支持更多用户，连接线程和带宽；

通过TCP/IP IP层支持IPV6，windows server2008通过TCP/IP层来同时支持IPV4 IPV6；

TMG中使用默认日志记录软件不在是SQL 2000系列中的MSDE而是SQL 2005系列中的 SQL server2005 Express;TMG不在使用独立报告生产组件，而是通过SQL Server Reporting services来集成提供报告服务。

3. Web反病毒与过滤

TMG中内置的web反病毒引擎和Forfront Client Security的反病毒引擎相同，并且通过Microsoft Updata来实现特征定义的更新；在反病毒功能中，可以配置是否进行web反病毒扫描，当发现病毒是是否尝试清除，当处理时间超过多少就拒绝访问、当压缩文件嵌套多少就拒绝访问、当文件大小超过多少就拒绝访问等

4. 人性化管理与集成操作

第一次进入TMG管理控制台时会自动调用开始配置向导，从而协助配置TMG的配置工作;

管理控制节点的整合，将防火墙策略整合在一起。

TMG的全新安装及配置：

建议在安装前将内部及外部地址配置好；

TMG安装完，默认的防火墙策略是拒绝一切通讯的，所以安装完必需手动去创建一条访问规则，允许内部用户访问互联网（根据需求环境而定）；

TMG提供三种客户端模式：分别为：

Web代理客户端防火墙客户端SNAT客户端

一 Web代理

默认情况TMG是启用Web代理服务的

 

web客户端代理配置简单只需在客户端internat属性中配置，功能有限只支持web访问，客户端不需设Dns，而是转发的TMG服务器进行，同时也支持身份验证。

Web代理配置简单，但功能也受限制，用户只能以浏览器作为客户端对互联网进行访问。

二 防火墙客户端代理

默认情况TMG是启用Forefront TMG client代理服务

 

防火墙代理，是在客户端安装isa客户端，只能在windows系统上安装，支持dns转发，支持身份验证，只能在windows系统上安装；由于Web代理只能使用浏览器访问互联网，功能不够全面，因此微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件，就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务；

如果客户机通过Firewall client类型来访问互联网的话，我们需要去设置WPAD；WPAD不仅能让客户机浏览器自动发现代理服务器，还可以用于防火墙客户端自动发现代理服务器

设置WPAD的方法有很多，最常见的通过DNS及DHCP进行配置

WPAD（Web Proxy Auto Discovery）Web代理服务器自动发现

用DNS部署WPAD在域环境下比较合适，在工作组环境下就需要进行一些调整，但无论是创建DNS私有根还是更改客户机的计算机名后缀，都不算是非常完美的解决方案。因此我们建议在工作组环境下可以考虑用DHCP来解决这个问题，我们在下篇博文中将介绍如何利用DHCP来解决WPAD部署的问题。

用DNS配置WPAD必需通过80端口进行设置

小结：用DHCP部署WPAD还是很方便的，既不限制端口，又不受客户机计算机名影响，无论是工作组还是域都能很好地工作，个人建议管理员应更多考虑

三  SNAT客户端

SNAT客户端，SNAT代理实际上是起到了代替server 路由与远程访问的功能，配置时手动指定默认网关为TMG内部地址即可，还需要手动指定Dns，因为不支持Dns转发；客户机尝试SNAT之前先将防火墙客户端关闭；因为这三种模式是有优先级的；分别为：web proly、firewall client、Snat；

总结：

ISA的三种客户端都能提供访问互联网的功能，Web代理只允许用户使用浏览器访问互联网，而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证，Web代理和防火墙客户端就可以大显身手了，事实上，微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢？因为Web代理可以使用ISA缓存，真正起到加速作用。如果你希望为用户上网提供尽可能的便利，而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件，那么SNAT必然是你的最爱，只需配好DHCP就一切OK了。最后要提醒大家的是，Web代理和防火墙代理都有DNS转发功能，而SNAT则不存在这个问题。

本文转自 高文龙 51CTO博客，原文链接：http://blog.51cto.com/gaowenlong/813808，如需转载请自行联系原作者