只有加入到域才能上网

在以前，我写过一篇“别再随便上网的文章”，介绍了使用ISA Server 2006、Windows Server 2003的Active Directory，主要内容是让网络中的计算机加入到域、然后安装ISA Server防火墙客户端、使用ISA Server作“代理服务器”后，才能让用户上网的文章。这是在奥运期间，给几个政府做的网络安全中的一部分。这个方案在很长的一段时间应用都没有问题，但随着用户水平的提高，有以下问题：

（1）一些用户发现，即使不加入到域，而在IE浏览器中指定代理服务器的地址（ISA Server的地址）与防火墙的端口，也能上网。

（2）在使用代理服务器后，除了要在IE中指定代理服务器的地址、端口外（这个是由ISA Server防火墙客户端自动设置好的），其他的一些软件，也需要指定代理服务器与端口，这样就造成了用户的负担。虽然可以在ISA Server中设置策略（排除对HTTP之外协议的身份认证－创建策略，允许“所有用户”从“内部”到“外部”使用除HTTP协议之外的所有协议），但这样一来又与我们的初衷不相符合（只有域用户或只有认证用户才能上网）

1 实验拓扑

为了解决这两个问题，我搭建了图1的实验环境，并实验成功（由于现在许多单位的网络已经升级到Windows Server 2008与Forefront TMG 2010，本实验用TMG 2010，ISA Server与此配置相同）。现简单介绍一下。

图1 实验拓扑

在图1中，有两台Windows Server 2008，其中一台作Active Directory服务器，计算机名称为ad，域名为msft.com，IP地址为192.168.1.2，网关为192.168.1.1，DNS为192.168.1.2；另一台计算机安装Windows Server 2008 X64（或Windows Server 2008 R2），加入到msft.com域，其中内网IP地址为192.168.1.1，外网IP地址为192.168.88.100（用路由器连接到Internet，这是路由器的“内网”地址），DNS为192.168.1.2。另外，在ad.msft.com计算机中安装并配置了DHCP服务器，为网络中的工作站分配IP地址等参数。

网络中有两台工作站，分别安装Windows XP与Windows 7，这两台计算机都加入到域。

2 服务器配置

实验的主要步骤如下：

（1）在192.168.1.2的计算机中，安装并配置DHCP服务器，设置作用域的地址范围为192.168.1.100～192.168.1.120，子网掩码为255.255.255.0，设置作用域的网关地址为192.168.1.1，DNS为192.168.1.2。同时添加“选项名”为“WPAD”、值为“http://tmg2010.msft.com:80/wpad.dat”的选项，如图2所示。这是为DHCP的客户端自动指派Forefront TMG防火墙服务器的配置。

图2 配置DHCP

（2）在Forefront TMG 2010的管理控制台中，在“网络连接”中，双击右侧的“内部”，在“web代理”选项卡中，取消“为此网络启用web代理客户端连接”的选择，如图3所示。

图3 取消Web代理客户端连接

【说明】禁用Web代理客户端后，用户再手动设置“ISA Server或Forefront TMG做代理”将不起作用，因为Forefront TMG代理服务器没有启用。

（3）在“Forefront TMG客户端”选项卡中，选中“启用此网络的Forefront TMG客户端支持”，并且指定Forefront TMG的名称，在本例中为“tmg2010.msft.com”，然后取消“自动检测设置”、“使用自动配置脚本”、“使用Web代理服务器”的选择，如图4所示。

图4 启用Forefront TMG客户端支持

（4）然后返回到“防火墙策略”，创建访问规则，允许“msft”用户以“所有协议”从“内部”访问“外部”，如图5所示。

图5 创建访问规则

其中“msft”是在Forefront TMG中创建的“用户集”，代表“msft.com整个域”中的“domain users”用户组（表示域中所有用户），如图6所示。

图6 添加域用户集

（5）然后应用策略即可。

3 工作站验证

接下来在Windows XP与Windows 7计算机上进行设置。主要步骤如下：

（1）在Windows XP与Windows 7中，分别设置为“自动获取IP地址与DNS地址”，然后加入到域并以域用户登录，安装Forefront TMG的防火墙客户端，安装完成之后，进入“Forefront TMG客户端”配置，在“设置”选项卡中，选中“启用Forefront TMG客户端”并选中“自动检测到的Forefront TMG”，将会检测到Forefront TMG服务器的地址，在本例中为tmg2010.msft.com，如图7所示。

图7 安装Forefront TMG客户端并检查配置

（2）然后在客户端中浏览网页、登录QQ、UC、MSN等，使用其他网络软件，这些不用配置都可以使用，如图8所示。

图8 上网、QQ、UC正常

（3）在Windows 7客户端测试也正常，如图9所示。

图9 Windows 7测试正常

（4）如果以“本地用户”登录到计算机，不能上网，也不能用其他软件（例如QQ），如图10所示。即使设置了代理服务器也不行。

图10 不加入到域则不能上网

4 后记

下表列出了Forefront TMG几种客户端的要求与支持身份验证级别、协议支持。

功能	Forefront TMG 客户端/防火墙客户端	Web 代理客户端	SecureNAT 客户端
安装详细信息	必须在客户端计算机上安装 Forefront TMG 客户端或其他防火墙客户端软件	不需要安装。	不需要安装。
操作系统支持	Windows 操作系统。	运行与 CERN 兼容的应用程序的任何平台。 从这类应用程序发出请求的 SecureNAT 和防火墙客户端还作为 Web 代理客户端。	可以使用支持 TCP/IP 的任何操作系统。
协议支持	支持所有 Winsock 应用程序。	支持将 HTTP、HTTPS 和 FTP 用于下载请求。	支持所有简单协议。 需要多个主要连接或辅助连接的复杂协议需要使用 Forefront TMG 应用程序筛选器。
用户级身份验证	向 Forefront TMG 服务器自动发送客户端凭据，并根据需要进行身份验证。	如果 Forefront TMG 请求凭据，则可以进行身份验证。 如果启用匿名访问，则不提供任何凭据。	无法提供凭据，并且无法通过 Forefront TMG 进行身份验证。
建议	当需要 Forefront TMG 中的身份验证规则以改进 Forefront TMG 的自动恢复时，用于用户名登录和支持辅助协议。	用于通过代理的基于用户的 Web 访问和发送到上游代理的链 Web 请求。 由于 Web 请求被直接转发到 Web 代理筛选器，因此性能良好。	用于非 Windows 客户端。 在需要支持非 TCP 或 UDP 协议（如 ICMP 或 GRE）时使用。 如果要将客户端原始的源 IP 地址转发到已发布服务器，应将已发布的非 Web 服务器配置为 SecureNAT 客户端。

Forefront TMG服务器在TCP的1745端口侦听Forefront TMG客户端的请求，你可以在防火墙客户端使用netstat –an –p tcp命令，来查看防火墙客户端与服务器端的连接，如图11所示。

图11 防火墙客户端与服务器端的连接