首先,要说下SSL隧道模式和SSL桥接模式

SSL隧道模式可以理解为传统的端口映射

SSL桥接模式有一个验证过程,它会把公网上的数据包进行拆分,解析,但是要实现TMG防火墙能够解析共网上发送过来的加密数据包,我们需要在TMG上作如下工作:

1、TMG信任公司的CA证书颁发机构

2、TMG能够解析域名到内部的HTPPS站点

3、把内部的HTPPS证书私钥导出到TMG证书上

下面我们按照之前的介绍下载CA信任证书,并导入到TMG服务器上的受信任的根证书颁发机构的证书中,让TMG服务器信任CA证书颁发机构

    144754862.png

这样TMG就信任了CA证书颁发机构

第二步,我们让TMG能够解析到内部HTTPS站点,我们只需要在TMG服务器上的HOSTS文件中添加如下记录即可:HOSTS文件路径及记录如下:

    144857258.png

第三步:我们从Exchange中导出私钥并导入到TMG服务器中,具体步骤如下

    144940223.png

在服务器配置下,点击右下角的导出Exchange证书

    145027421.png

点击导出,然后回到TMG中把刚才导出的私钥导入到TMG服务器的个人证书中,如下图:

    145102391.png

这样就完成了上面我们需要的准备工作,接下来我们开始利用SSL桥接模式创建网站发布规则发布Exchange OWA,首先我们禁用前面创建的Publish Exchange OWA规则(即:SSL隧道模式发布的OWA)

1、右击防火墙,新建一条网站发布规则

    

145239448.png

145242734.png

145244643.png

145246116.png

145248567.png

145250776.png

145252884.png

145255909.png

点击“新建”新建一个Port 443侦听器

145358967.png

145401261.png

145403901.png

145405912.png

点击选择证书

145445904.png

点选mail.iSusan.cn这张证书,然后点击右小角的选择选定证书

145548612.png

145550190.png

145552434.png

145555673.png

点击完成回到刚才的界面,选定好Port 443

145655817.png

145657344.png

145659535.png

145701359.png

点击完成,应用防火墙规则,等待片刻,我们回到WIN701上访问OWA,发现可以正常访问

145745867.png

SSL桥接模式跟SSL隧道模式一个显著的效果就是可以配置筛选条件

 

145837663.png

145839579.png

从上面两个图我们可以看到,桥接模式可以配置HTTP

145939141.png

这样我们可以更有效的控制内部网络的安全,如上图:我们可以阻止包含Windows可执行文件内容的响应。

至此,SSL桥接模式发布OWA也到此结束!