第一章 概述

Forefront是微软系列安全产品;

Threat Management Gateway 威胁管理网关;

Forefront TMG不能封杀P2P和流量控制,只能限制客户端并发连接数;

通常,每600-800个并发连接需要一台TMG;

与×××集成:TMG充分发挥并利用了OS的“路由和远程访问”功能,在TMG的控制台实现了×××功能(PPTP、L2TP、SSTP);

TMG阵列(高可用、可伸缩、分布式永久缓存)和NLB(OS功能集成到TMG);


第二章 安装及基本应用

P20 拓扑图 TMG阵列外侧有个“外网交换机”;

路由:路径选择

NAT:Network Address Translation,IP地址级的1对1映射,每个IP地址,同一时刻只能允许1个内网地址使用;

NAPT:Network Address Port Translation,就是将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应,也就是在<内部地址+内部端口>和<外部地址+外部端口>之间的转换;NAPT普遍用于接入设备中,也称为“多对一”的NAT;


P28 TMG客户端

防火墙客户端 仅Windows系统 安装软件 所有Winsock应用程序

SecureNAT客户端 就是内网用户和×××客户端

Web代理客户端


P79 Https检查的工作原理

为了提供 HTTPS 保护,Forefront TMG 在启动 HTTPS 连接的客户端计算机和安全网站之间充当中介或“中间人”。当客户端计算机启动与安全网站的连接时,Forefront TMG 拦截请求并执行以下操作:

  1. 与所请求的网站建立安全连接(SSL 隧道)并验证该站点的服务器证书。

  2. 复制有关该网站的证书的详细信息,用这些详细信息创建一个新的 SSL 证书,并用一个名为 HTTPS 检查证书的证书颁发机构证书对这个新证书进行签名。

  3. 将这个新证书提供给客户端计算机,并与客户端计算机建立一个单独的 SSL 隧道。

由于 HTTPS 检查证书以前放在客户端计算机的受信任根证书颁发机构的证书存储中,因此客户端计算机会信任由该证书签名的任何证书。在该会话期间,Forefront TMG 服务器可以通过分开该连接并创建两个安全隧道,对客户端计算机和安全网站之间的所有通信进行解密和检查。

http://technet.microsoft.com/zh-cn/library/ee658156.aspx

需要注意的是,由于 HTTPS 扫描的工作原理,有些 Web 服务器站点(例如要求客户端证书验证的 Web 站点)是不支持 HTTPS 扫描的,另外一些表面上使用HTTPS端口、实际上使用伪装协议的 SSL ×××也不支持 HTTPS 扫描。对于这部分站点,你需要在此设置例外,并且可以点击验证按钮来切换是否检查对方的服务器证书有效性。


第三章 TMG应用之多线路和多台服务器发布

P162 发布多个FTP

FTP的PORT与PASV模式

PORT 21 发送PORT命令  服务器20连接客户端PORT包含的端口

PASV 21 发送PASV命令  服务器返回一个随机的高端端口号

通常是FTP工作在PASV模式并配置FTP指定服务端口


通过域名访问内部网站的问题

1.DNS的方法;

2.创建拒绝访问策略,属性 操作中 将web客户端重定向到以下URL


实现双线ISP功能


Panabit流量监控