Forefront TMG安全發(fā)布網(wǎng)站

引言：在單位內(nèi)網(wǎng)中，通常設(shè)置有各種網(wǎng)絡(luò)服務(wù)器，但是將內(nèi)網(wǎng)網(wǎng)站直接發(fā)布到Internet上，存在很大的安全風(fēng)險(xiǎn)。這就需要使用防火墻來保護(hù)其安全。但硬件防火墻價(jià)格較高，而利用Forefront TMG 2010防火墻軟件就可以為內(nèi)網(wǎng)提供有效的保護(hù)。

在單位內(nèi)網(wǎng)中，通常設(shè)置有各種網(wǎng)絡(luò)服務(wù)器，但是將內(nèi)網(wǎng)網(wǎng)站直接發(fā)布到Internet上，存在很大的安全風(fēng)險(xiǎn)。這就需要使用防火墻來保護(hù)其安全。但硬件防火墻價(jià)格較高，而利用Forefront TMG 2010防火墻軟件就可以為內(nèi)網(wǎng)提供有效的保護(hù)。

Forefront TMG是一款高級狀態(tài)檢測以及應(yīng)用層檢測防火墻，同時(shí)還包括VPN以及Web緩存，能最大化提升信息安全和性能。這里就以實(shí)例來介紹和分析如何使用Forefront TMG 2010安全發(fā)布內(nèi)網(wǎng)網(wǎng)站。

在本例的域架構(gòu)中存在Web服務(wù)器，DC控制器，Exchange 2010服務(wù)器等主機(jī)。Web服務(wù)器IP為192.168.1.9，DC控制器IP為 192.168.1.2，Exchange服務(wù)器IP為192.168.1.10。在DC控制器上安裝了CA證書服務(wù)和DNS服務(wù)，網(wǎng)關(guān)服務(wù)器上安裝的是Forefront TMG 2010防火墻，在其中安裝了兩塊網(wǎng)卡，其公網(wǎng)IP為某具體值。內(nèi)網(wǎng)IP為192.168.1.1。在這些主機(jī)上在其上安裝的都是Windows Server 2008。

圖1 選擇HTTP站點(diǎn)發(fā)布方式

使用Forefront TMG發(fā)布HTTP站點(diǎn)

為讓外網(wǎng)用戶方便訪問內(nèi)網(wǎng)服務(wù)器，需向Internet上的域名提供商申請一個(gè)域名，之后添加對應(yīng)的主機(jī)記錄使之指向內(nèi)網(wǎng)的公網(wǎng)地址。需在Forefront TMG防火墻上對80端口設(shè)置一個(gè)映射，使之映射到內(nèi)網(wǎng)的Web服務(wù)器上。

在Forefront TMG控制臺窗口左側(cè)選擇“防火墻策略”項(xiàng)，在其右鍵菜單上依次點(diǎn)擊“新建”、“網(wǎng)站發(fā)布規(guī)則”項(xiàng)，輸入本規(guī)則名稱，如圖1所示。在“下一步”窗口中選擇“允許”項(xiàng)，點(diǎn)擊“下一步”按鈕，在發(fā)布類型窗口中選擇“發(fā)布單個(gè)網(wǎng)站或負(fù)載平衡器”項(xiàng)，在下一步窗口中選擇“使用不安全的連接發(fā)布的Web服務(wù)器或服務(wù)器場”項(xiàng)表示發(fā)布HTTP網(wǎng)站。在下一步的內(nèi)部發(fā)布詳細(xì)信息窗口中輸入內(nèi)部站點(diǎn)名稱，選擇“使用計(jì)算機(jī)名稱或IP地址連接到發(fā)布的服務(wù)器”項(xiàng)，輸入內(nèi)網(wǎng)Web服務(wù)器地址192.168.1.9。在下一步窗口中“路徑”欄中輸入“/*”，表示發(fā)布整個(gè)網(wǎng)站。

點(diǎn)擊“下一步”按鈕，在發(fā)布名稱細(xì)節(jié)窗口中的“公網(wǎng)名稱”欄中輸入實(shí)際的網(wǎng)站域名，即上述申請的域名信息。在下一步的選擇Web偵聽器窗口中點(diǎn)擊“新建”按鈕，在彈出窗口中輸入該偵聽器名稱。點(diǎn)擊“下一步”按鈕，選擇“不需要與客戶端建立SSL安全連接”項(xiàng)，點(diǎn)擊下一步按鈕，在Web偵聽器IP地址窗口（如圖2）中選擇“外部”項(xiàng)，在下一步窗口中的列表中選擇“沒有身份驗(yàn)證”項(xiàng)，點(diǎn)擊完成按鈕，創(chuàng)建該偵聽器。該Web偵聽器的作用在于當(dāng)Forefront TMG接收到外部用戶訪問其80端口時(shí)才執(zhí)行映射操作。返回上一級窗口，選擇使用該偵聽器，在下一步窗口中選擇“無委派，但是客戶端可以直接進(jìn)行身份驗(yàn)證”項(xiàng)，之后點(diǎn)擊完成按鈕，創(chuàng)建該發(fā)布規(guī)則。

圖2 設(shè)置偵聽器屬性

圖3 偵聽器身份驗(yàn)證高級設(shè)置窗

點(diǎn) 擊Forefront TMG窗口上部的“應(yīng)用”按鈕激活該規(guī)則。為測試該規(guī)則是否發(fā)揮作用，可在Forefront TMG窗口中部的所有防火墻策略列表中選擇名為“Publish Web Site”的規(guī)則，在其屬性窗口中點(diǎn)擊“測試規(guī)則”按鈕，在Web發(fā)布規(guī)則測試結(jié)果窗口中顯示相關(guān)的測試信息，如果出現(xiàn)錯(cuò)誤提示需對其進(jìn)行調(diào)整。例如出現(xiàn)需要將Web偵聽器配置為偵聽SSL端口之類的信息時(shí)，需要在該屬性窗口中的“偵聽器”面板中選擇上述偵聽器名稱，點(diǎn)擊“屬性”按鈕，在其屬性窗口的“身份驗(yàn)證”面板中點(diǎn)擊“高級”按鈕，在彈出窗口（如圖3）中選擇“允許通過HTTP進(jìn)行客戶端身份驗(yàn)證”項(xiàng)，點(diǎn)擊應(yīng)用和確定按鈕保存配置信息。之后點(diǎn)擊Forefront TMG窗口上部的“應(yīng)用”按鈕，重新激活該規(guī)則。之后可以重新執(zhí)行測試，就會發(fā)現(xiàn)測試成功。

申請和管理安全證書

使用HTTP協(xié)議訪問網(wǎng)站存在很大的安全問題。為提高安全性，應(yīng)該為網(wǎng)站綁定安全證書，使用SSL加密的方式進(jìn)行數(shù)據(jù)的傳輸，這樣即使有黑客對其進(jìn)行攔截嗅探，也無法獲取真實(shí)的內(nèi)容。在實(shí)際工作中，需要向第三方證書頒發(fā)機(jī)構(gòu)購買證書，這里為了便于說明，可以在DC控制器上安裝活動(dòng)目錄證書服務(wù)，來執(zhí)行證書的頒發(fā)操作。對使用者來說，首先要信任該證書頒發(fā)機(jī)構(gòu)，對加入域的主機(jī)來說，只需在CMD窗口中執(zhí)行“gpupdate/force”命令，通過刷新組策略的方法，可以讓該機(jī)信任證書頒發(fā)機(jī)構(gòu)。

申請證書的方法有很多，例如在Exchange 2010中打開管理控制器，在其左側(cè)點(diǎn)擊“服務(wù)器配置”項(xiàng)，在右側(cè)點(diǎn)擊“新建Exchange證書”鏈接，在向?qū)Ы缑妫ㄈ鐖D4）中輸入該證書的友好名稱，在下一步窗口中打開“客戶端訪問服務(wù)器”項(xiàng)，選擇其中的“Outlook Web App在 Intranet上”和“Outlook Web App在Internet上”項(xiàng)，在下一步窗口中選擇合適的域名，點(diǎn)擊“設(shè)置為公用名稱”按鈕，將其設(shè)置為的公用名稱，在下一步窗口中輸入組織，組織范圍，位置等內(nèi)容，點(diǎn)擊瀏覽按鈕，選擇證書請求文件存儲路徑。這樣就生成了證書請求文件，例如“qqzs.req”。

圖4 利用Exchange申請證書

只要將該證書文件提交給第三方證書頒發(fā)機(jī)構(gòu)，就可以買到所需的證書。這里為了簡單起見，可以向DC中的證書服務(wù)申請證書。使用記事本打開該文件，復(fù)制其全部內(nèi)容。在瀏覽器中訪問“http://192.168.1.2/certsrv”地址，在認(rèn)證窗口中輸入域管理員名稱和密碼，在打開的網(wǎng)頁中點(diǎn)擊“申請證書”鏈接，在下一步窗口中點(diǎn)擊“高級證書申請”鏈接，接下來點(diǎn)擊“使用base64編碼的CMC或PKCS#10文件提交一個(gè)證書申請，在提交頁面中的“保存的申請”欄中粘貼請求證書內(nèi)容，在“證書模板”列表中選擇“Web服務(wù)器”項(xiàng)，點(diǎn)擊“提交”鏈接，點(diǎn)擊“下載證書”鏈接，就可以將證書文件保存在本地，其后綴名為“.p7b”。

在上述Exchange 2010窗口中選擇上述申請證書項(xiàng)目，在其右鍵菜單中點(diǎn)擊“完成擱置請求”項(xiàng)，在彈出窗口中點(diǎn)擊“瀏覽”按鈕，選擇上述證書文件，完成導(dǎo)入操作。在該證書的右鍵菜單上點(diǎn)擊“將服務(wù)分配給證書”項(xiàng)，在彈出窗口中選擇“郵局協(xié)議”，“Internet Information Services”，“簡單郵件傳輸協(xié)議”，“Internet郵件訪問協(xié)議”等服務(wù)，點(diǎn)擊完成按鈕，在彈出窗口中選擇“全是”，替換之前的證書，并將之前存在的證書刪除。對于工作組中的主機(jī)來說，也可以執(zhí)行證書申請操作。例如本例中的Web服務(wù)器就處于工作組狀態(tài)，在該機(jī)中的IIS管理器中選擇服務(wù)器名，打開服務(wù)器證書管理窗口，在右側(cè)點(diǎn)擊“創(chuàng)建證書申請”鏈接，執(zhí)行證書申請操作。

注意，在其中的“通用名稱”欄中必須輸入對應(yīng)的網(wǎng)站域名。按照提示創(chuàng)建申請文件，之后按照上述方法，來訪問證書服務(wù)器，獲得所需的證書。點(diǎn)擊“導(dǎo)入”鏈接，完成證書導(dǎo)入操作。注意，在證書存儲格式中選擇“Web宿主”項(xiàng)。如果出錯(cuò)說明該Web服務(wù)器沒有信任根證書頒發(fā)機(jī)構(gòu)?？梢源蜷_上述證書申請頁面，點(diǎn)擊“下載CA證書，證書鏈或CRL”鏈接，點(diǎn)擊“下載CA證書鏈”鏈接下載用來信任根證書頒發(fā)機(jī)構(gòu)的證書。

運(yùn)行“mmc”程序，在控制臺中分別點(diǎn)擊菜單“文件”、“添加或刪除管理單元”項(xiàng)，選擇證書項(xiàng)目，點(diǎn)擊添加按鈕，并選擇“計(jì)算機(jī)賬戶”項(xiàng)，完成證書項(xiàng)目添加操作。依次選擇“證書”、“受信任的根證書頒發(fā)機(jī)構(gòu)”項(xiàng)在，依次點(diǎn)擊“所有任務(wù)”、“導(dǎo)入”項(xiàng)，導(dǎo)入上述“xinren.p7b”文件，就可以讓該Web服務(wù)器信任CA證書頒發(fā)機(jī)構(gòu)。之后在IIS中選擇目標(biāo)網(wǎng)站，在右側(cè)點(diǎn)擊“綁定”鏈接，在彈出窗口中的“類型”列表中選擇“https”項(xiàng)，在“SSL證書”列表中選擇對應(yīng)的證書，就可以為網(wǎng)站綁定證書。對于IIS 8.0來說，對于HTTPS網(wǎng)站來說，同樣是支持主機(jī)頭的，這個(gè)網(wǎng)站的發(fā)布帶來了便利。如果在IIS中的對應(yīng)網(wǎng)站中打開SSL設(shè)置窗口，選擇“要求SSL”項(xiàng)，那么就只能訪問HTTPS網(wǎng)站。但是為了提高通用性，需要采取更加常規(guī)的方法來發(fā)布SSL站點(diǎn)。

使用Forefront TMG隧道模式發(fā)布SSL站點(diǎn)

圖5 新建服務(wù)器發(fā)布規(guī)則向?qū)?/p>

在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項(xiàng)，在其右鍵菜單上依次點(diǎn)擊“新建”、“Exchange Web客戶端訪問發(fā)布規(guī)則”項(xiàng)，輸入該規(guī)則名稱，在選擇服務(wù)器窗口中輸入Exchange郵件服務(wù)器IP，點(diǎn)擊下一步按鈕，在選擇協(xié)議窗口（如圖5）中選擇“HTTPS服務(wù)器”項(xiàng)，在下一步的網(wǎng)絡(luò)偵聽器IP地址窗口中選擇“外部”項(xiàng)，點(diǎn)擊“地址”按鈕，在彈出窗口中的“可用的IP地址”列表中顯示Forefront TMG服務(wù)器上所有可用的外網(wǎng)地址，根據(jù)需要為Exchange服務(wù)選擇對應(yīng)的IP。按照常規(guī)方法，需要在Forefront TMG主機(jī)上配置多個(gè)外網(wǎng)地址，為不同的內(nèi)網(wǎng)服務(wù)器主機(jī)指定不同的外網(wǎng)IP。

點(diǎn)擊完成按鈕，創(chuàng)建該規(guī)則。之后在Forefront TMG中點(diǎn)擊“應(yīng)用”按鈕，激活該規(guī)則。之后在外網(wǎng)服務(wù)器上訪 問“https://mail.xxx.com/owa”地址，就可以訪問內(nèi)網(wǎng)中的Exchange服務(wù)器，本例中“mail.xxx.com”為Exchange服務(wù)器域名。注意，在外網(wǎng)主機(jī)上必須導(dǎo)入證書，讓其信任內(nèi)網(wǎng)中的CA證書頒發(fā)機(jī)構(gòu)。當(dāng)然，前提是必須在Forefront TMG控制臺窗口左側(cè)選擇“防火墻策略”項(xiàng)，在其右鍵菜單上依次點(diǎn)擊“新建”、“網(wǎng)站發(fā)布規(guī)則”項(xiàng)，為內(nèi)網(wǎng)CA主機(jī)創(chuàng)建一條規(guī)則，將CA主機(jī)的80端口發(fā)布出去。

這樣，外網(wǎng)用戶訪問“http://ca.xxx.com/certsrv”地址，輸入域管理員賬戶和密碼，點(diǎn)擊“下載CA證書，證書鏈或CRL”鏈接，之后點(diǎn)擊“下載CA證書鏈”鏈接，獲得所需的證書，按照上述方法，將其導(dǎo)入根證書的頒發(fā)機(jī)構(gòu)，就可以順利訪問內(nèi)網(wǎng)中的Exchange服務(wù)器了。如果購買第三方的證書直接下載導(dǎo)入即可。這樣，就是利用了SSL隧道模式，實(shí)現(xiàn)了安全的訪問操作。按照常規(guī)方式發(fā)布SSL站點(diǎn)，需要為Forefront TMG防火墻主機(jī)配置多個(gè)外網(wǎng)IP，使其和不同的內(nèi)網(wǎng)SSL站點(diǎn)實(shí)現(xiàn)映射操作。