使用Forefront TMG安全發(fā)布內(nèi)網(wǎng)服務(wù)

■ 河南 郭建偉

編者按：很多企業(yè)往往希望將內(nèi)網(wǎng)服務(wù)發(fā)布到Internet，便于用戶從外網(wǎng)順利訪問。雖然可以利用硬件防火墻來實現(xiàn)該要求，不過硬件防火墻價格較高，配置和使用起來也比較繁瑣。其實對于一些中小企業(yè)來說，完全可以使用Forefrong TMG軟件防火墻來實現(xiàn)上述功能。在一定程度上Forefrong TMG甚至具有一般硬件防火墻不具備的功能。

配置所需網(wǎng)絡(luò)環(huán)境

某企業(yè)部署了Lync 2013服務(wù)平臺，存在Lync邊緣服務(wù)器、Lync前端服務(wù)器和Office Web App Server、域控、證書服務(wù)器等設(shè)備，通過Forefront TMG和外網(wǎng)連接。

為發(fā)揮Forefront TMG功能，需指定兩個公網(wǎng)IP，一個用于連接Lync邊緣和前端服務(wù)器，另一個連接Office Web App Server服務(wù)器。點擊“外部網(wǎng)絡(luò)連接屬性→Internet協(xié)議版本 4（TCP/IPv4）→高級→IP設(shè)置→添加”，添加新外網(wǎng)地址。

在Forefront TMG主機執(zhí)行ipconfig命令，顯示IP為123.xxx.xxx.100和123.xxx.xxx.101，對內(nèi)連接IP為172.16.3.10。為保證內(nèi)網(wǎng)服務(wù)器都通過Forefront TMG連接 Internet，需打開“網(wǎng)絡(luò)連接屬性窗口→Internet協(xié)議版本 4（TCP/IPv4）→使用下面的IP地址→默認(rèn)網(wǎng)關(guān)”，輸入其對內(nèi)地址（如“172.16.3.10”），使 其 成 為Forefront TMG的客戶端。

注意，對于Lync邊緣服務(wù)器來說，需要調(diào)整的是對外網(wǎng)絡(luò)連接。啟動Forefront TMG，在配置向?qū)Ы缰悬c擊“配置網(wǎng)絡(luò)設(shè)置→下一步→邊緣防火墻”項，分別選擇內(nèi)部網(wǎng)絡(luò)連接和外部網(wǎng)絡(luò)連接項目。在向?qū)Ы缑孢x擇“配置系統(tǒng)設(shè)置”項，在“成員”列表選擇“工作組→定義部署選項→使用Windows Update服務(wù)檢查更新”，在下一步窗口啟用Web保護、惡意軟件檢查等功能。

對Forefront TMG進行簡單測試

在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項，右擊選擇“新建→訪問規(guī)則”項，在向?qū)Ы缑嬷休斎朊Q，在下一步窗口中選擇“允許”項，之后點擊“添加”按鈕，在添加協(xié)議窗口中打開“通用協(xié)議”分支，在其中選擇 DNS、HTTP、HTTPS、ping、POP3、SMTP等基本協(xié)議。點擊“下一步”并選擇“不對該規(guī)則啟用惡意軟件檢查”項。

在下一步窗口中點擊“添加”按鈕，在添加網(wǎng)絡(luò)實體窗口中的“網(wǎng)絡(luò)”節(jié)點，選擇“內(nèi)部”項。在下一步窗口中一次點擊“添加→網(wǎng)絡(luò)→外部”項。之后完成該規(guī)則的創(chuàng)建操作。點擊Forefront TMG控制臺右側(cè)的“應(yīng)用”按鈕，讓該規(guī)則生效。之后在內(nèi)網(wǎng)主機上訪問外部網(wǎng)絡(luò)，例如對目標(biāo)主機進行ping探測，可以看到其返回信息由請求超時到正常狀態(tài)，說明Forefront TMG已經(jīng)發(fā)揮了作用。

配置訪問策略，允許外網(wǎng)登錄Lync平臺

在本例中，F(xiàn)orefront TMG不僅發(fā)揮了防火墻的功能，還起到了反向代理的作用，將內(nèi)網(wǎng)中的多個服務(wù)發(fā)布出去。

因此，對于Forefront TMG主機連接外網(wǎng)的第一個IP來說，需要將TCP 5061端口映射到內(nèi)部Lync服務(wù)器的 TCP 5061端口上，主要保證外網(wǎng)用戶可以順利登錄到Lync平臺。與之關(guān)聯(lián)的服務(wù)使用的是SIPS協(xié)議，在Forefront TMG中已經(jīng)內(nèi)置了對該協(xié)議的支持。

之后需要將其TCP 442端口映射到Lync邊緣服務(wù)器的TCP 442端口上，主要用來實現(xiàn)語音和視頻通訊功能，接下來需要將其TCP 444端口映射到Lync邊緣服務(wù)器的TCP 444端口上，主要用來實現(xiàn)視頻會議功能。其中后兩者使用的協(xié)議在Forefront TMG中并不支持，所以需要我們進行自定義處理。

在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項，在右側(cè)的“工具箱”面板中選擇“協(xié)議”項，點擊菜單“新建→協(xié)議”項，輸入該協(xié)議的名稱（例如“l(fā)yncvoice”），在下一步窗口中點擊“新建”按鈕，在打開窗口中的“協(xié)議類型”列表中選擇“TCP”項，在“方向”列表中選擇“入站”項，在“端口范圍”欄中設(shè)置端口范圍從442到442，點擊“確定”按鈕，在下一步窗口中不啟用輔助連接功能。按照同樣的方法，創(chuàng)建名為“Lyncmeet”的協(xié)議，其使用端口為TCP 444。

在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務(wù)器協(xié)議發(fā)布規(guī)則”項，輸入其名稱（例如“Lyncpub1”），點 擊 下 一步按鈕，輸入Lync邊緣服務(wù)器的對外的IP地址。在下一步窗口中的“選擇的協(xié)議”列表中選擇“SIPS服務(wù)器”項，點擊“下一步”按鈕，在“偵聽來自這些網(wǎng)絡(luò)的請求”列表中選擇“外部”項。點擊“地址”按鈕，選擇Forefront TMG主機的一個對外的IP（這里選擇“123.xxx.xxx.100”）。，點 擊“添加”按鈕將其選中。

當(dāng)應(yīng)用了該規(guī)則后，可以在外網(wǎng)的客戶機上打開“C:WindowsSystem32DriversEtc”目錄，打開其中的“Hosts”文 件，在 其中 輸 入“123.xxx.xxx.100 sip.xxx.com”行，添加所需域名和指定IP的對應(yīng)關(guān)系。之后執(zhí)行“ping sip.xxx.com” 和“telnet sip.xxx.com 5061”命令，可以檢測到內(nèi)網(wǎng)中的Lync邊緣服務(wù)器。啟動Lync客戶端，輸入合適的賬號（即內(nèi)網(wǎng)域賬戶郵箱名稱），是可以登錄到內(nèi)網(wǎng)中的Lync平臺的。

注意，外網(wǎng)客戶機和內(nèi)網(wǎng)Lync服務(wù)器之間的信任關(guān)系實現(xiàn)已經(jīng)建立，即在客戶端上安裝對應(yīng)的根證書，讓兩者可以互相信任。

與普通高等院校相比，公辦高職院校的品牌知名度及品牌認(rèn)可度都不高，這與職業(yè)學(xué)院的品牌傳播缺乏系統(tǒng)性不無關(guān)系。雖然一些職業(yè)院校有進行品牌宣傳，但是在宣傳媒介的數(shù)量、宣傳的方式、宣傳的內(nèi)容上缺乏精心的選擇和策劃設(shè)計，院校并沒有建立起規(guī)范化的品牌傳播系統(tǒng)，宣傳主體分散在系部、黨委辦公室、院長辦公室等平行部門，很多的宣傳推廣都是出于管理層的臨時授意，也沒有配備專門的人員對品牌傳播進行管理，所以在操作上嚴(yán)重缺乏規(guī)范性。這種缺乏系統(tǒng)性的品牌傳播方式導(dǎo)致高職院校的品牌傳播效果差，嚴(yán)重制約著學(xué)院的品牌提升。

利用自定義協(xié)議，全面發(fā)布Lync服務(wù)

經(jīng)過以上操作，雖然可以順利登錄，但是只能互發(fā)消息，如果想發(fā)送語音/視頻，發(fā)起會議的話是無法進行的。這是因為僅僅映射TCP 5061端口是不夠的，還需要將其他的對應(yīng)端口映射出去才行，即僅僅通過Forefront TMG發(fā)布一個Lync域名是不行的，必須將多個Lync域名發(fā)布出去。

在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務(wù)器協(xié)議發(fā)布規(guī)則”項，輸入其名稱（例如“Lyncpub2”），點擊“下一步”按鈕，輸入Lync邊緣服務(wù)器的對外的IP地址。在下一步窗口中的“選擇的協(xié)議”列表中選擇自定義的“l(fā)yncvoice”協(xié)議，之后的配置與上述完全相同。

按照同樣的方法，創(chuàng)建名為“Lyncpub3”的防火墻策略，在其中選擇上述名為“Lyncmeet”的協(xié)議。

這樣，就通過名為“sip.xxx.com”的語境，將多個Lync服務(wù)發(fā)布出去。在外網(wǎng)主機端上運行Lync客戶端程序，可以順利連接到內(nèi)網(wǎng)Lync服務(wù)器，執(zhí)行互發(fā)消息，發(fā)送語音/視頻，開啟會議等功能。當(dāng)然，為了便于共享文檔，在內(nèi)網(wǎng)中還配置了Web Office Server服務(wù)器，因此需要將其也發(fā)布出去，

這里使用Forefront TMG主機對外連接的“123.xxx.xxx.101”地址來進行發(fā)布，在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務(wù)器協(xié)議發(fā)布規(guī)則”項，輸入其名稱（例如“Lyncpubwac”），點擊“下一步”按鈕，輸入Web Office Server服務(wù)器的IP地址。在下一步窗口中的“選擇的協(xié)議”列表中選擇“HTTPS服務(wù)器”項，點擊“下一步”按鈕，在“偵聽來自這些網(wǎng)絡(luò)的請求”列表中選擇“外部”項。點擊“地址”按鈕，選擇IP為“123.xxx.xxx.101”。

在外網(wǎng)客戶機桑打開“Hosts”文件，添加“123.xxx.xxx.101 office.xxx.com”行，建立域名和IP的綁定關(guān)系。之后在外網(wǎng)客戶端上登錄內(nèi)網(wǎng)的Lync平臺，是可以順利共享PPT扥文檔。當(dāng)然，如果沒有購買公網(wǎng)證書，僅僅在內(nèi)網(wǎng)加設(shè)CA服務(wù)器的話，還需要在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務(wù)器協(xié)議發(fā)布規(guī)則”項，輸入名稱（例如“Lyncpubca”）及內(nèi)網(wǎng)CA服務(wù)器的IP地址，選擇“HTTP服務(wù)器”項，通過Forefront TMG的對外的“123.xxx.xxx.101”地址，將CA服務(wù)器的TCP 80端口映射出去。這樣，可以實現(xiàn)用戶證書吊銷的校驗操作。

使用Forefront TMG實現(xiàn)反向代理功能

注意，反向代理需要和Lync的前端服務(wù)器建立關(guān)聯(lián)。在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→網(wǎng)站規(guī)則”項，輸入名稱（例如“Lynfx1”），在下一步窗口中依次點擊“許可→下一步→發(fā)布單個網(wǎng)站或負(fù)載平衡器”項，在下一步窗口中選擇“使用不安全的連接連接發(fā)布的Web服務(wù)或服務(wù)器場”項，點擊“下一步”，在“內(nèi)站點名稱”欄中輸入合適的名稱（例如“LyncSite1”），選擇“使用計算機名稱或IP地址連接到發(fā)布的服務(wù)器”項，輸入Lync前端服務(wù)器的IP。

在下一步窗口中的“路徑”欄中輸入“/*”，表示使用所有的路徑。點擊“下一步”，輸入合適的共用名稱（如“meet.xxx.com”），在下一步窗口中點擊“新建”按鈕，在新建Web偵聽器向?qū)е休斎朊Q（例如“Lynczt1”），之后選擇“不需要與客戶端建立SSL安全連接”項，然后在“偵聽來自這些網(wǎng)絡(luò)的請求”列表中選擇“外部”項。點擊“地址”按鈕，選擇Forefront TMG主機的一個對外的IP（這里選擇“123.xxx.xxx.100”）。創(chuàng)建好Web偵聽器后，點擊“編輯”按鈕，在打開窗口中選擇“身份驗證→高級→允許通過HTTP進行客戶端身份驗證”項。

返回上級向?qū)Ы缑?，選擇“無委派，但是客戶端可以直接進行身份驗證”項，之后完成該該策略的創(chuàng)建操作。選擇該策略，在屬性窗口中的“通訊”面板中點擊“端口→將請求發(fā)送到發(fā)布的服務(wù)器的此端口”項，輸入“8080”，將外網(wǎng)訪問TCP 80端口映射到TCP 8080端口。在公共名稱面板中點擊“添加”按鈕，依次增加“dialin.xxx.com”、“l(fā)yncdiscover.xxx.com”等域名。

在Forefront TMG控制臺左側(cè)選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務(wù)器協(xié)議發(fā)布規(guī)則”項，輸入名稱（例如“Lynfx2”），點擊“下一步”，輸入Lync前端服務(wù)器的IP地址。在下一步窗口中“選擇的協(xié)議”列表中選擇“HTTPS服務(wù)器”項，點擊“下一步→偵聽來自這些網(wǎng)絡(luò)的請求→外部→地址”項，選擇Forefront TMG主機的“123.xxx.xxx.101”外網(wǎng)地址。

同理，將該策略的端口由TCP 443映射為TCP 4443。之所以這樣配置，是根據(jù)Lync的實際需求而定的，因為Lync的對內(nèi)和對外的端口并非一致。在外網(wǎng)客戶機上打開“Hosts”文件，添加“123.xxx.xxx.100 meet.xxx.com”，“123.xxx.xxx.100 dialin.xxx.com”，“123.xxx.xxx.100 lyncdiscover.xxx.com”等行，建立對應(yīng)的域名和IP的綁定關(guān)系。在客戶端上執(zhí)行“telnet meet.xxx.com 80”，“telnet meet.xxx.com 443”，可以看到連接沒有問題。在外網(wǎng)客戶端上打開瀏覽器，訪問“https://meet.xxx.com”地址，可以加入到內(nèi)網(wǎng)中的Lync會議中。