企業(yè)級防火墻tmg

1、企業(yè)級防火墻TMG,By 姜斌斌,Forefront TMG,Forefront TMG是一個高級狀態(tài)檢測以及應(yīng)用層檢測防火墻，同時還包括VPN以及Web緩存，使您能夠最大化利用現(xiàn)有投資，提升信息安全和性能。它是微軟安全戰(zhàn)略架構(gòu)Forefront中的新成員，替換原來的Microsoft Internet Security and Acceleration (ISA)，成為下一代網(wǎng)絡(luò)邊緣防護產(chǎn)品?；跔顟B(tài)檢測是TMG的一個亮點，由此For

2、efront網(wǎng)絡(luò)邊緣防護覆蓋了OSI 7層模型中的上5層，即網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層，讓網(wǎng)絡(luò)安全防護更加安全。,對比網(wǎng)絡(luò)防火墻和企業(yè)級防火墻功能,網(wǎng)絡(luò)層防火墻：基于數(shù)據(jù)包、目標地址、原地址、協(xié)議（TCP UDP ICMP）、目標端口高級防火墻：有網(wǎng)絡(luò)層防火墻的全部功能基于用戶、時間、內(nèi)容、方法進行控制,安裝TMG,實驗環(huán)境：邊緣防火墻,安裝TMG客戶端,Forefront TMG客戶端利用TMG 2010為客戶端

3、計算機提供HTTPS檢測通知(HTTPS inspection notification)、自動發(fā)現(xiàn)(Automatic Discovery)、增強的安全性、應(yīng)用支持，以及訪問控制。當運行Forefront TMG客戶端的計算機發(fā)出防火墻請求，該請求被定向發(fā)送到TMG 2010計算機做進一步處理。由于它屬于Winsock進程，因此無需特定的路由架構(gòu)支持。Forefront TMG客戶端透明地發(fā)送用戶信息，這樣用戶就能夠在Forefron

4、t TMG 2010計算機上創(chuàng)建防火墻策略，防火墻策略遵從客戶頒發(fā)的認證證書的規(guī)則，但僅限于TCP和UDP流量。對于其他任何協(xié)議，則必須使用安全NAT客戶端連接。,TMG客戶端的作用,HTTPS檢測通知、活動目錄標記(Active Directory Marker)、TMG客戶端的標準功能、用戶或組防火墻策略適用于TCP和UDP協(xié)議的網(wǎng)絡(luò)/非網(wǎng)絡(luò)代理、支持復(fù)雜協(xié)議，而無需使用TMG應(yīng)用程序篩選器、簡化大型組織的路由配置、自動探測基于DN

5、S和DHCP服務(wù)器設(shè)置的TMG信息。,防火墻客戶端部署(一),1、使用組策略軟件安裝部署安裝客戶端2、配置DNS支持防火墻客戶端發(fā)現(xiàn)TMG步驟：DNS-新建別名-wpad禁用DNS服務(wù)器全局組織列表：dnscmd Justin.jus.com /config /enableglobalqueryblocklist 0清除DNS緩存:ipconfig /flushdns,防火墻客戶端部署(二),1、帶參數(shù)的安裝防火墻客戶端指定

6、TMG2、\\dc\software\MS_FWC.msi SERVER_NAME_OR_IP=tmg.jus.com ENABLE_AUTO_DETECT_DETECT=0 REFRESH_WEB_PROXY=0 /qn 解釋：qn為不顯示安裝進度 qb為顯示安裝進度 3、組策略開機啟動腳本ms.cmd,防火墻客戶端部署(三),1、配置DHCP支持防火墻客戶端發(fā)現(xiàn)TMG防火墻2、步驟：設(shè)置預(yù)定義的選項——如圖,過濾病毒限