Forefront TMG 2010防火墙配置与管理指南PDF电子书下载

第1章 ForefrontTMG 2010功能概述 1

1.1 Forefront TMG 2010主要功能 1

1.2 Forefront TMG版本 2

1.3 Forefront TMG系统需求 4

1.4 Forefront TMG的防火墙类别与多网络支持 4

1.5与VPN的集成 5

1.6多功能代理服务器与协议组管理 5

1.7恶意软件检查 6

1.8双线ISP冗余功能 7

1.9网络入侵保护系统 8

1.10 Forefront TMG企业版的特点 9

第2章 快速入门——Forefront TMG 2010标准版的安装 11

2.1准备实验环境 11

2.1.1创建Windows Server 2008 R2的虚拟机 12

2.1.2在虚拟机中安装Windows Server 2008 R2 14

2.1.3 Windows Server 2008 R2的基本配置 17

2.1.4为虚拟机创建快照 20

2.1.5创建Forefront TMG实验虚拟机 20

2.2安装Forfront TMG标准版 22

2.2.1 Forefront TMG安装前的规划 23

2.2.2安装Forefront TMG 26

2.3 Forefront TMG入门向导 29

2.3.1网络设置向导 29

2.3.2系统设置向导 31

2.3.3部署选项 32

2.3.4 Web访问向导 33

2.3.5 Forefront TMG管理控制台与仪表板功能 35

2.4 Forefront TMG的监视功能 37

2.4.1警报 37

2.4.2会话 37

2.4.3连接性验证程序 39

2.4.4服务 42

2.4.5配置 43

第3章 安全访问Internet—— Forefront TMG代理服务器配置 44

3.1 Forefront TMG和网络基础知识 44

3.1.1了解Forefront TMG所处的网络位置 44

3.1.2网络基础知识 47

3.1.3通过电话系统理解路由、NAT、 NAPT的概念 48

3.1.4网络服务与TCP/IP端口 50

3.1.5代理与转换 52

3.1.6端口映射与端口转发 52

3.1.7理解Forefront TMG中的网络 53

3.1.8理解Forefront TMG的网络规则 54

3.1.9理解Forefront TMG的客户端 55

3.2安全连接Internet——让Forefront TMG作为企业中的代理服务器 56

3.2.1配置实验环境 56

3.2.2检测Forefront TMG默认策略 58

3.2.3设置内网ping通网关 59

3.2.4设置内网访问Internet 62

3.2.5 Foregront TMG的时间对象 63

3.2.6定义不受限制用户 70

3.2.7禁止访问某些网站 73

3.2.8针对基于Web的威胁启用保护技术 75

3.3恶意软件检查功能 81

3.3.1启用全局恶意软件检查 81

3.3.2在Web访问规则中启用恶意软件检查 82

3.3.3使用新建访问规则向导启用恶意软件检查 82

3.3.4在现有规则中启用恶意软件检查 82

3.3.5配置全局恶意软件检查选项 83

3.3.6定义恶意软件检查例外 84

3.3.7配置恶意软件检查内容传递 85

3.3.8配置恶意软件定义更新 87

3.3.9配置恶意软件检查存储位置 87

3.3.10验证恶意软件检查更新机制是否正常工作 88

3.3.11通过Web代理链配置恶意软件检查 89

3.4配置HTTP筛选 90

3.4.1配置访问规则进行HTTP筛选 91

3.4.2配置HTTP方法 92

3.4.3配置HTTP扩展名阻止 93

3.4.4配置头阻止 93

3.4.5配置阻止签名 94

3.4.6确定签名的方法 95

3.4.7配置FTP协议策略 98

3.5启用缓存高效访问Internet 98

3.5.1缓存概述 98

3.5.2在Forefront TMG中启用缓存 99

3.5.3配置缓存规则 101

3.5.4配置内容下载作业 104

3.6 Forefront TMG的ISP冗余功能 105

3.6.1 Forefront TMG的双ISP功能概述 106

3.6.2在Forefront TMG中启用ISP冗余 106

3.6.3禁用ISP冗余功能 110

3.7 Forefront TMG部署与使用注意事项 111

第4章 发布服务器到Internet——Forefront TMG防火墙配置 115

4.1发布Web服务器到Intemet 115

4.1.1从SecureNAT客户端访问发布内部服务器的注意事项 115

4.1.2发布服务器到Internet的示意拓扑图 116

4.1.3实验环境准备 117

4.1.4为发布网站创建Web侦听器 120

4.1.5发布www.msft.com到Internet 122

4.1.6发布其他网站到Internet 126

4.1.7通过复制规则的方法发布其他Web服务器 127

4.1.8发布非80端口网站到Internet 128

4.1.9为相同或相关的策略创建策略组 131

4.2发布多个终端服务器到Internet 132

4.2.1发布Forefront TMG本身的终端服务器 133

4.2.2使用其他端口发布终端服务器 135

4.2.3复制规划并修改适合于其他终端的服务器 136

4.3发布多个FTP服务器到Internet 137

4.3.1 FTP的PASV与PORT模式概述 138

4.3.2使用防火墙发布FTP服务器 139

4.4发布邮件服务器到Internet 150

4.5发布使用证书加密的网站 154

4.5.1 HTTPS概述 154

4.5.2安装独立证书服务器 155

4.5.3为www.msft.com网站申请服务器证书 157

4.5.4信任证书颁发机构及申请用户证书 163

4.5.5将用户证书导入到计算机存储中 167

4.5.6发布HTTPS网站 171

4.5.7在客户端验证 175

4.5.8设置客户端必须有证书才能访问网站 175

4.6发布其他服务器到Internet 178

4.6.1发布SharePoint服务器 179

4.6.2发布Exchange的OWA客户端 181

4.6.3发布其他服务器 183

4.7通过域名访问单位内部网站的问题 183

第5章 深刻理解ForefrontTMG 186

5.1 Forefront TMG 2010在不同用户网络中的硬件配置 186

5.1.1服务器硬件设计 187

5.1.2处理器选择 187

5.1.3存储注意事项 188

5.1.4超过500个用户的部署 188

5.1.5其他注意事项 189

5.2规划Forefront TMG网络拓扑 189

5.2.1直接连接到Internet的边缘防火墙 190

5.2.2通过路由器连接到Internet的边缘防火墙 190

5.2.3后端防火墙拓扑 192

5.2.4双WAN出口的边缘防火墙 197

5.2.5全新规划配置的三向外围网络 197

5.2.6从边缘防火墙添加网卡配置三向外围网络 202

5.2.7 Forefront TMG更多网络支持 207

5.3使用Web代理客户端 213

5.3.1检查服务器端的配置 213

5.3.2在客户端配置Web代理 214

5.4防火墙客户端与代理服务器的安装与配置 216

5.4.1在Forefront TMG中启用防火墙客户端 216

5.4.2在DHCP中配置WPAD 217

5.4.3在DNS中配置WPAD 219

5.4.4安装Forefront TMG客户端 220

5.4.5自动安装Forefront TMG客户端 222

第6章 配置VPN网络——Forefront TMG VPN功能应用 224

6.1为Forefront TMG配置PP2P与L2TP的VPN服务 224

6.1.1在Forefront TMG中启用VPN服务器 224

6.1.2用户管理与设置 228

6.1.3在Windows XP中配置PPTP的VPN客户端 229

6.1.4在Windows XP中配置L2TP的VPN客户端 231

6.1.5在Windows 7中配置PPTP的VPN客户端 232

6.1.6在Windows 7中配置L2TP的VPN客户端 235

6.2使用Forefront TMG配置站点间VPN路由 236

6.3组建基于SSTP的VPN网络 240

6.3.1安装独立证书服务器 241

6.3.2配置证书服务器 244

6.3.3创建防火墙访问规则 247

6.3.4为服务器申请证书 248

6.3.5配置Forefront TMG使用SSTP 254

6.3.6修改NPS访问策略 256

6.3.7为SSTP VPN服务器创建防火墙规则 256

6.3.8基于SSTP的VPN客户端的测试 258

6.3.9常见故障及解决方法 260

第7章 组建Forefront TMG独立阵列 261

7.1 Forefront TMG的独立阵列 261

7.2第一台Forefront TMG的安装配置 262

7.2.1修改计算机名称 262

7.2.2安装Forefront TMG 262

7.2.3为Forefront服务器申请并安装证书 264

7.2.4添加阵列服务器计算机 266

7.2.5配置镜像账户 267

7.3第二台Forefront TMG的安装配置 269

7.3.1修改计算机名称并安装Forefront TMG企业版 269

7.3.2将第二台服务器加入到阵列 270

7.4第三台Forefront TMG的安装配置 271

7.5查看警报与修改网络连接 273

7.6为阵列配置NLB 274

7.7测试Forefront TMG的阵列 276

第8章 配置Forefront TMG企业阵列 278

8.1 Forefront TMG企业阵列概述 278

8.1.1 Forefront TMG阵列的功能 278

8.1.2 Forefront TMG支持的阵列类型 278

8.1.3对阵列中的Forefront TMG服务器实现负载平衡 279

8.1.4在Forefront TMG阵列中配置VPN服务器的事项 279

8.2使用Forefront TMG组建VPN阵列概述 280

8.3 Active Directory服务器的配置 281

8.4 Forefront TMG企业阵列的安装 283

8.4.1 Forefront TMG企业管理服务器EMS的安装 283

8.4.2在EMS中创建阵列 286

8.4.3配置阵列属性 288

8.4.4将服务器3加入Forefront TMG阵列 289

8.4.5将服务器4加入Forefront TMG阵列 294

8.5配置VPN阵列 295

8.6为阵列配置NLB 297

8.7在客户端上测试VPN阵列 298

8.8 VPN阵列的注意事项 300

第9章 Forefront TMG在企业中的应用 301

9.1企业VPN案例概述 301

9.2 Active Directory与企业证书服务器的安装配置 302

9.2.1升级到Active Directory服务器 302

9.2.2安装企业证书 306

9.2.3配置企业证书 308

9.2.4为Windows Server 2008证书服务添加智能卡注册站功能 312

9.2.5创建VPN用户 315

9.3配置Forefront TMG为VPN服务器 316

9.3.1将Forefront TMG计算机加入到Active Directory 317

9.3.2申请服务器证书 318

9.3.3配置SSTP VPN服务器 319

9.3.4修改NPS访问策略 321

9.3.5为VPN服务器创建防火墙规则 322

9.4在局域网中为智能卡顽发证书 324

9.4.1将工作站加入到域 324

9.4.2为智能卡颁发证书 325

9.4.3测试VPN客户端 326

9.5远程VPN客户端测试 328

9.6使用RADIUS对VPN用户进行验证 329

9.6.1安装RADIUS服务器端 330

9.6.2配置RADIUS服务器端 331

9.6.3配置远程访问策略 332

9.6.4配置Forefront TMG为RADIUS客户端 332

9.7通过事件查看器解决VPN网络连接故障 334

第10章 ISA Server与 TMG 2010经典应用与疑难故障排除 336

10.1内网也用VPN 336

10.2理解路由与NAT的关系 336

10.3使用ISA Server发布Exchange OWA问题 337

10.4 Exchange 2007使用证书发布网站问题 338

10.5在ISA Server服务器上安装NOD32后出现12206错误 339

10.6无法访问单位网站 340

10.7使用ISA Server保护内部的Web服务器 343

10.8 ISA Server、IIS多方并举保护网站的安全 345

10.8.1使用ISA Server保护网站 345

10.8.2在IIS中的服务器上进行配置 347

10.8.3网站的维护方式 348

10.9使用ISA Server 2006的DMZ区保护内网的服务器群 349

10.10使用PASV方法发布内网中的多台PTP服务器 353

10.11 ISA Server中VPN客户端打开非80端口网站速度慢 356

10.12非浏览器软件不通过代理上网的问题 357

10.13用ISA Server做VPN路由代替专线 358

10.13.1在东、西院内网交换机上配置静态路由 359

10.13.2为VPN服务器添加静态路由 360

10.13.3安装ISA Server并创建VPN站点间路由 360

10.13.4与网通组建VPN的异同 364

10.14从ISA Server 2006升级到TMG 2010 365

10.14.1导出ISA Server 2006的策略 365

10.14.2在TMG 2010中导入策略 366

10.15 使用TMG 2010发布Exchange 2010 366

10.15.1发布Exchange OWA 367

10.15.2发布Exchange 2010 369

10.15.3客户端访问 371

10.16使用证书保护网站 371

10.17在TMG 2010中发布Web服务器场 374

10.18 ISA Server出现12250错误 378

10.19修改TMG 2010的日志保存位置 379

10.20使用TMG 2010添加内网静态路由的注意事项 380

10.21在路由器与交换机之间添加ISA Server软路由与防火墙 381

附录A VMware Workstation基本使用 385

A.1 VMware Workstation 8的安装 385

A.1.1 VMware Workstation版本选择 385

A.1.2是否使用精简版或汉化版的 VMware Workstation 385

A.1.3 VMware Workstation的安装 386

A.1.4 VMware Workstation的初次使用与基本配置 388

A.2使用自定义方式创建虚拟机 390

A.2.1使用“定制”方式创建虚拟机 391

A.2.2使用Windows XP光盘镜像作为虚拟机的光驱 397

A.2.3设置虚拟机BIOS 399

A.2.4安装虚拟机的注意事项 399

A.2.5安装Windows XP的注意事项 400

A.2.6安装虚拟机驱动程序——VMware Tools 400

A.3 VMware Workstation的基本使用 402

A.3.1虚拟机工具栏按钮说明 402

A.3.2设置虚拟机硬件配置选项卡 404

A.3.3设置虚拟机选项配置选项卡 409

A.3.4体验虚拟机的热插拔功能 412

A.3.5在虚拟机中使用U盘、摄像头、打印机等USB设备 413

A.4在主机与虚拟机之间传送数据 414

A.4.1使用拖曳方式 414

A.4.2使用复制粘贴方式 415

A.4.3使用共享文件夹方式 415

附录B 使用VMware Workstation设计实验环境 417

B.1创建虚拟机模板 417

B.2规划实验环境、网络拓扑 419

B.3将实验所用的虚拟机添加到文件夹中 420

B.4创建LAN Segment虚拟网络 421

B.5使用VMware Workstation设计实验环境的一般原则 424