第1章 Forefront TMG 2010功能概述 1
1.1 Forefront TMG 2010主要功能 1
1.2 Forefront TMG不能封杀P2P 2
1.3 Forefront TMG的功能 3
1.4 Forefront TMG版本 4
1.5 Forefront TMG系统需求 5
1.6 Forefront TMG的防火墙类别与多网络支持 5
1.7 与VPN的集成 7
1.8 多功能代理服务器与协议组管理 8
1.9 恶意软件检查 8
1.10 路由架构改进 10
1.11 网络入侵保护系统 11
1.12 Forefront TMG阵列与NLB功能 12
第2章 Forefront TMG的安装与基本应用 15
2.1 Forefront TMG基础知识 15
2.1.1 了解Forefront TMG所处的网络位置 15
2.1.2 Forefront TMG基础知识 20
2.1.3 网络基础知识 21
2.1.4 通过电话系统理解路由、NAT、NAPT概念 21
2.1.5 网络服务与TCP/IP端口 23
2.1.6 代理与转换 25
2.1.7 端口映射与端口转发 26
2.1.8 理解Forefront TMG中的网络 26
2.1.9 理解Forefront TMG的网络规则 27
2.1.10 理解Forefront TMG的客户端 28
2.2 Forefront TMG部署与使用注意事项 30
2.2.1 多VLAN网络中三层交换机的配置 30
2.2.2 在计算机上添加到其他网段的静态路由 31
2.3 Forefront TMG标准版的安装 33
2.4 Forefront TMG入门向导 36
2.4.1 配置网络设置 36
2.4.2 配置系统设置 37
2.4.3 定义部署选项 38
2.4.4 Web访问向导 40
2.5 Forefront TMG控制台界面与仪表板功能 42
2.6 Forefront TMG的监视功能 43
2.6.1 警报 43
2.6.2 会话 44
2.6.3 连接性验证程序 46
2.6.4 服务 49
2.6.5 配置 49
2.7 防火墙策略 50
2.7.1 防火墙策略基础 50
2.7.2 通过案例介绍访问规则与服务器发布规则 52
2.7.3 系统策略 71
2.8 Web访问策略 73
2.8.1 恶意软件检查 74
2.8.2 URL筛选 77
2.8.3 HTTPS检查 79
2.8.4 HTTP筛选 81
2.9 入侵防御系统 84
2.9.1 网络检查系统概述 85
2.9.2 部署NIS需要考虑的事情 85
2.9.3 配置网络检查系统 86
2.9.4 行为入侵检测 87
2.10 远程访问策略 89
2.10.1 在Forefront TMG中启用VPN服务器 90
2.10.2 用户管理与设置 94
2.10.3 配置站点间VPN路由 95
2.11 网络连接 100
2.11.1 网络 100
2.11.2 网络规则 101
2.11.3 网络适配器 101
2.11.4 路由 102
2.11.5 ISP冗余 102
2.12 日志和报告 103
2.13疑难解答 105
第3章 Forefront TMG应用之双线路与多台服务器发布 107
3.1 L市政府网络概述 107
3.2 基于NAT的共享上网的实现 111
3.2.1 SecureNAT客户端概述 111
3.2.2 准备Forefront TMG服务器 112
3.2.3 安装Forefront TMG 116
3.2.4 配置Forefront TMG的访问策略 118
3.2.5 禁用Web恶意软件检测与网络检查系统 133
3.3 发布单位内部的服务器与远程桌面 135
3.3.1 从SecureNAT客户端访问发布内部服务器的注意事项 136
3.3.2 发布服务器到Internet的示意拓扑图 136
3.3.3 发布Web服务器到Internet 138
3.3.4 创建策略组 153
3.3.5 发布多个终端服务器到Internet 156
3.4 发布多个FTP服务器到Internet 162
3.4.1 FTP的PASV与PORT模式概述 162
3.4.2 使用防火墙发布FTP服务器通常选择PASV模式 164
3.4.3 发布双线FTP服务器到Internet 169
3.5 通过域名访问单位内部网站的问题 174
3.6 实现双线ISP功能 177
3.7 Panabit流量监控 182
3.7.1 Panabit概述 182
3.7.2 Panabit体系结构 183
3.7.3 服务器与磁盘选择 184
3.7.4 Panabit安装 184
3.7.5 让Panabit开始工作 186
3.7.6 Panabit策略设置要点 188
3.7.7 升级Panabit系统及特征库 189
3.7.8 重安装与升级 190
3.7.9 当Panabit启动到“Starting local daemons”时死机的解决方法 190
3.8 对内部服务器进行旁路跳过流量监控 191
3.9 旁路跳过Forefront TMG与流量监控 194
3.10 使用HP iLO功能实现服务器的监控与管理 195
3.10.1 为iLO设置管理IP地址 196
3.10.2 设置时区与时间服务器 196
3.10.3 添加管理用户名 197
3.10.4 添加License 197
3.10.5 服务器电源控制 198
3.10.6 虚拟光驱与软驱功能 198
3.10.7 远程KVM 199
3.10.8 查看iLO日志 200
3.10.9 系统信息 200
3.10.10 iLO升级 201
3.10.11 用iLO管理HP服务器的一些截图 201
第4章 多Forefront TMG应用之内外网与防火墙客户端应用 204
4.1 G政府网络状况概述 204
4.1.1 政府内网介绍 205
4.1.2 G市政府原有网络概述 205
4.1.3 用户需求与网络改造总体方案 207
4.2 交换机与路由器配置及服务器总体规划 208
4.2.1 三层交换机的设置 209
4.2.2 双线(电信、网通)路由器的安装与配置 213
4.2.3 网络中各服务器的规划 216
4.3 基础服务器的安装与配置 218
4.3.1 Active Directory服务器的安装 219
4.3.2 DHCP服务器的安装与配置 228
4.3.3 WSUS服务器的安装与配置 233
4.3.4 NOD32服务器的安装与配置 246
4.3.5 委派用户权限 250
4.3.6 Windows Update设置 252
4.3.7 将计算机加入到域的方法 253
4.4 防火墙与代理服务器的安装与配置 260
4.4.1 防火墙服务器的基本配置 260
4.4.2 在Forefront TMG中创建访问规则 262
4.4.3 在Forefront TMG中启用防火墙客户端 266
4.4.4 在DHCP中配置WPAD 268
4.4.5 在DNS中配置WPAD 270
4.4.6 Forefront TMG客户端的安装 271
4.4.7 Forefront TMG客户端的自动安装 274
4.4.8 发布服务器的问题 276
4.5 配置VPN服务器 276
4.5.1 VPN服务器的基础配置 276
4.5.2 安装Forefront TMG 279
4.5.3 添加网络 280
4.5.4 创建网络规则 282
4.5.5 创建VPN访问策略 286
4.5.6 启用VPN 288
4.5.7 在Active Directory服务器中安装配置RADIUS 292
4.5.8 配置RADIUS客户端 295
4.5.9 VPN客户端的使用 297
4.6 使用Windows连接管理器定制VPN客户端 300
4.6.1 在Windows Server 2008中添加连接管理器 300
4.6.2 使用连接管理器定制VPN客户端 301
4.6.3 使用定制的VPN客户端 308
第5章 使用Forefront TMG保护电子政务中心案例应用 310
5.1 J政府网络概述 310
5.2 规划与配置Forefront TMG 312
5.2.1 准备Forefront TMG服务器 312
5.2.2 安装与配置Forefront TMG 314
5.3 添加网络与网络规则 315
5.3.1 在Forefront TMG中添加财政网与服务器群网络 316
5.3.2 创建网络规则 318
5.4 配置防火墙策略 321
5.4.1 允许ping协议 321
5.4.2 允许内部访问财政网络 323
5.4.3 允许内部访问服务器群 323
5.4.4 允许服务器群访问内部 324
5.5 发布服务器 326
5.6 Web代理客户端使用 328
5.6.1 启用Web代理客户端 328
5.6.2 创建访问策略 329
5.6.3 在IE浏览器中配置Web代理访问Internet 332
5.6.4 在QQ等聊天工具中配置Web代理 333
5.7 使用Bandwidth Splitter限制带宽 334
5.7.1 Bandwidth Splitter的系统需求与安装 334
5.7.2 配置Bandwidth Splitter 337
5.7.3 创建流量控制策略 339
5.7.4 添加SSL端口 344
5.7.5 流量监控情况 345
第6章 组建基于SSTP的VPN网络 348
6.1 案例概述 348
6.2 实现步骤 349
6.3 安装独立证书服务器 349
6.4 配置证书服务器 352
6.5 创建访问规则 355
6.6 为服务器申请证书 357
6.6.1 修改IE浏览器设置以允许运行ActiveX脚本 357
6.6.2 信任根证书颁发机构 358
6.6.3 申请服务器证书 360
6.6.4 在Windows 2008中导出用户证书并导入到计算机存储中 361
6.7 配置Forefront TMG使用SSTP协议 363
6.8 修改NPS访问策略 366
6.9 为SSTP VPN服务器创建防火墙规则 367
6.10 基于SSTP的VPN客户端的测试 369
6.11 常见故障及解决方法 371
第7章 组建使用智能卡进行身份验证的VPN网络 372
7.1 案例1概述 373
7.2 Active Directory与企业证书服务器的安装配置 374
7.2.1 升级到Active Directory服务器 374
7.2.2 安装企业证书 375
7.2.3 配置企业证书 378
7.2.4 为Windows Server 2008证书服务添加智能卡注册站功能 383
7.2.5 创建VPN用户 387
7.3 配置Forefront TMG为VPN服务器 388
7.3.1 将Forefront TMG计算机加入到Active Directory 389
7.3.2 申请证书 390
7.3.3 配置VPN服务器 391
7.3.4 修改NPS访问策略 393
7.3.5 为VPN服务器创建防火墙规则 394
7.4 在局域网为智能卡颁发证书 396
7.4.1 将工作站加入到域 396
7.4.2 为智能卡颁发证书 397
7.4.3 测试VPN客户端 399
7.5 远程VPN客户端测试 401
7.6 使用RADIUS对VPN用户进行验证 403
7.6.1 安装RADIUS服务器端 403
7.6.2 配置RADIUS服务器端 405
7.6.3 配置访问策略 406
7.6.4 配置Forefront TMG为RADIUS客户端 407
7.7 通过事件查看器解决VPN网络连接故障 409
第8章 组建Forefront TMG独立阵列 411
8.1 Forefront TMG的独立阵列 411
8.2 第1台Forefront TMG的安装配置 412
8.2.1 修改计算机名称 412
8.2.2 安装Forefront TMG 413
8.2.3 为Forefront服务器申请并安装证书 414
8.2.4 添加阵列服务器计算机 417
8.2.5 配置镜像账户 419
8.3 第2台Forefront TMG的安装配置 421
8.3.1 修改计算机名称并安装Forefront TMG企业版 421
8.3.2 将第2台服务器加入到阵列 422
8.4 第3台Forefront TMG的安装配置 424
8.5 查看警报与修改网络连接 425
8.6 为阵列配置NLB 427
8.7 测试Forefront TMG的阵列 429
第9章 使用Forefront TMG组建EMS管理的阵列 432
9.1 Forefront TMG阵列概述 432
9.1.1 Forefront TMG阵列功能 432
9.1.2 Forefront TMG支持的阵列类型 433
9.1.3 对阵列中的Forefront TMG服务器实现负载平衡 433
9.1.4 在Forefront TMG阵列中配置VPN服务器的事项 433
9.2 使用Forefront TMG组建VPN阵列概述 434
9.3 Active Directory服务器的配置 435
9.4 Forefront TMG阵列的安装 438
9.4.1 Forefront TMG企业管理服务器EMS的安装 438
9.4.2 在EMS中创建阵列 442
9.4.3 配置阵列属性 443
9.4.4 将服务器3加入Forefront TMG阵列 445
9.4.5 将服务器4加入Forefront TMG阵列 451
9.5 配置VPN阵列 452
9.6 为阵列配置NLB 454
9.7 客户端测试 456
9.8 VPN阵列的注意事项 457
第10章 ISA Server与TMG 2010经典应用与疑难故障排除 459
10.1 内网也用VPN 459
10.2 理解路由与NAT的关系 460
10.3 使用ISA Server发布Exchange OWA问题 460
10.4 Exchange 2007使用证书发布网站问题 462
10.5 在ISA Server服务器上安装NOD32之后出现12206错误的解决方法 463
10.6 妙用ISA Server的“重定向”功能解决单位网站不能访问的难题 465
10.7 使用ISA Server保护内部的Web服务器 467
10.8 ISA Server、IIS多方并举保护网站的安全 470
10.8.1 使用ISA Server保护网站 470
10.8.2 在IIS中服务器上进行配置 473
10.8.3 网站的维护方式 475
10.9 使用ISA Server 2006的DMZ区保护内网的服务器群 475
10.10 发布内网中多台FTP服务器的最终解决方法(使用PASV方法) 479
10.11 ISA Server中VPN客户端打开非80端口网站速度慢的解决访问 485
10.12 使用ISA Server防火墙客户端非浏览器软件不通过代理上网的问题 486
10.13 用ISA Server做VPN路由代替专线 487
10.13.1 在东、西院内网交换机上配置静态路由 489
10.13.2 为VPN服务器添加静态路由 489
10.13.3 安装ISA Server、创建VPN站点间路由 490
10.13.4 与网通组建VPN的异同 494
10.14 从ISA Server 2006升级到TMG2010 495
10.14.1 导出ISA Server 2006的策略 495
10.14.2 在TMG2010中导入策略 496
10.15 使用TMG2010发布Exchange2010 497
10.15.1 发布Exchange OWA 498
10.15.2 发布Exchange 2010 501
10.15.3 客户端访问 503
10.16 使用证书保护网站 504
10.17 在TMG2010中发布Web服务器场 508
10.18 ISA Server出现12250错误的解决方法 512
10.19 修改TMG2010的日志保存位置 514
10.20 使用TMG2010添加内网静态路由的注意事项 515
10.21 在路由器与交换机之间添加ISA Server软路由与防火墙 517
附录A VMware Workstation基础 521
A.1 VMware Workstation的安装 521
A.1.1 VMware Workstation版本选择 521
A.1.2 是否使用精简版或汉化版的VMware Workstation 521
A.1.3 VMware Workstation的安装 522
A.1.4 VMware Workstation的初次使用与基本配置 524
A.2 自定义方式创建虚拟机 527
A.2.1 使用“定制”方式创建虚拟机 528
A.2.2 使用Windows XP光盘镜像作为虚拟机的光驱 535
A.2.3 虚拟机BIOS设置 536
A.2.4 安装中的注意事项 537
A.2.5 安装Windows XP的注意事项 538
A.2.6 安装虚拟机驱动程序——VMware Tools 539
A.3 VMware Workstation的基本使用 540
A.3.1 虚拟机工具栏按钮说明 540
A.3.2 虚拟机硬件配置选项卡 543
A.3.3 Options选项卡中各项参数与配置 548
A.3.4 体验虚拟机的热插拔功能 552
A.3.5 在虚拟机中使用U盘、摄像头、打印机等USB设备 554
A.4 在主机与虚拟机之间传送数据 555
A.4.1 使用拖曳方式 555
A.4.2 使用复制、粘贴方式 556
A.4.3 使用共享文件夹 557
附录B 使用VMware Workstation设计实验环境 559
B.1 怎样用VMware Workstation设计实验环境 559
B.1.1 创建虚拟机模板 559
B.1.2 规划实验环境、网络拓扑 563
B.1.3 将实验所用的虚拟机添加到文件夹中 563
B.1.4 创建LAN Segment虚拟网络 566
B.1.5 使用VMware Workstation设计实验环境的一般原则 570
B.2 实验环境配置 571