在企業(yè)網(wǎng)絡(luò)部署中，往往需要在內(nèi)網(wǎng)與外網(wǎng)之間設(shè)置一道門，用來保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，同時(shí)對(duì)內(nèi)網(wǎng)用戶的流量進(jìn)行控制。如下圖所示。當(dāng)有外網(wǎng)用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，需要對(duì)這個(gè)訪問者的身份進(jìn)行驗(yàn)證。但內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)時(shí)，這需要對(duì)其流量進(jìn)行控制，如不能夠炒股等等。ForeFront TMG就能夠滿足用戶的這種需求。

一、ForeFront TMG的特點(diǎn)解析

簡單的說，F(xiàn)oreFront TMG可以通過檢查和篩選內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的通信、各個(gè)網(wǎng)絡(luò)之間的通信、ForeFront TMG服務(wù)器與同其通信的服務(wù)之間的流量來控制和保護(hù)內(nèi)部的網(wǎng)絡(luò)訪問。對(duì)外，可以對(duì)外面的用戶進(jìn)行身份驗(yàn)證，確保只有合法的用戶才能夠通過VPN或者其它的方式來訪問企業(yè)內(nèi)部服務(wù)器。對(duì)內(nèi)，可以讓只有授權(quán)的用戶才能夠訪問企業(yè)外部網(wǎng)絡(luò)或者限制某些應(yīng)用程序訪問外網(wǎng)。

在這篇文章中筆者就給大家介紹一下ForeFront TMG這個(gè)產(chǎn)品如何來保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。這些經(jīng)驗(yàn)型的內(nèi)容在教科書上并不一定找的到。相信能夠給大家?guī)砗艽蟮膸椭?/P>

二、根據(jù)不同的應(yīng)用來選擇對(duì)應(yīng)的防火墻策略

ForeFront TMG系統(tǒng)通過強(qiáng)制用于確定是否允許網(wǎng)絡(luò)之間的連接的策略，來控制網(wǎng)絡(luò)之間的相互訪問。簡單的說，F(xiàn)oreFront TMG的核心就是策略。到目前為止，F(xiàn)oreFront TMG提供防火墻策略、系統(tǒng)策略、網(wǎng)絡(luò)規(guī)則三個(gè)具體的策略。而其中以防火墻策略最為重要。

在防火墻策略中又包含三部分的內(nèi)容：訪問規(guī)則、Web發(fā)布規(guī)則以及服務(wù)器發(fā)布規(guī)則。這里需要注意的是，三種規(guī)則各有個(gè)的特點(diǎn)，其所引用的范圍也是不同的。這也就是說，管理員需要根據(jù)企業(yè)的實(shí)際情況，來選擇合適的應(yīng)用規(guī)則。而要做到這一點(diǎn)的話，一個(gè)前提條件就是需要了解這三種規(guī)則之間的差異。這也是筆者要談的重點(diǎn)內(nèi)容之一。

Web發(fā)布規(guī)則，顧名思義，就是控制對(duì)已經(jīng)發(fā)布的Web服務(wù)器的入站訪問。如上圖所示，假設(shè)內(nèi)部有一臺(tái)Web服務(wù)器要供網(wǎng)內(nèi)、網(wǎng)外的用戶訪問。此時(shí)就需要在Web服務(wù)器與外網(wǎng)用戶之間，設(shè)置一道門檻，來保障Web服務(wù)器的安全。

服務(wù)器發(fā)布規(guī)則同Web發(fā)布規(guī)則一樣，也是用來控制對(duì)已經(jīng)發(fā)布的除Web服務(wù)器之外的服務(wù)器的入站訪問。企業(yè)的應(yīng)用服務(wù)器根據(jù)用途來分有好幾種，如Web服務(wù)器、文件服務(wù)器、VPN服務(wù)器、郵箱服務(wù)器等等。在ForeFront TMG中，則只將服務(wù)器分為兩類，分別為Web服務(wù)器和非Web服務(wù)器。由于Web應(yīng)用的復(fù)雜性，在ForeFront TMG中專門為其設(shè)置了一套Web發(fā)布規(guī)則。對(duì)于Web以外的服務(wù)器，系統(tǒng)則同一使用服務(wù)器發(fā)布規(guī)則來控制。

訪問規(guī)則這主要用來控制出站訪問，既內(nèi)部用戶訪問互聯(lián)網(wǎng)。在實(shí)際工作中，訪問規(guī)則往往是網(wǎng)絡(luò)管理員所需要關(guān)注的重點(diǎn)。

從以上的分析中，可以看出防火墻的三種規(guī)則差異是很大的，分別適用于不同的場合。其中Web發(fā)布規(guī)則和服務(wù)器發(fā)布規(guī)則主要用于進(jìn)站的訪問控制。前者適用于Web服務(wù)器，后者適用于Web應(yīng)用以外的服務(wù)器。訪問規(guī)則這用來控制出戰(zhàn)的Web訪問。

三、請(qǐng)求處理及注意事項(xiàng)

當(dāng)客戶端發(fā)出訪問的請(qǐng)求之后，F(xiàn)oreFront TMG會(huì)如何處理呢?企業(yè)安全管理員必須對(duì)此要有充分的認(rèn)識(shí)。因?yàn)檫@對(duì)后續(xù)性能的優(yōu)化與故障排除都有很大的作用。筆者總結(jié)了一下，這個(gè)請(qǐng)求的處理可以分為四步走。

第一步：根據(jù)預(yù)先定義的網(wǎng)絡(luò)規(guī)則來檢查用戶的請(qǐng)求。在這一步主要用來請(qǐng)求的源和目標(biāo)之間是否存在說需要的網(wǎng)絡(luò)關(guān)系。在這個(gè)過程中，有兩點(diǎn)需要注意。一是如果請(qǐng)求是由Web代理篩選器來處理的，這不會(huì)根據(jù)這個(gè)網(wǎng)絡(luò)規(guī)則來進(jìn)行檢查。二是在訪問時(shí)如果提示網(wǎng)絡(luò)出現(xiàn)措施，這往往是網(wǎng)絡(luò)規(guī)則在定義時(shí)出現(xiàn)了問題。需要重新審視網(wǎng)絡(luò)規(guī)則的合適性。

第二步：檢測(cè)系統(tǒng)策略。將用戶定義的系統(tǒng)策略與用戶的請(qǐng)求進(jìn)行匹配，判斷是否允許用戶的請(qǐng)求。系統(tǒng)策略主要用來控制進(jìn)出本地主機(jī)網(wǎng)絡(luò)的通訊。一般來說，用戶身份驗(yàn)證、訪問日志等內(nèi)容都主要在這里完成。所以如果在訪問過程中，出現(xiàn)跟用戶身份驗(yàn)證相關(guān)的問題，則就需要檢查系統(tǒng)策略的合理性。如現(xiàn)在有一個(gè)系統(tǒng)規(guī)則指定必須要進(jìn)行身份驗(yàn)證才能夠訪問。此時(shí)ForeFront TMG系統(tǒng)就會(huì)要求客戶端提供相應(yīng)的憑據(jù)。如果客戶端無法提供合法的憑據(jù)，這系統(tǒng)就會(huì)丟棄請(qǐng)求，用戶訪問被終止。此時(shí)如果客戶端那邊沒問題的話，那么就是在系統(tǒng)策略中出現(xiàn)了故障。或者說在新策略啟用之前，沒有跟用戶進(jìn)行溝通或者培訓(xùn)。

第三步：檢查防火墻策略。在第三步的時(shí)候，才會(huì)根據(jù)Web發(fā)布規(guī)則、服務(wù)器發(fā)布規(guī)則或者訪問規(guī)則來控制用戶的信息流量。在這一個(gè)步驟中，用戶需要注意的是，可能某個(gè)規(guī)則中有多條記錄。此時(shí)默認(rèn)情況下會(huì)根據(jù)列表中的記錄排列順序來應(yīng)用。為此這個(gè)記錄的先后順序就非常的重要。如果先后順序顛倒，這就可能出現(xiàn)網(wǎng)絡(luò)訪問的故障。如果在請(qǐng)求過程中，系統(tǒng)提示沒有權(quán)限訪問或者訪問被防火墻拒絕等錯(cuò)誤信息的時(shí)候，管理員就需要檢查防火墻策略。特別是列表中的記錄順序是否有問題。

第四步：確定使用路由通訊還是使用NAT。這也是四個(gè)步驟中最復(fù)雜的。當(dāng)?shù)谌降恼?qǐng)求與防火墻策略相匹配之后，F(xiàn)oreFront TMG系統(tǒng)會(huì)再次檢查網(wǎng)絡(luò)規(guī)則，以判斷是采用路由通訊還是采用NAT通訊。

路由通訊指的是那種雙向之間的通訊。比如網(wǎng)絡(luò)規(guī)則定義了從A到B之間的路由關(guān)系，這系統(tǒng)會(huì)自動(dòng)創(chuàng)建從B到A之間的路由。而NAT關(guān)系則正好相反。NAT是單向的。這是他們之間的第一個(gè)區(qū)別。另外一個(gè)區(qū)別是，路由關(guān)系中并不會(huì)更改源和目標(biāo)地址。而NAT則需要更改IP地址。這是他們最本質(zhì)的一個(gè)區(qū)別之一，也是我們選擇到底是采用路由關(guān)系還是使用NAT關(guān)系的標(biāo)準(zhǔn)之一。通常情況下，如果不需要在網(wǎng)絡(luò)之間隱藏IP地址的情況下使用路由關(guān)系。如果需要隱藏真實(shí)IP地址的，則就需要采用NAT關(guān)系。那么什么情況下需要隱藏IP地址呢?一般有兩種情況。一是內(nèi)網(wǎng)與外網(wǎng)之間的訪問，如互聯(lián)網(wǎng)用戶需要直接訪問企業(yè)內(nèi)部的服務(wù)器。在這種情況下，如果企業(yè)內(nèi)部服務(wù)器的IP地址沒有合法的公網(wǎng)地址，而只有一個(gè)企業(yè)內(nèi)部的地址，此時(shí)就需要通過NAT技術(shù)對(duì)內(nèi)部服務(wù)器的IP地址進(jìn)行轉(zhuǎn)換。二是出于安全的考慮。如在上面這個(gè)案例中，即使企業(yè)有比較多的公網(wǎng)IP地址，但是有時(shí)候也仍然會(huì)采用NAT關(guān)系。這主要是因?yàn)樾枰ㄟ^NAT技術(shù)來隱藏服務(wù)器真實(shí)的IP地址，以防遭到不明身份的人的攻擊。

筆者認(rèn)為，在大部分情況下，只需要將ForeFront TMG IP地址配置為默認(rèn)網(wǎng)關(guān)就可以了。也就是說，只需要一個(gè)公網(wǎng)IP地址，然后將企業(yè)內(nèi)部的客戶端都通過NAT關(guān)系轉(zhuǎn)換為這個(gè)公網(wǎng)IP地址與互聯(lián)網(wǎng)上的主機(jī)進(jìn)行通信。當(dāng)然如果采用NAT技術(shù)的話，會(huì)造成管理上的復(fù)雜性。而且有了NAT這個(gè)中間設(shè)備，在性能與穩(wěn)定性上也會(huì)造成一定的影響。

【編輯推薦】

1. Forefront Security應(yīng)用程序使用技巧
2. Forefront性能優(yōu)化四步走