企業(yè)在部署網(wǎng)絡(luò)安全防護(hù)時(shí)，F(xiàn)oreFront安全網(wǎng)關(guān)產(chǎn)品是一個(gè)不錯(cuò)的選擇。那么在部署ForeFront安全網(wǎng)關(guān)產(chǎn)品之后如何實(shí)施ForeFront配置又成為了我們關(guān)心的問(wèn)題，眾所周知一個(gè)正確的配置可以使得安全防護(hù)效率大大提升。下面我們就來(lái)看一下Forefront中的具體配置。

ForeFront配置第一步：打開(kāi)“發(fā)布非Web服務(wù)器協(xié)議”向?qū)?。管理人員可以在“管理控制臺(tái)”中，找到“防火墻策略節(jié)點(diǎn)”。然后在這個(gè)節(jié)點(diǎn)上，選擇“任務(wù)”窗格中的“任務(wù)”選項(xiàng)卡，并單擊“發(fā)布非Web服務(wù)器協(xié)議”。此時(shí)系統(tǒng)就會(huì)打開(kāi)一個(gè)向?qū)Т翱?，在指?dǎo)配置FTP服務(wù)器的發(fā)布規(guī)則。在這一個(gè)步驟中，主要需要注意的就是要選擇“發(fā)布非Web服務(wù)器協(xié)議”。至于為什么要選擇這個(gè)，我在上面第一點(diǎn)中已經(jīng)闡述的非常清楚了，這里就不重復(fù)說(shuō)明了。

ForeFront配置第二步：基本參數(shù)的設(shè)置。這里的基本參數(shù)包括服務(wù)器發(fā)布規(guī)則的名稱(chēng)、服務(wù)器的IP地址和需要采用的協(xié)議。根據(jù)向?qū)У膬?nèi)容，管理員需要依次輸入名稱(chēng)、FTP服務(wù)器所采用的IP地址和所采用的協(xié)議。這里需要注意，如果企業(yè)沒(méi)有合法的公網(wǎng)IP地址，而采用私網(wǎng)IP地址的話(huà)，那么需要注意此時(shí)可能需要跟其他技術(shù)，如NAT技術(shù)結(jié)合使用。

ForeFront配置第三步：端口的配置。這個(gè)步驟是這些配置中的核心內(nèi)容。一般來(lái)說(shuō)，需要配置三個(gè)端口信息。首先，需要配置的是FTP協(xié)議本身所采用的端口。一般情況下，F(xiàn)TP采用的端口是20、21。但是有時(shí)候出于安全的考慮，我們需要改變這個(gè)默認(rèn)的配置。如采用6221或者6220端口等等。這里需要注意的是，如果更改了其默認(rèn)的端口，那么當(dāng)用戶(hù)在訪(fǎng)問(wèn)FTP服務(wù)器的時(shí)候，需要指明具體的端口號(hào)。由于端口改變，攻擊者就不能夠依靠掃描等工具來(lái)判斷服務(wù)器是否啟用了FTP服務(wù)。這無(wú)疑可以提高安全性。不過(guò)這也可以合法用戶(hù)的訪(fǎng)問(wèn)帶來(lái)了一定的不便。因?yàn)樗麄冃枰诿看卧L(fǎng)問(wèn)的時(shí)候指定具體的端口信息。為此管理員需要在便利與安全之間取得均衡。如果需要更改默認(rèn)端口的話(huà)，可以選擇“在此端口而不是默認(rèn)端口上發(fā)布”。選擇這個(gè)選項(xiàng)之后，F(xiàn)orefront系統(tǒng)就會(huì)在指定的非標(biāo)準(zhǔn)端口上接受傳入的客戶(hù)端請(qǐng)求，然后將這些請(qǐng)求再轉(zhuǎn)發(fā)到發(fā)布服務(wù)器的指定端口上。如果對(duì)于FTP服務(wù)器的安全性要求并不是很高，則可以采用“使用在協(xié)議中定義的默認(rèn)端口發(fā)布”。此時(shí)采用的就是FTP協(xié)議的默認(rèn)端口。Forefront會(huì)在端口21上接受客戶(hù)的請(qǐng)求。

第二個(gè)端口是發(fā)布的服務(wù)器端口。在這里，也可以?xún)蓚€(gè)可用的選擇，分別是“在發(fā)布的服務(wù)器上發(fā)送請(qǐng)求到默認(rèn)端口”和“將請(qǐng)求發(fā)送到發(fā)布的服務(wù)器上的端口”。跟防火墻端口類(lèi)似，如果選擇的是前者的話(huà)，則Forefront系統(tǒng)會(huì)在端口21上接受已經(jīng)發(fā)布服務(wù)的請(qǐng)求。而如果選擇后者的話(huà)，則會(huì)在另一個(gè)端口上(即用戶(hù)指定的一個(gè)非標(biāo)準(zhǔn)端口)接受對(duì)已經(jīng)發(fā)布服務(wù)的請(qǐng)求。當(dāng)管理員指定非標(biāo)準(zhǔn)端口的時(shí)候，需要注意，先確認(rèn)一下這個(gè)端口是否已經(jīng)被其他協(xié)議或者程序所使用。

第三個(gè)端口是源端口。這個(gè)端口信息主要就是用來(lái)實(shí)現(xiàn)訪(fǎng)問(wèn)的控制。即允許哪些客戶(hù)端可以訪(fǎng)問(wèn)。在這里也有兩個(gè)選項(xiàng)，分別為“允許來(lái)自所有允許的源端口的通訊”和“將訪(fǎng)問(wèn)限制來(lái)自下列范圍的源端口的通訊”。顧名思義，前面這個(gè)選項(xiàng)對(duì)客戶(hù)端的請(qǐng)求沒(méi)有任何過(guò)濾，F(xiàn)orefront會(huì)接受來(lái)自所允許的客戶(hù)端計(jì)算機(jī)上的任意端口的請(qǐng)求。而后面這個(gè)選項(xiàng)，則只接受來(lái)自特定端口的請(qǐng)求。出于安全的考慮，在必要的時(shí)候，在這里加以限制，還是可以提到很不錯(cuò)的效果。

ForeFront配置第四步：網(wǎng)絡(luò)偵聽(tīng)器IP地址。雖然這是一個(gè)可選的參數(shù)，但是有時(shí)候這個(gè)選項(xiàng)還特別有用。如當(dāng)FTP的用戶(hù)數(shù)量很多，為了提高訪(fǎng)問(wèn)的性能，管理員可能會(huì)將多個(gè)FTP服務(wù)器組建成網(wǎng)絡(luò)負(fù)責(zé)平衡。在這個(gè)時(shí)候，就需要在這里配置。如需要為每個(gè)成員選擇相同的虛擬IP地址。具體的配置如下。先選擇“外部”網(wǎng)絡(luò)，然后選擇Forefront需要偵聽(tīng)的IP地址。在可用的IP地址列表中，選擇相應(yīng)的IP地址，然后將他們添加到列表中。

ForeFront配置第五步：配置只讀屬性。根據(jù)以上步驟設(shè)置完成后，用戶(hù)就可以訪(fǎng)問(wèn)FTP服務(wù)器了。不過(guò)此時(shí)用戶(hù)只能夠從FTP服務(wù)器上下載文件，而不能夠上傳文件。這主要是因?yàn)楦鶕?jù)向?qū)?chuàng)建的規(guī)則，默認(rèn)情況下“FTP協(xié)議策略”中只讀屬性為選上的。此時(shí)表示用戶(hù)只能夠下載文件而不能夠上傳文件。這個(gè)默認(rèn)設(shè)置也是在提醒用戶(hù)需要注意FTP服務(wù)器的安全。如果管理員允許用戶(hù)上傳文件，則可以更改這個(gè)默認(rèn)的配置。找到剛才建立的服務(wù)器發(fā)布規(guī)則，單擊“配置FTP”;然后在打開(kāi)的對(duì)話(huà)框中可以看到“配置FTP協(xié)議策略”頁(yè)簽，將“只讀”選項(xiàng)前面的鉤去掉，再一路按“確定”即可。注意出于安全考慮，如果沒(méi)有特殊的考慮，如對(duì)于一般的用戶(hù)，還是只允許其下載、而不允許其上傳文件。

最后需要特別提醒的是，如果使用了NAT技術(shù)的話(huà)，往往需要使用服務(wù)器發(fā)布規(guī)則。而根據(jù)相關(guān)的規(guī)則，配置單一網(wǎng)絡(luò)適配器的時(shí)候并不支持服務(wù)期發(fā)布規(guī)則。這也就是說(shuō)，如果要使用NAT(即企業(yè)公網(wǎng)IP地址不夠)的話(huà)，必須要對(duì)服務(wù)器配置雙適配器。
 

【編輯推薦】

1. Forefront性能優(yōu)化四步走
2. 讓ForeFront TMG來(lái)做企業(yè)網(wǎng)絡(luò)的守門(mén)人
3. Forefront Security應(yīng)用程序使用技巧
4. 淺談Forefront Security的管理策略和事件
5. ForeFront讓郵箱服務(wù)器遠(yuǎn)離侵襲三建議