在用Forefront TMG保護Exchange 2010 Server中我們了解到了使用TMG保護Exchange的技巧。今天在本文中將為大家介紹TMG HTTPS的檢測的方法，防止病毒和木馬程序利用偽裝入侵服務器。

1. TMG HTTPS Inspection 介紹

TMG HTTPS Inspection (HTTPS 檢測) 可以防止內(nèi)部客戶端訪問一些非法的 HTTPS 網(wǎng)站?？傮w來說是為了避免客戶端直接和外部服務器建立 SSL 連接，解決 SSL 加密的內(nèi)容得不到檢查而導致的安全問題。

2. TMG HTTPS Inspection 的處理過程

基本處理過程如下圖所示

圖1- HTTPS Inspection 處理過程

1) TMG 從配置存儲服務器讀取配置，包括讀取 HTTPS Inspection 所用的 CA 證書。

2) 客戶端發(fā)起連接 HTTP CONNECT 請求，這對客戶端是透明的

3) TMG 與目標服務器建立 SSL 連接。

4) TMG 按照配置服務器證書來進行 HTTPS Inspection，流程如下：

a. 需要阻止站點：發(fā)送錯誤頁給客戶端；

b. 站點屬于例外列表：TMG 關(guān)閉與服務器的連接，與客戶端建立新的連接，發(fā)送”200 Connected” 給客戶端?？蛻舳撕屯獠空军c直接建立 SSL 連接；

c. 站點檢查合法：與客戶端建立 SSL 連接。

5) TMG 與客戶端建立 SSL 連接。

您可以根據(jù)需求來修改 HTTP Inspection 的策略，例如，您可以修改證書有效時間，參見下圖。

圖2 - 證書檢查策略

另外有一些界面上沒有的證書檢查策略，例如：

• 證書名字是否匹配
• 服務器證書是否信任
• 服務器證書類型(是否是用于服務器驗證)

3. 在 TMG 上部署 HTTPS Inspection 客戶端容易發(fā)生的問題

任何一種安全策略應用到企業(yè)內(nèi)部，都可能引起一些問題，或者收到最終用戶的負面反饋， 用戶常會抱怨原先一些能正常訪問的網(wǎng)站，現(xiàn)在不能訪問了。 用戶可能認為 HTTPS 的連接是安全的，但殊不知，外部服務器可能使用假冒的服務器證書或者包含惡意代碼。

雖然 HTTPS Inspection 能保護內(nèi)部客戶端訪問一些 HTTPS 的惡意網(wǎng)站，但它也會引起部署問題。以下列出一些常見問題。

問題1: 客戶端訪問 HTTPS 網(wǎng)頁時，收到 TMG 的報錯：The page cannot be displayed - Error Code 502 (Proxy Error) – the certification authority that issued the SSL Server certificate supplied by a destination server is not trusted by the local computer.

原因： 這個問題是由于 TMG 不信任外部 HTTPS 站點的證書。對于大多數(shù)使用商業(yè)證書的網(wǎng)站，不會發(fā)生此類問題。如果需要讓用戶訪問這些網(wǎng)站，TMG 管理員需要導入站點的 CA 證書到 TMG local trusted root certificate store。另外也可以把該站點加入到排除列表中，并設為不作證書檢查。

問題2: 客戶端訪問一個 HTTPS 網(wǎng)站，收到報錯：Error Code 502 (Proxy Error) – the name on the SSL server certificate supplied by a destination server does not match the name of the host requested.

原因： 證書名和訪問的 URL 名字不匹配，有以下幾種情況：

• Web 服務器使用了通配符 (例如*.domain.com)
• 客戶端使用IP地址來訪問 Web 服務器
• TMG 上反向名字解析不匹配 (IP 地址到名字)

TMG 需要進行反向名字解析，來驗證證書名是否和訪問 URL 匹配。如果反向名字解析失敗，TMG 不能完成證書名匹配。 如果客戶端確實需要訪問這些 HTTPS 站點，可以把域名加到排除列表中，并設為不作證書檢查。

問題3: 客戶端訪問所有的 HTTPS 網(wǎng)站都會出現(xiàn)以下安全提示頁面：

圖3- Web 站點安全提示

原因：客戶端沒有信任 TMG 上的 HTTPS Inspection 所用的 CA 證書， 此 CA 證書 (例如：TMG 自簽發(fā)的證書) 必須在客戶端上進行部署，否則客戶端不會信任 TMG 的 CA 證書。關(guān)于怎樣部署 CA 證書，請參考 Deploying the HTTPS inspection trusted root CA certificate to client computers

問題4: 客戶端使用 Firefox 瀏覽器訪問所有 HTTPS 站點，會收到以下報錯，IE 則不會。

圖4- 使用 Firefox 瀏覽器訪問 HTTPS 站點的報錯

原因： 一些三方的瀏覽器，例如 Firefox 有它自己所維護的證書信任列表，而不會使用本地的 Windows 所使用的證書信任列表。 需要參考對應三方瀏覽器的文檔，來導入 TMG 的 CA 證書。

問題5: 客戶端在使用 TMG client 來訪問 HTTPS 網(wǎng)站，需要彈出以下提示，說明 HTTPS 的網(wǎng)絡流量在監(jiān)控之下。但多次訪問同一個 HTTPS 網(wǎng)站，該提示只會出現(xiàn)一次。

圖5- TMG client 提示

原因： 默認情況下，該提示會緩存12小時。如果客戶端不重啟機器，在12小時內(nèi)，對于同一個 HTTPS 站點只會彈出一次提示?？梢栽谧员韮?nèi)修改該默認值。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\FwcMgmt]

"FWC_MGMT_HTTPS_TEMPORARY_DISABLED_TIMEOUT"=dword:2932E00

默認值為十六進制2932E00毫秒，等于十進制 43200000 毫秒，等于 12 小時。這是用于 TMG Client 用戶界面顯示的設置，無需重啟服務。

問題6: 訪問一個需要客戶端證書驗證的 HTTPS 站點時，收到以下報錯信息：

圖6- 訪問需要客戶端證書驗證的 HTTPS 站點時的報錯

原因：TMG 不支持訪問需要客戶端證書驗證的 HTTPS 站點，因為 TMG 沒有用于驗證的客戶端證書。需要把該站點加到排除列表中，并設為不做證書檢查。

【編輯推薦】

1. 用Forefront TMG保護Exchange 2010 Server
2. 集成TMG 2010，提升Windows Server 2008中的NAP FOR IPSEC在企業(yè)中的應用