引言：在单位内网中，通常设置有各种网络服务器，但是将内网网站直接发布到Internet上，存在很大的安全风险。这就需要使用防火墙来保护其安全。但硬件防火墙价格较高，而利用Forefront TMG 2010防火墙软件就可以为内网提供有效的保护。

在单位内网中，通常设置有各种网络服务器，但是将内网网站直接发布到Internet上，存在很大的安全风险。这就需要使用防火墙来保护其安全。但硬件防火墙价格较高，而利用Forefront TMG 2010防火墙软件就可以为内网提供有效的保护。

Forefront TMG是一款高级状态检测以及应用层检测防火墙，同时还包括VPN以及Web缓存，能最大化提升信息安全和性能。这里就以实例来介绍和分析如何使用Forefront TMG 2010安全发布内网网站。

在本例的域架构中存在Web服务器，DC控制器，Exchange 2010服务器等主机。Web服务器IP为192.168.1.9，DC控制器IP为 192.168.1.2，Exchange服务器IP为192.168.1.10。在DC控制器上安装了CA证书服务和DNS服务，网关服务器上安装的是Forefront TMG 2010防火墙，在其中安装了两块网卡，其公网IP为某具体值。内网IP为192.168.1.1。在这些主机上在其上安装的都是Windows Server 2008。

图1 选择HTTP站点发布方式

使用Forefront TMG发布HTTP站点

为让外网用户方便访问内网服务器，需向Internet上的域名提供商申请一个域名，之后添加对应的主机记录使之指向内网的公网地址。需在Forefront TMG防火墙上对80端口设置一个映射，使之映射到内网的Web服务器上。

在Forefront TMG控制台窗口左侧选择“防火墙策略”项，在其右键菜单上依次点击“新建”、“网站发布规则”项，输入本规则名称，如图1所示。在“下一步”窗口中选择“允许”项，点击“下一步”按钮，在发布类型窗口中选择“发布单个网站或负载平衡器”项，在下一步窗口中选择“使用不安全的连接发布的Web服务器或服务器场”项表示发布HTTP网站。在下一步的内部发布详细信息窗口中输入内部站点名称，选择“使用计算机名称或IP地址连接到发布的服务器”项，输入内网Web服务器地址192.168.1.9。在下一步窗口中“路径”栏中输入“/*”，表示发布整个网站。

点击“下一步”按钮，在发布名称细节窗口中的“公网名称”栏中输入实际的网站域名，即上述申请的域名信息。在下一步的选择Web侦听器窗口中点击“新建”按钮，在弹出窗口中输入该侦听器名称。点击“下一步”按钮，选择“不需要与客户端建立SSL安全连接”项，点击下一步按钮，在Web侦听器IP地址窗口（如图2）中选择“外部”项，在下一步窗口中的列表中选择“没有身份验证”项，点击完成按钮，创建该侦听器。该Web侦听器的作用在于当Forefront TMG接收到外部用户访问其80端口时才执行映射操作。返回上一级窗口，选择使用该侦听器，在下一步窗口中选择“无委派，但是客户端可以直接进行身份验证”项，之后点击完成按钮，创建该发布规则。

图2 设置侦听器属性

图3 侦听器身份验证高级设置窗

点 击Forefront TMG窗口上部的“应用”按钮激活该规则。为测试该规则是否发挥作用，可在Forefront TMG窗口中部的所有防火墙策略列表中选择名为“Publish Web Site”的规则，在其属性窗口中点击“测试规则”按钮，在Web发布规则测试结果窗口中显示相关的测试信息，如果出现错误提示需对其进行调整。例如出现需要将Web侦听器配置为侦听SSL端口之类的信息时，需要在该属性窗口中的“侦听器”面板中选择上述侦听器名称，点击“属性”按钮，在其属性窗口的“身份验证”面板中点击“高级”按钮，在弹出窗口（如图3）中选择“允许通过HTTP进行客户端身份验证”项，点击应用和确定按钮保存配置信息。之后点击Forefront TMG窗口上部的“应用”按钮，重新激活该规则。之后可以重新执行测试，就会发现测试成功。

申请和管理安全证书

使用HTTP协议访问网站存在很大的安全问题。为提高安全性，应该为网站绑定安全证书，使用SSL加密的方式进行数据的传输，这样即使有黑客对其进行拦截嗅探，也无法获取真实的内容。在实际工作中，需要向第三方证书颁发机构购买证书，这里为了便于说明，可以在DC控制器上安装活动目录证书服务，来执行证书的颁发操作。对使用者来说，首先要信任该证书颁发机构，对加入域的主机来说，只需在CMD窗口中执行“gpupdate/force”命令，通过刷新组策略的方法，可以让该机信任证书颁发机构。

申请证书的方法有很多，例如在Exchange 2010中打开管理控制器，在其左侧点击“服务器配置”项，在右侧点击“新建Exchange证书”链接，在向导界面（如图4）中输入该证书的友好名称，在下一步窗口中打开“客户端访问服务器”项，选择其中的“Outlook Web App在 Intranet上”和“Outlook Web App在Internet上”项，在下一步窗口中选择合适的域名，点击“设置为公用名称”按钮，将其设置为的公用名称，在下一步窗口中输入组织，组织范围，位置等内容，点击浏览按钮，选择证书请求文件存储路径。这样就生成了证书请求文件，例如“qqzs.req”。

图4 利用Exchange申请证书

只要将该证书文件提交给第三方证书颁发机构，就可以买到所需的证书。这里为了简单起见，可以向DC中的证书服务申请证书。使用记事本打开该文件，复制其全部内容。在浏览器中访问“http://192.168.1.2/certsrv”地址，在认证窗口中输入域管理员名称和密码，在打开的网页中点击“申请证书”链接，在下一步窗口中点击“高级证书申请”链接，接下来点击“使用base64编码的CMC或PKCS#10文件提交一个证书申请，在提交页面中的“保存的申请”栏中粘贴请求证书内容，在“证书模板”列表中选择“Web服务器”项，点击“提交”链接，点击“下载证书”链接，就可以将证书文件保存在本地，其后缀名为“.p7b”。

在上述Exchange 2010窗口中选择上述申请证书项目，在其右键菜单中点击“完成搁置请求”项，在弹出窗口中点击“浏览”按钮，选择上述证书文件，完成导入操作。在该证书的右键菜单上点击“将服务分配给证书”项，在弹出窗口中选择“邮局协议”，“Internet Information Services”，“简单邮件传输协议”，“Internet邮件访问协议”等服务，点击完成按钮，在弹出窗口中选择“全是”，替换之前的证书，并将之前存在的证书删除。对于工作组中的主机来说，也可以执行证书申请操作。例如本例中的Web服务器就处于工作组状态，在该机中的IIS管理器中选择服务器名，打开服务器证书管理窗口，在右侧点击“创建证书申请”链接，执行证书申请操作。

注意，在其中的“通用名称”栏中必须输入对应的网站域名。按照提示创建申请文件，之后按照上述方法，来访问证书服务器，获得所需的证书。点击“导入”链接，完成证书导入操作。注意，在证书存储格式中选择“Web宿主”项。如果出错说明该Web服务器没有信任根证书颁发机构。可以打开上述证书申请页面，点击“下载CA证书，证书链或CRL”链接，点击“下载CA证书链”链接下载用来信任根证书颁发机构的证书。

运行“mmc”程序，在控制台中分别点击菜单“文件”、“添加或删除管理单元”项，选择证书项目，点击添加按钮，并选择“计算机账户”项，完成证书项目添加操作。依次选择“证书”、“受信任的根证书颁发机构”项在，依次点击“所有任务”、“导入”项，导入上述“xinren.p7b”文件，就可以让该Web服务器信任CA证书颁发机构。之后在IIS中选择目标网站，在右侧点击“绑定”链接，在弹出窗口中的“类型”列表中选择“https”项，在“SSL证书”列表中选择对应的证书，就可以为网站绑定证书。对于IIS 8.0来说，对于HTTPS网站来说，同样是支持主机头的，这个网站的发布带来了便利。如果在IIS中的对应网站中打开SSL设置窗口，选择“要求SSL”项，那么就只能访问HTTPS网站。但是为了提高通用性，需要采取更加常规的方法来发布SSL站点。

使用Forefront TMG隧道模式发布SSL站点

图5 新建服务器发布规则向导

在Forefront TMG控制台左侧选择“防火墙策略”项，在其右键菜单上依次点击“新建”、“Exchange Web客户端访问发布规则”项，输入该规则名称，在选择服务器窗口中输入Exchange邮件服务器IP，点击下一步按钮，在选择协议窗口（如图5）中选择“HTTPS服务器”项，在下一步的网络侦听器IP地址窗口中选择“外部”项，点击“地址”按钮，在弹出窗口中的“可用的IP地址”列表中显示Forefront TMG服务器上所有可用的外网地址，根据需要为Exchange服务选择对应的IP。按照常规方法，需要在Forefront TMG主机上配置多个外网地址，为不同的内网服务器主机指定不同的外网IP。

点击完成按钮，创建该规则。之后在Forefront TMG中点击“应用”按钮，激活该规则。之后在外网服务器上访 问“https://mail.xxx.com/owa”地址，就可以访问内网中的Exchange服务器，本例中“mail.xxx.com”为Exchange服务器域名。注意，在外网主机上必须导入证书，让其信任内网中的CA证书颁发机构。当然，前提是必须在Forefront TMG控制台窗口左侧选择“防火墙策略”项，在其右键菜单上依次点击“新建”、“网站发布规则”项，为内网CA主机创建一条规则，将CA主机的80端口发布出去。

这样，外网用户访问“http://ca.xxx.com/certsrv”地址，输入域管理员账户和密码，点击“下载CA证书，证书链或CRL”链接，之后点击“下载CA证书链”链接，获得所需的证书，按照上述方法，将其导入根证书的颁发机构，就可以顺利访问内网中的Exchange服务器了。如果购买第三方的证书直接下载导入即可。这样，就是利用了SSL隧道模式，实现了安全的访问操作。按照常规方式发布SSL站点，需要为Forefront TMG防火墙主机配置多个外网IP，使其和不同的内网SSL站点实现映射操作。