如何安装和配置Forefront TMG客户端-网络安全专区

如何安装和配置Forefront TMG客户端

作者：蒋世强编辑：赵继诚 2010-04-07 00:00 来源：IT168�

　　引言

　　Forefront TMG的特征之一是它支持多个客户端连接到Forefront TMG防火墙。这些客户端的类型包括Forefront TMG客户端，也就是大家所熟悉的Windows操作系统的Winsock客户端。同其他客户端(如Web代理和安全NAT)相比，TMG客户端做了几项改进。Forefront TMG客户端可以安装在多个受TMG 2010保护的Windows客户端和服务器操作系统上(不推荐这种做法，终端服务器除外)。Forefront TMG客户端利用TMG 2010为客户端计算机提供HTTPS检测通知(HTTPS inspection notification)、自动发现(Automatic Discovery)、增强的安全性、应用支持，以及访问控制。当运行Forefront TMG客户端的计算机发出防火墙请求，该请求被定向发送到TMG 2010计算机做进一步处理。由于它属于Winsock进程，因此无需特定的路由架构支持。Forefront TMG客户端透明地发送用户信息，这样用户就能够在Forefront TMG 2010计算机上创建防火墙策略，防火墙策略遵从客户颁发的认证证书的规则，但仅限于TCP和UDP流量。对于其他任何协议，则必须使用安全NAT客户端连接。

　　除后面将要介绍的防火墙客户端标准特性之外，TMG客户端还支持：

　　•HTTPS检测通知

　　•活动目录标记(Active Directory Marker)

　　TMG客户端的标准功能

　　•用户或组防火墙策略适用于TCP和UDP协议的网络/非网络代理

　　•支持复杂协议，而无需使用TMG应用程序筛选器

　　•简化大型组织的路由配置

　　•自动探测基于DNS和DHCP服务器设置的TMG信息。

　　系统需求

　　支持的操作系统：

　　•Windows7

　　•Windows Server 2003

　　•Windows Server 2008

　　•Windows Vista

　　•Windows XP

　　支持的ISA Server版本和Forefront TMG版本：

　　•ISA Server 2004标准版

　　•ISA Server 2004企业版

　　•ISA Server 2006标准版

　　•ISA Server 2006企业版

　　•Forefront TMG中小企业版

　　•Forefront TMG 2010标准版

　　•Forefront TMG 2010企业版

　　客户端/服务器兼容性

　　表1：表格来源http://technet.microsoft.com/en-us/library/dd897009.aspx

　　在TMG服务器端进行TMG客户端设置

　　配置Forefront TMG端只需要对Forefront TMG server进行少数几个设置。首先，需要使TMG客户端支持定义于TMG服务器的内部网络，如以下截图所示。

　　图1: 在TMG服务器端进行客户端设置

　　启用TMG客户端支持后(默认情况下即TMG正常安装后)，自动进行客户端计算机的Web浏览器安装。TMG客户端正常更新或服务启动期间，TMG管理控制台对浏览器进行配置。

　　对TMG客户端进行应用程序设置时，可以启用或禁用某些应用程序。

　　图2: TMG客户端设置

　　活动目录标记

　　Forefront TMG提供了一个在TMG服务器端自动检测客户端的新功能。同先前版本的防火墙客户端不同，TMG客户端可以使用活动目录中的一个标记查找相应的TMG服务器。在活动目录中，TMG客户端使用轻量目录访问协议(LDAP，Lightweight Directory Access Protocol)查找所需的信息。

　　注：如果TMG客户端不能查找到活动目录标记，出于安全考虑，也不会通过DHCP和DNS进行自动检测。这样做是为了减少攻击者将系统强行恢复到一个不安全状态的风险。如果建立了活动目录连接而无法查找到活动目录标记，TMG客户端将自动切换到DHCP和DNS。

　　TMG活动目录配置工具

　　配置活动目录标记，可以从微软下载中心下载TMG活动目录配置工具AdConfigPack.EXE。该工具下载并安装后，执行下列命令行进行注册：

　　Tmgadconfig add –default –type winsock –url http://nameoftmgserver.domain.tld:8080/wspad.dat

　　如果不使用活动目录标记支持，也可以使用TMG活动目录配置工具清除该标记。

　　TMG客户端安装

　　TMG客户端的最新版本可以从微软网站下载。

　　图3: TMG客户端安装

　　可手动指定TMG服务器的安装位置，也可以在TMG客户端安装过程中自动选择。安装完成后，可利用TMG客户端任务窗口的配置工具重新配置TMG检测机制。

　　图 4: 选择TMG客户端计算机

　　高级自动检测

　　TMG客户端有一个新选项可用来定义自动检测方法。

　　图 5: 高级自动检测

　　HTTPS检测通知

　　Forefront TMG具有检测客户端对外连接的HTTPS流量的新功能。新加入的TMG客户端负责把HTTPS连接检测这一敏感进程通知给用户。TMG管理员也可以选择在服务器端集中地停用通知进程或在每个客户端手动操作。

　　图6: 安全连接检测

　　如果启用对外连接的HTTPS检测，或者启用HTTPS检测通知，TMG客户端用户将会收到如下图所示的信息。

　　图 7: 安全连接检测信息

　　结语

　　本文概要讲述了Microsoft Forefront TMG客户端的安装与配置，同时，介绍了它的一些新功能。鉴于TMG客户端具有增强的安全特性，建议在工作环境中使用。由于TMG客户端有些高级配置较早期版本的防火墙客户端并无变化，因此本文没有涉及。

关注我们