当企业内部访问外部的网站、Email服务器时，存在一定的安全隐患。如这些互联网上的Web服务器或者邮箱服务器中，很有可能捆绑有恶意软件，如蠕虫、病毒、间谍软件等等。在用户访问的过程中，如果不采取措施，这些恶意软件就会在不知不觉之中随着正常的信息流传入到企业的内部网站，从而给企业的网络安全带来威胁。网络安全要预防与未然。为此我们的目标是要有效的将恶意软件挡在企业的外面，而不是其进入到企业内部后在进行杀毒。

　　一、通过ForefrontTMG检查外部进入内部的信息流量

　　如上图所示，当企业内部用户需要访问外部的应用服务器，如某个网站。此时网站会将用户请求的信息通过互联网络访问给用户。在这个过程中，如果有一个设备能够检查返回回来的数据，以确认没有恶意软件。如果有的话，则屏蔽掉。没有则再转发给企业内部用户。则种机制无疑可以将恶意挼你结案阻挡在门外。

　　Forefront安全网关就可以实现这种检测。通过使用Forefront安全网关系统，可以检查进站HTTP通信中的恶意软件。具体的说，就是在Web访问规则中启用恶意软件检查。此时网关就会对用户请求的网站(即网站根据用户请求传送回来的数据)进行扫描，并清除有害的HTTP内容。这个机制其实跟用户浏览器的安全机制类似。只是其屏蔽的时点不同。前者是在大门外，而后者是在房门外。从企业的角度讲，我们是要将其屏蔽在大门外。如此的话，即使内部的房门(企业内部客户端)没关，也不会影响其安全性。

　　二、启用恶意软件检查的前提条件

　　“恶意软件检查”是Forefront安全网关产品中的一个插件。通常情况下，企业如果需要启用这个功能，则需要购买“保护许可证”。当购买了许可证之后，可以根据下面的步骤来激活许可证。

　　第一步：在安全网关管理控制平台中，单击“服务器”节点。然后在打开的“任务”选项卡上，单击“启动入门向导”，然后再点击“定义部署选项”。然后系统会打开一个微软更新设置的对话框。在这个对话框中选择“TMG保护功能设置”。

　　第二步：激活Web保护许可证。根据上面的步骤可以打开“Forefront安全网关保护功能设置”来激活购买的Web保护许可证。在上面打开的这个对话框中，选择购买的许可证。然后选择“激活以购买许可证并启用Web保护”选项，并在密钥文本框中输入许可证对应的激活代码。这里需要特别注意的是，一定要选择“启用恶意软件检查”选项。Web保护是一个广义的概念，而恶意软件检查则其中的一个分支。选中后，一路按确定即可。

　　三、修改与配置恶意软件检查规则

　　启用了恶意软件检查功能之后，还需要根据企业自身的安全需求，对相关的规则进行配置。这里的规则一般包括两个层次。一是全局层次，即对安全网关中的所有访问规则都有效。二是访问规则层次，即指针对特定的访问规则有效。在实际工作中，笔者建议对于大部分的设置最好都是在全局层次进行。这可以实现统一的管理。而对于一些特殊的、个性化的内容，才在访问规则层次设置。

　　要配置恶意检查软件规则的话，是在“任务”选项卡上的“配制恶意软件检查”窗口中进行。由于相关的配置都是可视化的界面，为此笔者就不做过多介绍。笔者这里需要强调的是，配置过程中需要用到的几个重要选项。这些选项直接关系到后续恶意软件检查的效果。

　　第一个选项是“阻止可疑文件”。当外部服务器上传过来的文件，如果Forefront安全网关认为其比较可疑，则其就会阻止这个文件。注意这里是可疑文件，这跟已感染的文件不同。已感染的文件是指安全网关根据其数据库中的资料，已经可以确性这个文件中带有恶意软件。而可疑文件是指这个文件不正常，根据相关的规则判定其似乎已经感染了某个恶意软件。而这个恶意软件在Forefront数据库中没有相关资料。也即是说，可疑文件是安全网关系统智能化分析的结果。所以这个结果有可能是正确的，也有可能是错误的。不过一般情况下，是正确的比率高一点。故是否需要启用这个选项，需要根据企业的安全需求来判断。

　　第二个选项是“阻止损坏的文件”。这个跟上面这个选项类似，也是安全网关智能分析的一个结果。不过这个规则比上面的选项更严。有些恶意软件会故意伪装成一个损坏的文件，来逃避相关的安全机制的检查。不过从实际应用的效果来看，启用这个选项的话，安全网关误判的几率会高许多。为此如果没有特别的需要，笔者还是建议不要启用这个选项。

　　第三个选项是“存档深度级别超过以下值时阻止文件”选项。道高一尺、魔高一丈。有些恶意软件为了逃避检查，会故意做成嵌套文件，即多穿几件外衣。而有些安全系统为了提高检查的效率，可能不会进行深层次的检查。Forefront安全网关也是这么设计的。此时就给恶意软件可乘之机。这个选项就是用来阻止为回避检测而进行了深层次嵌套存档的恶意软件。一般情况下，需要启用这个选项。并根据企业的安全级别，选择一个合适的值。这个值到底多少合适，没有统一的标准。这需要安全管理人员进行不断的追踪分析，最终确定一个合适的值。

　　四、选择安全网关内容传送机制

　　如上图所示，当Web服务器将网页内容传送给企业内部用户，需要先经过安全网关的检查。此时就有一个问题。安全网关需要将所有内容检查完毕之后再发送给客户，还是边检查边发送呢?

　　在Forefront安全网关中支持这两种方式。前面一种叫做“滴滤”，即在检查文件时系统将发送部分的内容。有些客户端应用程序有超时的设置。即在一段时间之内如果没有收到信息的话，就会断开连接。此时采用这种滴滤机制比较和丝毫(如客户端下载网站上的某个文件)。另外一种叫做“进度通知”。在这种机制下，安全网关会向客户端发送一个HTML页，通知用户其访问的信息的内容正在进行安全检查，并显示检查的进度。这里需要注意，此时用户看到的信息，并不是用户所请求内容的一部分。如果这个检查比较费时，而客户端应用程序又有超时限制，那么用户的应用程序就会因为超时的原因而出现连接中断的问题。

　　可见，这两种内容传送机制各有各的特点。通常情况下，如果客户端应用程序没有超时限制、或者这个超时时间比较长的话，那么采用“进度通知”是一种不错的方法。相反客户端应用程序有超时限制，则采用滴滤机制更加的合理。

　　要配置这个传递规则的话，可以依次打开“Web访问策略”、“任务”选项卡、“配置恶意软件检查”、“内容传递”选项卡、“已扫描内容的默认内容传递方法”对话框中进行选择。笔者在此强调一下，需要根据客户端应用程序的性质来选择这个内容传递的规则。

　　五、自定义拒绝通知

　　当用户访问的某个网页如果存在恶意软件的话，安全网关就会将其过滤掉。此时为了提醒人性化思想，往往需要给用户提供一个错误信息，说明因为什么原因其访问的问题被屏蔽掉了。在Forefront安全网关中，当Web访问策略规则拒绝某一网站的访问时，管理员可以根据需要自定义拒绝通知，以告诉用户拒绝的原因。

　　一般有两种方式来实现。一是当内容被屏蔽时，向用户发送相关的错误信息。二是党内容被屏蔽时，将客户端重定向到某个特定的网页。两者没有什么优劣之分，主要看管理员的习惯。这两种方式都是在“操作”选项卡上的“拒绝ULR请求操作”栏目内进行设置。如果需要发送信息的话，则选中“向用户显示拒绝通知”选项，并自定义需要显示的信息。如果重定向网页的话，则选择“将Web客户端重定向蹈以下的URL”选项，并输入准确的地址。

　　经过以上几个步骤之后，恶意软件检查功能已经可以使用。最后笔者要强调的一点是，启用了恶意软件检查之后，会发生或者加重数据延迟的现象。当内部用户在访问互联网内容的时候，有时候会显示“超时”的错误信息。在这种情况下，管理员就需要意识到是否是这个恶意软件检查机制所造成的。如果确实如此的话，那么就要调整相关的配置。如将内容传递方法调整为滴滤等等。