在企业网络部署中,往往需要在内网与外网之间设置一道门,用来保护企业内部网络的安全,同时对内网用户的流量进行控制。如下图所示。当有外网用户访问企业内部网络时,需要对这个访问者的身份进行验证。但内网用户访问互联网时,这需要对其流量进行控制,如不能够炒股等等。ForeFront TMG就能够满足用户的这种需求。
一、ForeFront TMG的特点解析
简单的说,ForeFront TMG可以通过检查和筛选内部网络和互联网之间的通信、各个网络之间的通信、ForeFront TMG服务器与同其通信的服务之间的流量来控制和保护内部的网络访问。对外,可以对外面的用户进行身份验证,确保只有合法的用户才能够通过VPN或者其它的方式来访问企业内部服务器。对内,可以让只有授权的用户才能够访问企业外部网络或者限制某些应用程序访问外网。
在这篇文章中笔者就给大家介绍一下ForeFront TMG这个产品如何来保护企业内部网络的安全。这些经验型的内容在教科书上并不一定找的到。相信能够给大家带来很大的帮助。
二、根据不同的应用来选择对应的防火墙策略
ForeFront TMG系统通过强制用于确定是否允许网络之间的连接的策略,来控制网络之间的相互访问。简单的说,ForeFront TMG的核心就是策略。到目前为止,ForeFront TMG提供防火墙策略、系统策略、网络规则三个具体的策略。而其中以防火墙策略最为重要。
在防火墙策略中又包含三部分的内容:访问规则、Web发布规则以及服务器发布规则。这里需要注意的是,三种规则各有个的特点,其所引用的范围也是不同的。这也就是说,管理员需要根据企业的实际情况,来选择合适的应用规则。而要做到这一点的话,一个前提条件就是需要了解这三种规则之间的差异。这也是笔者要谈的重点内容之一。
Web发布规则,顾名思义,就是控制对已经发布的Web服务器的入站访问。如上图所示,假设内部有一台Web服务器要供网内、网外的用户访问。此时就需要在Web服务器与外网用户之间,设置一道门槛,来保障Web服务器的安全。
服务器发布规则同Web发布规则一样,也是用来控制对已经发布的除Web服务器之外的服务器的入站访问。企业的应用服务器根据用途来分有好几种,如Web服务器、文件服务器、VPN服务器、邮箱服务器等等。在ForeFront TMG中,则只将服务器分为两类,分别为Web服务器和非Web服务器。由于Web应用的复杂性,在ForeFront TMG中专门为其设置了一套Web发布规则。对于Web以外的服务器,系统则同一使用服务器发布规则来控制。
访问规则这主要用来控制出站访问,既内部用户访问互联网。在实际工作中,访问规则往往是网络管理员所需要关注的重点。
从以上的分析中,可以看出防火墙的三种规则差异是很大的,分别适用于不同的场合。其中Web发布规则和服务器发布规则主要用于进站的访问控制。前者适用于Web服务器,后者适用于Web应用以外的服务器。访问规则这用来控制出战的Web访问。
三、请求处理及注意事项
当客户端发出访问的请求之后,ForeFront TMG会如何处理呢?企业安全管理员必须对此要有充分的认识。因为这对后续性能的优化与故障排除都有很大的作用。笔者总结了一下,这个请求的处理可以分为四步走。
第一步:根据预先定义的网络规则来检查用户的请求。在这一步主要用来请求的源和目标之间是否存在说需要的网络关系。在这个过程中,有两点需要注意。一是如果请求是由Web代理筛选器来处理的,这不会根据这个网络规则来进行检查。二是在访问时如果提示网络出现措施,这往往是网络规则在定义时出现了问题。需要重新审视网络规则的合适性。
第二步:检测系统策略。将用户定义的系统策略与用户的请求进行匹配,判断是否允许用户的请求。系统策略主要用来控制进出本地主机网络的通讯。一般来说,用户身份验证、访问日志等内容都主要在这里完成。所以如果在访问过程中,出现跟用户身份验证相关的问题,则就需要检查系统策略的合理性。如现在有一个系统规则指定必须要进行身份验证才能够访问。此时ForeFront TMG系统就会要求客户端提供相应的凭据。如果客户端无法提供合法的凭据,这系统就会丢弃请求,用户访问被终止。此时如果客户端那边没问题的话,那么就是在系统策略中出现了故障。或者说在新策略启用之前,没有跟用户进行沟通或者培训。
第三步:检查防火墙策略。在第三步的时候,才会根据Web发布规则、服务器发布规则或者访问规则来控制用户的信息流量。在这一个步骤中,用户需要注意的是,可能某个规则中有多条记录。此时默认情况下会根据列表中的记录排列顺序来应用。为此这个记录的先后顺序就非常的重要。如果先后顺序颠倒,这就可能出现网络访问的故障。如果在请求过程中,系统提示没有权限访问或者访问被防火墙拒绝等错误信息的时候,管理员就需要检查防火墙策略。特别是列表中的记录顺序是否有问题。
第四步:确定使用路由通讯还是使用NAT。这也是四个步骤中最复杂的。当第三步的请求与防火墙策略相匹配之后,ForeFront TMG系统会再次检查网络规则,以判断是采用路由通讯还是采用NAT通讯。
路由通讯指的是那种双向之间的通讯。比如网络规则定义了从A到B之间的路由关系,这系统会自动创建从B到A之间的路由。而NAT关系则正好相反。NAT是单向的。这是他们之间的第一个区别。另外一个区别是,路由关系中并不会更改源和目标地址。而NAT则需要更改IP地址。这是他们最本质的一个区别之一,也是我们选择到底是采用路由关系还是使用NAT关系的标准之一。通常情况下,如果不需要在网络之间隐藏IP地址的情况下使用路由关系。如果需要隐藏真实IP地址的,则就需要采用NAT关系。那么什么情况下需要隐藏IP地址呢?一般有两种情况。一是内网与外网之间的访问,如互联网用户需要直接访问企业内部的服务器。在这种情况下,如果企业内部服务器的IP地址没有合法的公网地址,而只有一个企业内部的地址,此时就需要通过NAT技术对内部服务器的IP地址进行转换。二是出于安全的考虑。如在上面这个案例中,即使企业有比较多的公网IP地址,但是有时候也仍然会采用NAT关系。这主要是因为需要通过NAT技术来隐藏服务器真实的IP地址,以防遭到不明身份的人的攻击。
笔者认为,在大部分情况下,只需要将ForeFront TMG IP地址配置为默认网关就可以了。也就是说,只需要一个公网IP地址,然后将企业内部的客户端都通过NAT关系转换为这个公网IP地址与互联网上的主机进行通信。当然如果采用NAT技术的话,会造成管理上的复杂性。而且有了NAT这个中间设备,在性能与稳定性上也会造成一定的影响。
【编辑推荐】
