解析如何实施ForeFront配置

企业在部署网络安全防护时，ForeFront安全网关产品是一个不错的选择。那么在部署ForeFront安全网关产品之后如何实施ForeFront配置又成为了我们关心的问题，众所周知一个正确的配置可以使得安全防护效率大大提升。下面我们就来看一下Forefront中的具体配置。

ForeFront配置第一步：打开“发布非Web服务器协议”向导。管理人员可以在“管理控制台”中，找到“防火墙策略节点”。然后在这个节点上，选择“任务”窗格中的“任务”选项卡，并单击“发布非Web服务器协议”。此时系统就会打开一个向导窗口，在指导配置FTP服务器的发布规则。在这一个步骤中，主要需要注意的就是要选择“发布非Web服务器协议”。至于为什么要选择这个，我在上面第一点中已经阐述的非常清楚了，这里就不重复说明了。

ForeFront配置第二步：基本参数的设置。这里的基本参数包括服务器发布规则的名称、服务器的IP地址和需要采用的协议。根据向导的内容，管理员需要依次输入名称、FTP服务器所采用的IP地址和所采用的协议。这里需要注意，如果企业没有合法的公网IP地址，而采用私网IP地址的话，那么需要注意此时可能需要跟其他技术，如NAT技术结合使用。

ForeFront配置第三步：端口的配置。这个步骤是这些配置中的核心内容。一般来说，需要配置三个端口信息。首先，需要配置的是FTP协议本身所采用的端口。一般情况下，FTP采用的端口是20、21。但是有时候出于安全的考虑，我们需要改变这个默认的配置。如采用6221或者6220端口等等。这里需要注意的是，如果更改了其默认的端口，那么当用户在访问FTP服务器的时候，需要指明具体的端口号。由于端口改变，攻击者就不能够依靠扫描等工具来判断服务器是否启用了FTP服务。这无疑可以提高安全性。不过这也可以合法用户的访问带来了一定的不便。因为他们需要在每次访问的时候指定具体的端口信息。为此管理员需要在便利与安全之间取得均衡。如果需要更改默认端口的话，可以选择“在此端口而不是默认端口上发布”。选择这个选项之后，Forefront系统就会在指定的非标准端口上接受传入的客户端请求，然后将这些请求再转发到发布服务器的指定端口上。如果对于FTP服务器的安全性要求并不是很高，则可以采用“使用在协议中定义的默认端口发布”。此时采用的就是FTP协议的默认端口。Forefront会在端口21上接受客户的请求。

第二个端口是发布的服务器端口。在这里，也可以两个可用的选择，分别是“在发布的服务器上发送请求到默认端口”和“将请求发送到发布的服务器上的端口”。跟防火墙端口类似，如果选择的是前者的话，则Forefront系统会在端口21上接受已经发布服务的请求。而如果选择后者的话，则会在另一个端口上(即用户指定的一个非标准端口)接受对已经发布服务的请求。当管理员指定非标准端口的时候，需要注意，先确认一下这个端口是否已经被其他协议或者程序所使用。

第三个端口是源端口。这个端口信息主要就是用来实现访问的控制。即允许哪些客户端可以访问。在这里也有两个选项，分别为“允许来自所有允许的源端口的通讯”和“将访问限制来自下列范围的源端口的通讯”。顾名思义，前面这个选项对客户端的请求没有任何过滤，Forefront会接受来自所允许的客户端计算机上的任意端口的请求。而后面这个选项，则只接受来自特定端口的请求。出于安全的考虑，在必要的时候，在这里加以限制，还是可以提到很不错的效果。

ForeFront配置第四步：网络侦听器IP地址。虽然这是一个可选的参数，但是有时候这个选项还特别有用。如当FTP的用户数量很多，为了提高访问的性能，管理员可能会将多个FTP服务器组建成网络负责平衡。在这个时候，就需要在这里配置。如需要为每个成员选择相同的虚拟IP地址。具体的配置如下。先选择“外部”网络，然后选择Forefront需要侦听的IP地址。在可用的IP地址列表中，选择相应的IP地址，然后将他们添加到列表中。

ForeFront配置第五步：配置只读属性。根据以上步骤设置完成后，用户就可以访问FTP服务器了。不过此时用户只能够从FTP服务器上下载文件，而不能够上传文件。这主要是因为根据向导创建的规则，默认情况下“FTP协议策略”中只读属性为选上的。此时表示用户只能够下载文件而不能够上传文件。这个默认设置也是在提醒用户需要注意FTP服务器的安全。如果管理员允许用户上传文件，则可以更改这个默认的配置。找到刚才建立的服务器发布规则，单击“配置FTP”;然后在打开的对话框中可以看到“配置FTP协议策略”页签，将“只读”选项前面的钩去掉，再一路按“确定”即可。注意出于安全考虑，如果没有特殊的考虑，如对于一般的用户，还是只允许其下载、而不允许其上传文件。

最后需要特别提醒的是，如果使用了NAT技术的话，往往需要使用服务器发布规则。而根据相关的规则，配置单一网络适配器的时候并不支持服务期发布规则。这也就是说，如果要使用NAT(即企业公网IP地址不够)的话，必须要对服务器配置双适配器。
 

【编辑推荐】

1. Forefront性能优化四步走
2. 让ForeFront TMG来做企业网络的守门人
3. Forefront Security应用程序使用技巧
4. 浅谈Forefront Security的管理策略和事件
5. ForeFront让邮箱服务器远离侵袭三建议