讓ForeFront TMG來做企業網絡的守門人
在企業網絡部署中,往往需要在內網與外網之間設置一道門,用來保護企業內部網絡的安全,同時對內網用戶的流量進行控制。如下圖所示。當有外網用戶訪問企業內部網絡時,需要對這個訪問者的身份進行驗證。但內網用戶訪問互聯網時,這需要對其流量進行控制,如不能夠炒股等等。ForeFront TMG就能夠滿足用戶的這種需求。
一、ForeFront TMG的特點解析
簡單的說,ForeFront TMG可以通過檢查和篩選內部網絡和互聯網之間的通信、各個網絡之間的通信、ForeFront TMG服務器與同其通信的服務之間的流量來控制和保護內部的網絡訪問。對外,可以對外面的用戶進行身份驗證,確保只有合法的用戶才能夠通過VPN或者其它的方式來訪問企業內部服務器。對內,可以讓只有授權的用戶才能夠訪問企業外部網絡或者限制某些應用程序訪問外網。
在這篇文章中筆者就給大家介紹一下ForeFront TMG這個產品如何來保護企業內部網絡的安全。這些經驗型的內容在教科書上并不一定找的到。相信能夠給大家帶來很大的幫助。
二、根據不同的應用來選擇對應的防火墻策略
ForeFront TMG系統通過強制用于確定是否允許網絡之間的連接的策略,來控制網絡之間的相互訪問。簡單的說,ForeFront TMG的核心就是策略。到目前為止,ForeFront TMG提供防火墻策略、系統策略、網絡規則三個具體的策略。而其中以防火墻策略最為重要。
在防火墻策略中又包含三部分的內容:訪問規則、Web發布規則以及服務器發布規則。這里需要注意的是,三種規則各有個的特點,其所引用的范圍也是不同的。這也就是說,管理員需要根據企業的實際情況,來選擇合適的應用規則。而要做到這一點的話,一個前提條件就是需要了解這三種規則之間的差異。這也是筆者要談的重點內容之一。
Web發布規則,顧名思義,就是控制對已經發布的Web服務器的入站訪問。如上圖所示,假設內部有一臺Web服務器要供網內、網外的用戶訪問。此時就需要在Web服務器與外網用戶之間,設置一道門檻,來保障Web服務器的安全。
服務器發布規則同Web發布規則一樣,也是用來控制對已經發布的除Web服務器之外的服務器的入站訪問。企業的應用服務器根據用途來分有好幾種,如Web服務器、文件服務器、VPN服務器、郵箱服務器等等。在ForeFront TMG中,則只將服務器分為兩類,分別為Web服務器和非Web服務器。由于Web應用的復雜性,在ForeFront TMG中專門為其設置了一套Web發布規則。對于Web以外的服務器,系統則同一使用服務器發布規則來控制。
訪問規則這主要用來控制出站訪問,既內部用戶訪問互聯網。在實際工作中,訪問規則往往是網絡管理員所需要關注的重點。
從以上的分析中,可以看出防火墻的三種規則差異是很大的,分別適用于不同的場合。其中Web發布規則和服務器發布規則主要用于進站的訪問控制。前者適用于Web服務器,后者適用于Web應用以外的服務器。訪問規則這用來控制出戰的Web訪問。
三、請求處理及注意事項
當客戶端發出訪問的請求之后,ForeFront TMG會如何處理呢?企業安全管理員必須對此要有充分的認識。因為這對后續性能的優化與故障排除都有很大的作用。筆者總結了一下,這個請求的處理可以分為四步走。
第一步:根據預先定義的網絡規則來檢查用戶的請求。在這一步主要用來請求的源和目標之間是否存在說需要的網絡關系。在這個過程中,有兩點需要注意。一是如果請求是由Web代理篩選器來處理的,這不會根據這個網絡規則來進行檢查。二是在訪問時如果提示網絡出現措施,這往往是網絡規則在定義時出現了問題。需要重新審視網絡規則的合適性。
第二步:檢測系統策略。將用戶定義的系統策略與用戶的請求進行匹配,判斷是否允許用戶的請求。系統策略主要用來控制進出本地主機網絡的通訊。一般來說,用戶身份驗證、訪問日志等內容都主要在這里完成。所以如果在訪問過程中,出現跟用戶身份驗證相關的問題,則就需要檢查系統策略的合理性。如現在有一個系統規則指定必須要進行身份驗證才能夠訪問。此時ForeFront TMG系統就會要求客戶端提供相應的憑據。如果客戶端無法提供合法的憑據,這系統就會丟棄請求,用戶訪問被終止。此時如果客戶端那邊沒問題的話,那么就是在系統策略中出現了故障。或者說在新策略啟用之前,沒有跟用戶進行溝通或者培訓。
第三步:檢查防火墻策略。在第三步的時候,才會根據Web發布規則、服務器發布規則或者訪問規則來控制用戶的信息流量。在這一個步驟中,用戶需要注意的是,可能某個規則中有多條記錄。此時默認情況下會根據列表中的記錄排列順序來應用。為此這個記錄的先后順序就非常的重要。如果先后順序顛倒,這就可能出現網絡訪問的故障。如果在請求過程中,系統提示沒有權限訪問或者訪問被防火墻拒絕等錯誤信息的時候,管理員就需要檢查防火墻策略。特別是列表中的記錄順序是否有問題。
第四步:確定使用路由通訊還是使用NAT。這也是四個步驟中最復雜的。當第三步的請求與防火墻策略相匹配之后,ForeFront TMG系統會再次檢查網絡規則,以判斷是采用路由通訊還是采用NAT通訊。
路由通訊指的是那種雙向之間的通訊。比如網絡規則定義了從A到B之間的路由關系,這系統會自動創建從B到A之間的路由。而NAT關系則正好相反。NAT是單向的。這是他們之間的第一個區別。另外一個區別是,路由關系中并不會更改源和目標地址。而NAT則需要更改IP地址。這是他們最本質的一個區別之一,也是我們選擇到底是采用路由關系還是使用NAT關系的標準之一。通常情況下,如果不需要在網絡之間隱藏IP地址的情況下使用路由關系。如果需要隱藏真實IP地址的,則就需要采用NAT關系。那么什么情況下需要隱藏IP地址呢?一般有兩種情況。一是內網與外網之間的訪問,如互聯網用戶需要直接訪問企業內部的服務器。在這種情況下,如果企業內部服務器的IP地址沒有合法的公網地址,而只有一個企業內部的地址,此時就需要通過NAT技術對內部服務器的IP地址進行轉換。二是出于安全的考慮。如在上面這個案例中,即使企業有比較多的公網IP地址,但是有時候也仍然會采用NAT關系。這主要是因為需要通過NAT技術來隱藏服務器真實的IP地址,以防遭到不明身份的人的攻擊。
筆者認為,在大部分情況下,只需要將ForeFront TMG IP地址配置為默認網關就可以了。也就是說,只需要一個公網IP地址,然后將企業內部的客戶端都通過NAT關系轉換為這個公網IP地址與互聯網上的主機進行通信。當然如果采用NAT技術的話,會造成管理上的復雜性。而且有了NAT這個中間設備,在性能與穩定性上也會造成一定的影響。
【編輯推薦】
