用Forefront TMG 2010作为安全Web网关

　　公司在建立安全策略时，一个主要目标就是使员工能够更安全地浏览 Internet。当然，这涵盖了非常广阔的领域并涉及到多种要求，例如：

　　确保用户遵守公司有关 Internet 访问的策略。

　　检查通信情况并阻止潜在的恶意软件和可疑活动。

　　告知最终用户其 Web 通信受到检查。

　　幸运的是，使用 Microsoft Forefront Threat Management Gateway (TMG) 2010 中的安全 Web 网关功能可以帮助您满足这些目标。图 1 显示了可用于实现安全 Web 访问网关的主要 Forefront TMG 2010 功能：

　　图 1 用于安全 Web 网关方案的核心 Forefront TMG 2010 功能

　　在图中可以看到，Forefront TMG 使用了三个主要的云组件：Microsoft Update、Telemetry Service 和 Microsoft Reputation Service (MRS)。Microsoft Update 用于更新反恶意软件工具和 Network Inspection System (NIS) 签名。Microsoft 恶意软件响应团队使用由 TMG 提供的遥测报告来了解发现了哪些攻击，并据此提高签名质量。MRS 维护了一个巨大的分类 URL 数据库，供 Forefront TMG 2010 查询。

　　本文将着重介绍 URL 筛选和 HTTPS 检查。在之前的 TechNet 杂志 2009 年二月的文章中已深入讨论了恶意软件检查，该功能在 Forefront TMG 2010 中没有改变。

　　使用 URL 筛选带来更安全的浏览体验

　　URL 筛选可以看作是 Forefront TMG 的第一道防线，用于帮助确保组织的 Web 访问安全。通过使用 URL 筛选来阻止对不良网站的请求，Forefront TMG 可花费更少的时间来扫描恶意软件，从而有更多时间来传送有用的内容。

　　URL 筛选由两个主要部分组成：用于评估 Web 请求的 Web 代理筛选器，以及提供类别定义的 MRS，后者供筛选器用于确定如何对请求分类。下面是针对 Web 请求的简化处理形式：

　　Web 应用程序通过 TMG 发送对“http://malware.contoso.com/nefarious”的请求。

　　Web 代理筛选器通过 URL 筛选传递请求。

　　URL 筛选将整个请求拆分为不同部分。在本例中，这几个部分将为下列内容：

　　Com

　　Contoso.com

　　Malware.contoso.com

　　Malware.contoso.com/nefarious

　　URL 筛选在本地 URL 类别缓存中查找各个部分。

　　注意：如果请求无法与本地缓存中的 URL 类别匹配，则 URL 筛选将查询 MRS。如果 MRS 返回“未知”，或者无法访问 MRS，则 URL 筛选向 Web 代理筛选器返回“未知”响应。

　　URL 筛选知道与各个 URL 部分相关联的类别后，即可确定将应用到整个 URL 的类别。为此，TMG 使用由 MRS 提供的预定义优先顺序列表，告知 TMG 哪些类别优先。例如：

　　Com = 未知

　　Contoso.com = 常规业务

　　Malware.contoso.com = 恶意软件

　　Malware.contoso.com/nefarious = 未知

　　在本例中确定了两个类别：“常规业务”和“恶意软件”。根据预定义的优先顺序列表，“恶意软件”优先于“常规业务”，因此，整个 URL 将被指定为“恶意软件”。

　　如果得到的 URL 类别集与某个拒绝规则匹配，则将拒绝请求，并将一个错误响应返回到 Web 应用程序。

　　如果 URL 类别不与拒绝规则匹配，而是与某个允许规则匹配，则根据匹配规则的其余条件处理请求。

　　如果请求无法与用户创建的任何拒绝规则或允许规则匹配，则 TMG 规则将由默认拒绝规则处理，并将拒绝响应返回到 Web 应用程序。

　　从统计角度而言，由于用户具有 Web 使用习惯倾向，因此随着 Forefront TMG 不断处理用户请求，URL 类别缓存与组织的相关度将越来越高。这样，MRS 查询与用户请求的比率最终将降低。由于 URL 类别有可能改变，因此 MRS 为每个条目分配了一个生存时间。这样，MRS 请求数永远不会完全为零，即使用户始终访问相同站点。

　　若要彻底了解 URL 筛选如何工作，还必须了解 Web 应用程序如何创建连接和发出请求。Web 应用程序通常按是否配置为充当 Web 代理客户端的应用程序而分为两个类别。

　　Web (CERN) 代理：对此类 Web 应用程序进行配置，使其作为 Web 代理并能够进行相应的操作。Web 应用程序将连接到 Web 代理侦听器，并按特定格式发出请求：

　　HTTP：

　　METHOD http://website.contoso.com/path/page.aspx?querystring HTTP/1.x

　　METHOD http://1.2.3.4/path/page.aspx?querystring HTTP/1.x

　　在这种情况下，Forefront TMG 以及 URL 筛选具有完整的 URL 可用于与 URL 筛选数据库进行比较。

　　注意：METHOD 可以是任何有效的 HTTP 方法，如 GET、POST 等。

　　HTTPS：

　　CONNECT website.contoso.com:443 HTTP/1.x

　　CONNECT 1.2.3.4:666 HTTP/1.x

　　对于这些请求，Forefront TMG 和 URL 筛选将只有主机名或 IP 地址(具体取决于客户端如何发出请求)以及端口用于与 URL 筛选数据库进行比较。

　　非 Web 代理：在 Web 应用程序未配置为充当 CERN 代理客户端时，它尝试将网站的名称解析为 IP 地址，如果成功，则将使用原始 URL 中的任意端口尝试连接到该 IP 地址。无论客户端是 TMG Client(以前称为防火墙客户端)还是 SecureNET 客户端(也称为 SecureNAT 客户端)，将使用以下格式发送请求：

　　METHOD /path/page.aspx?querystring HTTP/1.x

　　在这种情况下，URL 筛选评估请求的能力取决于两个条件：

　　连接是否定向到默认 HTTP 端口?如果是，则 Web 代理或许能够截取此请求，并将它传递到 URL 筛选进行比较。如果不是，则 URL 筛选将看不到请求，因此就无法与数据库进行比较。

　　如果将连接定向到默认 HTTPS 端口，则是否启用 HTTPS 检查?如果是，则 HTTPS 检查可以桥接连接，并且 URL 筛选有机会将请求与数据库进行比较。

　　不太明显的一点是，URL 筛选自身不提供任何形式的阻止机制，它仅仅使用与请求的 URL 关联的类别向 Web 代理发出响应，因为 Web 代理(从而使得 URL 筛选)能够理解该响应。无论在什么情况下，当 URL 筛选接收到客户端请求时，它按照图 2 中所示运行。

　　图 2 URL 筛选的基本流程

　　如果 Forefront TMG 需要查询 MRS，则使用单个 Web 服务调用对 MRS Web 服务门户发出请求。MRS 处理由 Forefront TMG 提供的数据，然后使用的当前 URL 类别进行响应，这些类别可应用于收到的数据 MRS。Forefront TMG 2010 具有预定义的域集，其中包括安装 Forefront TMG 时启用的门户目标(请参见图 3)。

　　图 3 MRS 域集

　　如果发现 URL 筛选返回的 URL 类别符合“拒绝”规则，则 Forefront TMG 会将拒绝响应(HTTP 结果代码 502)发送到客户端。根据客户端是浏览器还是其他 Web 应用程序，用户或许可以看到 Forefront TMG 响应页;如果应用程序不是浏览器(如 Windows Media Player 或 CERN 代理 FTP 应用程序)，用户可能只会看到应用程序自身发出的错误消息。

　　由于 Forefront TMG 为确定 URL 类别而必须执行的成本最高的任务是查询 MRS，因此相对于允许用户访问网站然后对其请求的所有内容执行恶意软件扫描，此过程在 CPU、内存和网络资源方面的成本要低很多。