科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全用Forefront TMG 2010作为安全Web网关

用Forefront TMG 2010作为安全Web网关

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

URL 筛选可以看作是 Forefront TMG 的第一道防线,用于帮助确保组织的 Web 访问安全。通过使用 URL 筛选来阻止对不良网站的请求,Forefront TMG 可花费更少的时间来扫描恶意软件,从而有更多时间来传送有用的内容。

来源:微软TechNet中文网 2010年12月7日

关键字: Forefront TMG Web网关

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

  使用 HTTPS 检查对加密通道进行控制

  多年以来,用户一直被建议为执行安全的在线交易,必须使用带有 SSL 的 HTTP (HTTPS)。但是,此安全通道也被用于恶意目的。用户使用 HTTPS 启动交易时,此通信通常是端到端(从用户到目标服务器)加密,从而使在两端之间交换的内容不会由两端之间的任何设备访问。虽然这是需要的行为,但由于您不希望任何人查看您的在线信用卡交易,由此造成的缺点是无法评估此通道内发生的恶意操作。图 4 突出显示了使用 ISA Server 2006 作为防火墙时此操作的主要部分。

  图 4 传统 HTTPS 方案

  图 4 说明了客户端访问 HTTPS 站点的完整代理方案。总结起来,步骤分为两个主要阶段,概述如下:

  阶段 1 – SSL 隧道

  客户端连接到 Web 代理。

  客户端发出 SSL 隧道请求:CONNECT malicious.contoso.com:443 HTTP/1.1。

  Web 代理将 malicious.contoso.com 解析为 IP 地址 1.2.3.4。

  Web 代理在 TCP 端口 443 上连接到 1.2.3.4。

  Web 代理将“200 OK”发送到客户端。

  阶段 2 – 加密对话

  客户端与 Web 服务器交换 SSL 握手消息、加密密钥和证书。

  客户端现在与目标服务器建立了端到端的加密隧道,并将通过此隧道开始进行发送和接收方面的通信。

  ISA Server 使客户端与服务器之间的该隧道保持打开,但不检查通信,因为它没有此功能。

  此方案中的阶段 2 存在潜在风险,边缘防火墙并不了解该通道中真正传输的内容。在目标服务器已被劫持并插入了恶意代码的情况下,存在的潜在风险是目标服务器将通过此加密通道发送恶意软件,而客户端将毫不迟疑地接收,因为恶意软件来自理应受信任的连接。

  Forefront TMG HTTPS 检查功能可检查通信,并在用户与服务器之间维护单独的加密通道,从而减少此威胁。图 5 说明 Forefront TMG 如何达到此目的。

  

  图 5 运行中的 HTTPS 检查

  总结起来,步骤仍分为两个主要阶段,但该过程现在包括检查:

  阶段 1 – 客户端请求

  客户端连接到 TMG 代理侦听器。

  客户端发出 SSL 隧道请求:CONNECT malicious.contoso.com:443 HTTP/1.1。

  TMG 将 malicious.contoso.com 解析为 IP 地址 1.2.3.4。

  TMG 在 TCP 端口 443 上连接到 1.2.3.4。

  TMG 与服务器协商 SSL 连接并评估证书。

  如果证书有效可信,则 TMG 将向客户端发送“200 OK”响应。

  阶段 2 – 带有检查的加密对话

  客户端和 TMG 交换 SSL 握手消息、加密密钥和证书。请注意,由于 TMG 使用派生自 Web 服务器证书的信息构建服务器证书,因此客户端相信自身在与 Web 服务器通信。

  现在,客户端与 Forefront TMG 之间有加密隧道,而 Forefront TMG 与目标服务器之间有加密隧道。Forefront TMG 将能够按以下顺序检查客户端与服务器之间的所有通信:

  a) TMG 接收并解密来自目标服务器的加密通信。

  b) TMG 将恶意软件检查功能和 NIS 筛选器应用到通信。

  c) 如果恶意软件和 NIS 筛选器允许,TMG 会加密结果并发送到客户端工作站。

  d) 客户端将接收、解密并处理通信。

  若要与客户端建立 SSL 握手,Forefront TMG 需要服务器证书。为了创建证书,Forefront TMG 根据原始服务器证书数据创建仿冒证书,并使用 HTTPS 检查 CA 证书对其签名。为确保获得最佳性能,Forefront TMG 维护复制服务器证书的缓存。TMG 将在本地缓存中搜索复制服务器证书,如果未找到证书,则会复制上游服务器证书并放在缓存中。缓存仅存储在内存中。因此,在重新启动防火墙服务后,仿冒证书缓存为空。

  注意:缓存的大小(由证书数决定)由 LowLevelSettings.ClonedCertificatesCacheSize COM 属性控制。

  HTTPS 检查选项

  配置 HTTPS 检查之前,了解组成此功能的完整功能集和选项非常重要。图 6 显示了可以配置 HTTPS 检查的区域。

  图 6 HTTPS 检查功能集

  在计划实现 HTTPS 检查时,需要首先考虑证书设置,以确定是使用自签名证书还是由内部 CA 发出的证书。导入现有的受信任证书颁发机构时,需要有包含颁发机构的证书及其私钥的 PFX 文件。您需要此私钥对 TMG 发出的仿冒证书签名,还必须确保为证书签名设置了证书的密钥使用。随后,此 CA 证书必须部署在客户端计算机上(位于本地计算机证书存储区的“受信任根证书颁发机构”下);否则,客户端将不会信任从 TMG 接收的服务器证书。

  在 Forefront TMG 上,可以通过 Web 访问策略启用 HTTPS 检查功能。请按以下步骤操作,启用此功能:

  在 Forefront TMG 控制台中,单击“Web 访问策略”,然后在“任务”窗格的“Web 保护任务”下选择“配置 HTTPS 检查”。

  在“HTTPS 出站检查”屏幕的“常规”选项卡上,选择“启用 HTTPS 检查”复选框,如图 7 中所示。

  

  图 7 启用 HTTPS 检查

  本例中将使用 Forefront TMG 自签名证书。单击“生成”,此时将显示类似于图 8 中的页面。

  图 8“生成证书”窗口

  在“生成证书”页上,根据公司需要填写颁发者名称、过期日期和 Issuer 语句,然后单击“立即生成证书”。

  此时将生成新证书并弹出“证书”页。验证证书配置并单击“关闭”。

  单击“确定”以关闭窗口。

  在“HTTPS 出站检查”窗口上,单击“HTTPS 检查受信任的根 CA 证书选项”按钮。此时将显示“证书部署选项”窗口,如图 9 中所示。

图 9 选择如何部署证书

  如果 TMG 属于某个域,则建议的部署方法为“自动通过 Active Directory”。选择此选项时,系统会自动使用组策略将 TMG CA 证书部署到客户端计算机。单击“域管理员凭据”按钮,然后键入将供此操作使用的凭据。单击“确定”。请注意,在用户名字段中不应包括域。

  由于 Forefront TMG 使用 certutil 工具将 TMG CA 证书发布到 Active Directory,因此您可能会看到命令提示简要窗口。依次在“自动证书部署成功”消息框和“证书部署选项”窗口上单击“确定”。

  单击“确定”以完成。

  重要说明:除了满足组织的安全策略之外,在启用 HTTPS 检查功能之前,还需要评估所有法律和监管规章。可以将任何认定为不适合使用 HTTPS 检查的站点添加到例外列表中。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章