用Forefront TMG 2010作为安全Web网关

　　使用 HTTPS 检查对加密通道进行控制

　　多年以来，用户一直被建议为执行安全的在线交易，必须使用带有 SSL 的 HTTP (HTTPS)。但是，此安全通道也被用于恶意目的。用户使用 HTTPS 启动交易时，此通信通常是端到端(从用户到目标服务器)加密，从而使在两端之间交换的内容不会由两端之间的任何设备访问。虽然这是需要的行为，但由于您不希望任何人查看您的在线信用卡交易，由此造成的缺点是无法评估此通道内发生的恶意操作。图 4 突出显示了使用 ISA Server 2006 作为防火墙时此操作的主要部分。

　　图 4 传统 HTTPS 方案

　　图 4 说明了客户端访问 HTTPS 站点的完整代理方案。总结起来，步骤分为两个主要阶段，概述如下：

　　阶段 1 – SSL 隧道

　　客户端连接到 Web 代理。

　　客户端发出 SSL 隧道请求：CONNECT malicious.contoso.com:443 HTTP/1.1。

　　Web 代理将 malicious.contoso.com 解析为 IP 地址 1.2.3.4。

　　Web 代理在 TCP 端口 443 上连接到 1.2.3.4。

　　Web 代理将“200 OK”发送到客户端。

　　阶段 2 – 加密对话

　　客户端与 Web 服务器交换 SSL 握手消息、加密密钥和证书。

　　客户端现在与目标服务器建立了端到端的加密隧道，并将通过此隧道开始进行发送和接收方面的通信。

　　ISA Server 使客户端与服务器之间的该隧道保持打开，但不检查通信，因为它没有此功能。

　　此方案中的阶段 2 存在潜在风险，边缘防火墙并不了解该通道中真正传输的内容。在目标服务器已被劫持并插入了恶意代码的情况下，存在的潜在风险是目标服务器将通过此加密通道发送恶意软件，而客户端将毫不迟疑地接收，因为恶意软件来自理应受信任的连接。

　　Forefront TMG HTTPS 检查功能可检查通信，并在用户与服务器之间维护单独的加密通道，从而减少此威胁。图 5 说明 Forefront TMG 如何达到此目的。

　　图 5 运行中的 HTTPS 检查

　　总结起来，步骤仍分为两个主要阶段，但该过程现在包括检查：

　　阶段 1 – 客户端请求

　　客户端连接到 TMG 代理侦听器。

　　客户端发出 SSL 隧道请求：CONNECT malicious.contoso.com:443 HTTP/1.1。

　　TMG 将 malicious.contoso.com 解析为 IP 地址 1.2.3.4。

　　TMG 在 TCP 端口 443 上连接到 1.2.3.4。

　　TMG 与服务器协商 SSL 连接并评估证书。

　　如果证书有效可信，则 TMG 将向客户端发送“200 OK”响应。

　　阶段 2 – 带有检查的加密对话

　　客户端和 TMG 交换 SSL 握手消息、加密密钥和证书。请注意，由于 TMG 使用派生自 Web 服务器证书的信息构建服务器证书，因此客户端相信自身在与 Web 服务器通信。

　　现在，客户端与 Forefront TMG 之间有加密隧道，而 Forefront TMG 与目标服务器之间有加密隧道。Forefront TMG 将能够按以下顺序检查客户端与服务器之间的所有通信：

　　a) TMG 接收并解密来自目标服务器的加密通信。

　　b) TMG 将恶意软件检查功能和 NIS 筛选器应用到通信。

　　c) 如果恶意软件和 NIS 筛选器允许，TMG 会加密结果并发送到客户端工作站。

　　d) 客户端将接收、解密并处理通信。

　　若要与客户端建立 SSL 握手，Forefront TMG 需要服务器证书。为了创建证书，Forefront TMG 根据原始服务器证书数据创建仿冒证书，并使用 HTTPS 检查 CA 证书对其签名。为确保获得最佳性能，Forefront TMG 维护复制服务器证书的缓存。TMG 将在本地缓存中搜索复制服务器证书，如果未找到证书，则会复制上游服务器证书并放在缓存中。缓存仅存储在内存中。因此，在重新启动防火墙服务后，仿冒证书缓存为空。

　　注意：缓存的大小(由证书数决定)由 LowLevelSettings.ClonedCertificatesCacheSize COM 属性控制。

　　HTTPS 检查选项

　　配置 HTTPS 检查之前，了解组成此功能的完整功能集和选项非常重要。图 6 显示了可以配置 HTTPS 检查的区域。

　　图 6 HTTPS 检查功能集

　　在计划实现 HTTPS 检查时，需要首先考虑证书设置，以确定是使用自签名证书还是由内部 CA 发出的证书。导入现有的受信任证书颁发机构时，需要有包含颁发机构的证书及其私钥的 PFX 文件。您需要此私钥对 TMG 发出的仿冒证书签名，还必须确保为证书签名设置了证书的密钥使用。随后，此 CA 证书必须部署在客户端计算机上(位于本地计算机证书存储区的“受信任根证书颁发机构”下);否则，客户端将不会信任从 TMG 接收的服务器证书。

　　在 Forefront TMG 上，可以通过 Web 访问策略启用 HTTPS 检查功能。请按以下步骤操作，启用此功能：

　　在 Forefront TMG 控制台中，单击“Web 访问策略”，然后在“任务”窗格的“Web 保护任务”下选择“配置 HTTPS 检查”。

　　在“HTTPS 出站检查”屏幕的“常规”选项卡上，选择“启用 HTTPS 检查”复选框，如图 7 中所示。

　　图 7 启用 HTTPS 检查

　　本例中将使用 Forefront TMG 自签名证书。单击“生成”，此时将显示类似于图 8 中的页面。

　　图 8“生成证书”窗口

　　在“生成证书”页上，根据公司需要填写颁发者名称、过期日期和 Issuer 语句，然后单击“立即生成证书”。

　　此时将生成新证书并弹出“证书”页。验证证书配置并单击“关闭”。

　　单击“确定”以关闭窗口。

　　在“HTTPS 出站检查”窗口上，单击“HTTPS 检查受信任的根 CA 证书选项”按钮。此时将显示“证书部署选项”窗口，如图 9 中所示。

图 9 选择如何部署证书

　　如果 TMG 属于某个域，则建议的部署方法为“自动通过 Active Directory”。选择此选项时，系统会自动使用组策略将 TMG CA 证书部署到客户端计算机。单击“域管理员凭据”按钮，然后键入将供此操作使用的凭据。单击“确定”。请注意，在用户名字段中不应包括域。

　　由于 Forefront TMG 使用 certutil 工具将 TMG CA 证书发布到 Active Directory，因此您可能会看到命令提示简要窗口。依次在“自动证书部署成功”消息框和“证书部署选项”窗口上单击“确定”。

　　单击“确定”以完成。

　　重要说明：除了满足组织的安全策略之外，在启用 HTTPS 检查功能之前，还需要评估所有法律和监管规章。可以将任何认定为不适合使用 HTTPS 检查的站点添加到例外列表中。