用Forefront TMG 2010作为安全Web网关

　　增强的用户体验

　　Forefront TMG 中的 HTTPS 检查和 URL 筛选不仅有助于向最终用户提供受保护的网络漫游环境，还包括可增强最终用户体验的功能，这一点可以通过提供信息性消息以及提供直接与最终用户相关的自定义或精确错误消息来实现。

　　HTTPS 客户端通知

　　为保证遵守公司的隐私策略，可以启用客户端通知，以便在对 SSL 站点进行检查时提醒最终用户，并向最终用户提供退出该站点的选项，从而保护最终用户认为或归类为个人信息的内容。图 10 说明了此行为。

　　图 10 HTTPS 检查客户端通知

　　用户要接收 HTTPS 检查通知，客户端计算机必须安装了 Forefront TMG Client，并且必须在本地计算机的“受信任根证书颁发机构”证书存储区中安装了 HTTPS 检查受信任根证书颁发机构。请记住，如果您具有上游和下游 TMG 配置，则需要在下游代理而非上游代理上启用 HTTPS 通知。

　　若要实现 HTTPS 检查客户端通知，必须同时在 Forefront TMG 服务器和客户端上启用它。若要在服务器上启用 HTTPS 检查通知，请执行以下操作：

　　1、在 Forefront TMG 管理控制台中，单击“Web 访问策略”。

　　2、在右侧窗格中的“任务”下，单击“配置 HTTPS 检查”。

　　3、在“客户端通知”选项卡上，单击“通知用户将检查 HTTPS 内容”，然后单击“确定”。

　　若要在 Forefront TMG Client 上启用通知，请执行以下操作：

　　1、在系统任务栏中右键单击 Forefront TMG Client 图标，然后单击“配置”。

　　2、在“安全连接检查”选项卡上，选择“需要检查发送到安全网站的内容时通知我”，然后单击“确定”。

　　URL 筛选错误消息

　　管理员可以根据 URL 类别允许或拒绝最终用户的 Web 访问。如果用户尝试转到已被拒绝的站点，则将收到类似于图 11 中所示的错误消息，其中说明对该站点的访问已被拒绝，因为 Forefront TMG 管理员已将其这样分类。

　　图 11 拒绝访问网页

　　TMG 管理员可以自定义错误消息。为此，请执行以下操作：

　　打开 Forefront TMG 管理控制台并单击“Web 访问策略”。

　　双击以打开由管理员创建的用于允许或拒绝访问的规则。

　　单击“操作”选项卡，如图 12 中所示。

　　图 12 自定义 URL 筛选错误消息

　　您可以将任何自定义消息添加到“向用户显示拒绝通知”文本框。您甚至可以使用 HTML 内容，只要该 HTML 在 HTML 元素的上下文中有效即可，但不能包括任何脚本。

　　您还可以选择显示拒绝访问的站点的类别。为此，请单击“将拒绝请求类别添加到通知中”复选框。如果站点分类不正确，则这一点尤为重要，以便最终用户可以告知您。相应地，您可以通过遥测将此反馈发送到 Microsoft，同时设置覆盖类别来纠正分类，直至修复好。

　　如果您希望更改整个 URL 筛选错误消息页的外观，则需要编辑 12232.htm HTML 页。在 Forefront TMG (ISA Server) 产品团队博客的 Forefront TMG 2010 上的拒绝页自定义页上可以找到相关信息。