一、實(shí)驗(yàn)概述

本實(shí)驗(yàn)旨在通過實(shí)際操作，掌握基于Microsoft Threat Management Gateway（TMG）防火墻的安全策略配置，并結(jié)合后端Web服務(wù)器虛擬機(jī)，構(gòu)建一個(gè)安全的網(wǎng)絡(luò)服務(wù)環(huán)境。實(shí)驗(yàn)?zāi)M了計(jì)算機(jī)軟硬件及輔助設(shè)備零售企業(yè)的典型網(wǎng)絡(luò)拓?fù)洌渲蠺MG防火墻作為邊界安全設(shè)備，對(duì)內(nèi)部Web服務(wù)器進(jìn)行保護(hù)與訪問控制。

二、實(shí)驗(yàn)拓?fù)渑c目標(biāo)

網(wǎng)絡(luò)拓?fù)浜?jiǎn)述：
外部網(wǎng)絡(luò)： 模擬互聯(lián)網(wǎng)環(huán)境（如192.168.1.0/24）。
TMG防火墻： 部署于邊界，配置雙網(wǎng)卡，分別連接外部網(wǎng)絡(luò)與內(nèi)部受信網(wǎng)絡(luò)。
* 內(nèi)部網(wǎng)絡(luò)： 受信網(wǎng)絡(luò)（如10.0.0.0/24），其中運(yùn)行一臺(tái)提供“計(jì)算機(jī)軟硬件及輔助設(shè)備零售”官網(wǎng)服務(wù)的Web服務(wù)器虛擬機(jī)。

核心任務(wù)目標(biāo)：
1. 基礎(chǔ)網(wǎng)絡(luò)配置： 為TMG防火墻及內(nèi)部Web服務(wù)器正確配置IP地址、網(wǎng)關(guān)，確保網(wǎng)絡(luò)連通性。
2. TMG防火墻策略配置： 創(chuàng)建訪問規(guī)則，允許外部客戶端訪問內(nèi)部Web服務(wù)器的HTTP（80端口）及HTTPS（443端口）服務(wù)，同時(shí)默認(rèn)阻止其他所有入站流量。
3. Web服務(wù)器發(fā)布： 在TMG上配置“Web服務(wù)器發(fā)布規(guī)則”，將內(nèi)部Web服務(wù)器的服務(wù)安全地發(fā)布到互聯(lián)網(wǎng)。
4. 安全驗(yàn)證： 從外部網(wǎng)絡(luò)客戶端嘗試訪問Web服務(wù)，驗(yàn)證策略生效情況，并使用TMG日志驗(yàn)證訪問記錄。

三、關(guān)鍵步驟、配置命令與截圖

步驟1：網(wǎng)絡(luò)基礎(chǔ)配置

1. TMG網(wǎng)絡(luò)配置： 在TMG管理控制臺(tái)中，配置網(wǎng)絡(luò)適配器。外部網(wǎng)卡（如192.168.1.10/24，網(wǎng)關(guān)指向外部路由器），內(nèi)部網(wǎng)卡（如10.0.0.1/24）。

• 關(guān)鍵命令/操作位置： TMG控制臺(tái) -> 網(wǎng)絡(luò)連接 -> 網(wǎng)絡(luò)適配器。

• 驗(yàn)證截圖： 截圖顯示兩塊網(wǎng)卡的IP配置正確，并能從TMG ping通外部網(wǎng)關(guān)（如192.168.1.1）和內(nèi)部Web服務(wù)器（10.0.0.2）。

1. Web服務(wù)器配置： 在虛擬機(jī)中，將Web服務(wù)器（如IIS）的IP地址設(shè)置為10.0.0.2/24，默認(rèn)網(wǎng)關(guān)指向TMG內(nèi)部接口IP（10.0.0.1）。

• 驗(yàn)證截圖： 截圖顯示W(wǎng)eb服務(wù)器網(wǎng)絡(luò)配置及本地IIS默認(rèn)網(wǎng)站運(yùn)行正常。

步驟2：配置TMG防火墻訪問規(guī)則

1. 創(chuàng)建“允許外部訪問Web”規(guī)則：

• 操作位置： TMG控制臺(tái) -> 防火墻策略。

• 關(guān)鍵配置：

• 規(guī)則名稱：Allow<em>HTTP</em>HTTPS<em>To</em>WebServer

• 操作為：允許

• 協(xié)議：HTTP 和 HTTPS

• 源：外部（網(wǎng)絡(luò)）

• 目標(biāo)：內(nèi)部 -> 添加 -> 選擇Web服務(wù)器計(jì)算機(jī)對(duì)象或直接輸入IP（10.0.0.2）

• 用戶集：所有用戶

• 配置截圖： 截圖清晰顯示新建規(guī)則的屬性配置頁(yè)面，特別是協(xié)議、源、目標(biāo)設(shè)置。

1. 確保默認(rèn)規(guī)則生效： 檢查并確保TMG末尾的默認(rèn)規(guī)則是“拒絕所有”的防火墻策略。

步驟3：發(fā)布內(nèi)部Web服務(wù)器

1. 創(chuàng)建Web發(fā)布規(guī)則：

• 操作位置： TMG控制臺(tái) -> 防火墻策略 -> 右側(cè)任務(wù)窗格點(diǎn)擊發(fā)布網(wǎng)站。

• 關(guān)鍵配置：

• 規(guī)則名稱：Publish<em>Retail</em>Web_Server

• 選擇發(fā)布單個(gè)網(wǎng)站或負(fù)載平衡器。

• 服務(wù)器連接安全：使用不安全的連接發(fā)布的Web服務(wù)器或服務(wù)器場(chǎng)。

• 內(nèi)部發(fā)布細(xì)節(jié)：內(nèi)部站點(diǎn)名稱填寫 10.0.0.2（或服務(wù)器主機(jī)名）。

• 公共名稱細(xì)節(jié)：輸入公共域名或外部IP（如 www.example-retail.com 或 TMG外部IP 192.168.1.10）。

• Web偵聽器：選擇或新建一個(gè)偵聽外部IP地址80和443端口的偵聽器。

• 身份驗(yàn)證委派：選擇無(wú)委派，客戶端無(wú)法直接進(jìn)行身份驗(yàn)證。

• 用戶集：所有用戶。

• 配置截圖： 截圖顯示W(wǎng)eb發(fā)布規(guī)則向?qū)У年P(guān)鍵步驟配置頁(yè)面。

1. 應(yīng)用策略更改： 在TMG控制臺(tái)頂部點(diǎn)擊應(yīng)用按鈕，使所有新配置的策略生效。

• 截圖： 顯示策略應(yīng)用成功的提示框。

步驟4：功能與安全性驗(yàn)證

1. 外部訪問測(cè)試：

• 從外部網(wǎng)絡(luò)的客戶端（如IP: 192.168.1.100）打開瀏覽器，輸入TMG防火墻的外部IP地址（http://192.168.1.10）。

• 預(yù)期結(jié)果： 成功顯示內(nèi)部Web服務(wù)器（10.0.0.2）上的“計(jì)算機(jī)軟硬件及輔助設(shè)備零售”網(wǎng)站頁(yè)面。

• 驗(yàn)證截圖： 瀏覽器成功訪問網(wǎng)站的截圖。

1. 非授權(quán)訪問測(cè)試：

• 嘗試從外部客戶端訪問Web服務(wù)器的其他端口（如FTP 21端口）或使用非HTTP/HTTPS協(xié)議訪問。

• 預(yù)期結(jié)果： 連接被拒絕或超時(shí)，證明防火墻默認(rèn)阻止策略生效。

• 驗(yàn)證截圖： 可使用telnet 192.168.1.10 21命令測(cè)試，顯示連接失敗。

1. TMG日志驗(yàn)證：

• 操作位置： TMG控制臺(tái) -> 日志和報(bào)告 -> 查看防火墻日志。

• 關(guān)鍵查看： 篩選出源IP為外部測(cè)試客戶端（192.168.1.100），目標(biāo)為Web服務(wù)器（10.0.0.2）的日志記錄。應(yīng)能看到HTTP/HTTPS請(qǐng)求被允許的記錄，以及可能存在的其他協(xié)議被拒絕的記錄。

• 驗(yàn)證截圖： 截圖顯示TMG日志查詢結(jié)果，清晰展示允許和拒絕的訪問條目。

四、實(shí)驗(yàn)

本次實(shí)驗(yàn)成功在一個(gè)模擬的零售企業(yè)網(wǎng)絡(luò)環(huán)境中，部署并配置了TMG防火墻以保護(hù)內(nèi)部的Web應(yīng)用服務(wù)器。通過配置精確的防火墻訪問規(guī)則和Web發(fā)布規(guī)則，實(shí)現(xiàn)了將“計(jì)算機(jī)軟硬件及輔助設(shè)備零售”網(wǎng)站安全地發(fā)布到互聯(lián)網(wǎng)，同時(shí)遵循了最小權(quán)限原則，僅開放必要的服務(wù)端口（80/443）。驗(yàn)證過程表明，TMG防火墻能夠有效控制內(nèi)外網(wǎng)流量，記錄詳細(xì)的訪問日志，為網(wǎng)絡(luò)安全管理提供了有力支撐。本實(shí)驗(yàn)的關(guān)鍵在于理解網(wǎng)絡(luò)拓?fù)洹⒉呗砸?guī)則的邏輯順序（TMG按順序匹配規(guī)則）以及發(fā)布規(guī)則與訪問規(guī)則的協(xié)同工作方式。