北大青鸟网络工程师教程-windows安全(三).ppt

教员在此实际演示如何发布Web服务器。 Web侦听器身份验证：选择客户端如何向TMG进行身份验证以及TMG将如何进行身份验证。 在 Web 侦听器中选择的身份验证方法会影响在发布规则中可用的身份验证委派选项。 分为三种方式： Html窗体身份验证：验证窗口集成在页面中 Http身份验证（基本、摘要、集成）：弹出验证窗口 没有身份验证 单一登陆：允许用户向 TMG 进行一次身份验证，然后无需重新进行身份验证，即可访问通过 TMG同一Web侦听器发布的具有相同域后缀的所有网站。只支持“HTML窗体身份验证”方式。 身份验证委派：TMG为连接至发布的web服务器进行身份验证所使用的方法。 * 在此可先讲解用户访问邮件服务器的方式：通过邮件客户端（outlook、outlook express）和浏览器 邮件客户端使用smtp和pop3协议收发邮件 浏览器使用http协议访问邮件服务器OWA（Outlook Web access） * 选择访问类型： Rpc：远程调用协议，向网络中的另一台计算机上的程序请求服务。 Imap：邮件读取协议，邮件客户端从邮件服务器读取邮件的信息，下载邮件的主题，邮件保存在邮件服务器上。 Pop3会把邮件下载到客户端本地。 nntp：网络新闻传输协议，负责新闻在服务器间的传送。 选择服务： RPC（standard port）端口：135 POP3（standard port）端口：110 IMAP4（standard port）端口：143 SMTP（standard port）端口：25 POP3（secure port）端口：995 IMAP4（secure port）端口：993 SMTP（secure port）端口：465 * 从客户端到TMG，从TMG到Exchange服务器，整个过程都是使用SSL进行加密的。 由于Exchange服务器的OWA站点启用了SSL加密，所以在TMG将客户端请求转交给Exchange服务器时，需要使用一个证书来进行TMG和Exchange服务器之间的身份验证，所以不仅OWA站点需要安装证书，TMG也需要安装证书，而且TMG所使用的证书必须要要和OWA站点使用相同的证书。 * 教员在此演示实际操作步骤。 为owa站点绑定蒸熟后，在企业内部通过/owa访问邮件服务器，测试是否正常，确认证书绑定没有问题。 * 证书导入完成后，在TMG和Exchange服务器之间需要建立证书上的信任关系，而这个信任关系需要通过CA证书链来实现。要安装CA证书链，需要通过Web页面访问证书服务器。所以需要创建一条从TMG到证书服务器的访问规则，启用HTTP协议。 * 在Web侦听器的“身份验证设置页面”中设置客户端登录OWA时所使用的身份验证方式，由于不需要TMG对客户端进行验证，在此例中选择“没有身份验证”。 在“身份验证委派”页面中选择“无委派，但是客户端可以直接进行身份验证”，这样TMG会将客户端提供的凭据传递给Exchange服务器进行验证。 * 在ftp服务器发布完成后，默认情况下不允许用户上传文件，如果需要允许用户上传文件，步骤如下： 右击该ftp服务器发布规则，在弹出的菜单中选择“属性”命令，然后进行编辑。 * * B e n e t BENET 4.0 B e n e t BENET 4.0 */22 BENET 4.0 B e n e t BENET 4.0 */25 第三章 使用TMG防火墙发布服务器 —— 理论部分 TMG中包含哪几种网络规则？ TMG中包含哪些策略元素？ TMG中包含哪几种策略规则？ 如何启用TMG中的Web缓存功能？ 课程回顾 理解服务器的发布原理 会发布Web服务器 会发布邮件服务器 会发布其他服务器 技能展示 本章结构 使用TMG防火墙 发布服务器 发布Web服务器 发布常用服务器 发布其他服务器 发布邮件服务器 服务器发布介绍 服务器发布 将企业内部的服务提供给外部网络用户访问 防火墙处理所有的外部用户向内部发出的请求 防火墙将请求转发给内部网络中对应的服务器 保证服务器的安全 服务器发布介绍 网站发布规则 使用TMG发布位于企业内部的Web服务器 TMG的外部网卡接受用户的请求 TMG根据相应的网站发布规则将请求转发给内部的Web服务器 根据定义的策略元素允许或拒绝请求 要求用户进行身份验证 检查通讯内容 通过Web缓存响应用户请求 发布Web服务器2-1 新建网站发布规则 规则操作 发布类型 服务器连接安全 内部发布详细信息 发布内容 公共细节名称 选择Web监听器 身份验证委派设置 选择用户 完成 发布Web服务器2-2 创建网站发布规则 允许传入请求 发布单个网站