TMG防火墙与Web服务虚拟机安全设备管理综合实验报告

一、实验概述

本实验旨在通过实际操作，掌握基于Microsoft Threat Management Gateway（TMG）防火墙的安全策略配置，并结合后端Web服务器虚拟机，构建一个安全的网络服务环境。实验模拟了计算机软硬件及辅助设备零售企业的典型网络拓扑，其中TMG防火墙作为边界安全设备，对内部Web服务器进行保护与访问控制。

二、实验拓扑与目标

网络拓扑简述：
外部网络： 模拟互联网环境（如192.168.1.0/24）。
TMG防火墙： 部署于边界，配置双网卡，分别连接外部网络与内部受信网络。
* 内部网络： 受信网络（如10.0.0.0/24），其中运行一台提供“计算机软硬件及辅助设备零售”官网服务的Web服务器虚拟机。

核心任务目标：
1. 基础网络配置： 为TMG防火墙及内部Web服务器正确配置IP地址、网关，确保网络连通性。
2. TMG防火墙策略配置： 创建访问规则，允许外部客户端访问内部Web服务器的HTTP（80端口）及HTTPS（443端口）服务，同时默认阻止其他所有入站流量。
3. Web服务器发布： 在TMG上配置“Web服务器发布规则”，将内部Web服务器的服务安全地发布到互联网。
4. 安全验证： 从外部网络客户端尝试访问Web服务，验证策略生效情况，并使用TMG日志验证访问记录。

三、关键步骤、配置命令与截图

步骤1：网络基础配置

1. TMG网络配置： 在TMG管理控制台中，配置网络适配器。外部网卡（如192.168.1.10/24，网关指向外部路由器），内部网卡（如10.0.0.1/24）。

• 关键命令/操作位置： TMG控制台 -> 网络连接 -> 网络适配器。

• 验证截图： 截图显示两块网卡的IP配置正确，并能从TMG ping通外部网关（如192.168.1.1）和内部Web服务器（10.0.0.2）。

1. Web服务器配置： 在虚拟机中，将Web服务器（如IIS）的IP地址设置为10.0.0.2/24，默认网关指向TMG内部接口IP（10.0.0.1）。

• 验证截图： 截图显示Web服务器网络配置及本地IIS默认网站运行正常。

步骤2：配置TMG防火墙访问规则

1. 创建“允许外部访问Web”规则：

• 操作位置： TMG控制台 -> 防火墙策略。

• 关键配置：

• 规则名称：Allow<em>HTTP</em>HTTPS<em>To</em>WebServer

• 操作为：允许

• 协议：HTTP 和 HTTPS

• 源：外部（网络）

• 目标：内部 -> 添加 -> 选择Web服务器计算机对象或直接输入IP（10.0.0.2）

• 用户集：所有用户

• 配置截图： 截图清晰显示新建规则的属性配置页面，特别是协议、源、目标设置。

1. 确保默认规则生效： 检查并确保TMG末尾的默认规则是“拒绝所有”的防火墙策略。

步骤3：发布内部Web服务器

1. 创建Web发布规则：

• 操作位置： TMG控制台 -> 防火墙策略 -> 右侧任务窗格点击发布网站。

• 关键配置：

• 规则名称：Publish<em>Retail</em>Web_Server

• 选择发布单个网站或负载平衡器。

• 服务器连接安全：使用不安全的连接发布的Web服务器或服务器场。

• 内部发布细节：内部站点名称填写 10.0.0.2（或服务器主机名）。

• 公共名称细节：输入公共域名或外部IP（如 www.example-retail.com 或 TMG外部IP 192.168.1.10）。

• Web侦听器：选择或新建一个侦听外部IP地址80和443端口的侦听器。

• 身份验证委派：选择无委派，客户端无法直接进行身份验证。

• 用户集：所有用户。

• 配置截图： 截图显示Web发布规则向导的关键步骤配置页面。

1. 应用策略更改： 在TMG控制台顶部点击应用按钮，使所有新配置的策略生效。

• 截图： 显示策略应用成功的提示框。

步骤4：功能与安全性验证

1. 外部访问测试：

• 从外部网络的客户端（如IP: 192.168.1.100）打开浏览器，输入TMG防火墙的外部IP地址（http://192.168.1.10）。

• 预期结果： 成功显示内部Web服务器（10.0.0.2）上的“计算机软硬件及辅助设备零售”网站页面。

• 验证截图： 浏览器成功访问网站的截图。

1. 非授权访问测试：

• 尝试从外部客户端访问Web服务器的其他端口（如FTP 21端口）或使用非HTTP/HTTPS协议访问。

• 预期结果： 连接被拒绝或超时，证明防火墙默认阻止策略生效。

• 验证截图： 可使用telnet 192.168.1.10 21命令测试，显示连接失败。

1. TMG日志验证：

• 操作位置： TMG控制台 -> 日志和报告 -> 查看防火墙日志。

• 关键查看： 筛选出源IP为外部测试客户端（192.168.1.100），目标为Web服务器（10.0.0.2）的日志记录。应能看到HTTP/HTTPS请求被允许的记录，以及可能存在的其他协议被拒绝的记录。

• 验证截图： 截图显示TMG日志查询结果，清晰展示允许和拒绝的访问条目。

四、实验

本次实验成功在一个模拟的零售企业网络环境中，部署并配置了TMG防火墙以保护内部的Web应用服务器。通过配置精确的防火墙访问规则和Web发布规则，实现了将“计算机软硬件及辅助设备零售”网站安全地发布到互联网，同时遵循了最小权限原则，仅开放必要的服务端口（80/443）。验证过程表明，TMG防火墙能够有效控制内外网流量，记录详细的访问日志，为网络安全管理提供了有力支撑。本实验的关键在于理解网络拓扑、策略规则的逻辑顺序（TMG按顺序匹配规则）以及发布规则与访问规则的协同工作方式。