Share via

在 SSL 加速器後方發行

  • 發行項

發佈時間: 2009年11月

適用於: Forefront Threat Management Gateway (TMG)

在 SSL 加速器後方發行

  1. 在 [Forefront TMG 管理] 的主控台樹狀目錄中,按一下 [防火牆原則] 節點。

  2. [工作] 窗格中,按一下 [工具箱] 索引標籤。

  3. [工具箱] 索引標籤,按一下 [網路物件],按一下 [新增],然後選取 [網頁接聽程式] 以開啟 [新網頁接聽程式精靈]。

  4. 依下表描述的要點完成 [新網頁接聽程式精靈]。

    頁面 欄位或內容 設定或動作

    歡迎使用新網頁接聽程式精靈

    網頁接聽程式名稱

    鍵入網頁接聽程式的名稱。例如,鍵入:SSL 加速器接聽程式

    用戶端連線安全性

    選取 [不需要與用戶端之間的 SSL 安全連線]

    網頁接聽程式 IP 位址

    接聽這些網路上的連入網頁要求

    選取 [外部] 網路。按一下 [選取 IP 位址],然後選取 [Forefront TMG 電腦上位於所選網路中的指定 IP 位址]。在 [可用的 IP 位址] 清單中,選取 IP 位址,Forefront TMG 將接聽該位址來自 SSL 加速器的 HTTP 要求,按一下 [新增],然後按一下 [確定]

              </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>驗證設定</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>選取用戶端將認證提供給 Forefront TMG 的方式</strong>
          </p>
        </td>
        <td colspan="2">
          <p>在下拉式清單中選取 <strong>[不驗證]</strong>。</p>
          <p>

          </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>單一登入設定</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>啟用以此網頁接聽程式發行的網站單一登入 (SSO)</strong>
          </p>
        </td>
        <td colspan="2">
          <p>此設定並不支援單一登入。</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>正在完成新網頁接聽程式精靈</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
        </td>
        <td colspan="2">
          <p>檢視設定,然後按一下 <strong>[完成]</strong>。</p>
        </td>
      </tr>
    </table>

  5. 在詳細資料窗格中,按一下 [套用] 按鈕以儲存和更新設定,然後按一下 [確定]

  6. 若要設定 Forefront TMG 將傳回回應給 SSL 加速器的連接埠,請將下列程式碼複製到記事本檔案並將它儲存為 SetSslAcceleratorPort.vbs。然後,對於命名為 SSL Accelerator Listener 的網頁接聽程式,在命令提示字元輸入:
    CScript SetSslAcceleratorPort.vbs "SSL Accelerator Listener"

    '''''''''''''''''''''''''''''''''''''''''
' Copyright (c) Microsoft Corporation. All rights reserved.
' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. 
' THE ENTIRE RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS
' CODE REMAINS WITH THE USER. USE AND REDISTRIBUTION OF THIS CODE, 
' WITH OR WITHOUT MODIFICATION, IS HEREBY PERMITTED.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Option Explicit

' Define the constant needed
const Error_FileNotFound = &H80070002

Main(WScript.Arguments)

Sub Main(args)
    If(args.Count = 1) Then
        SetSslAcceleratorPort args(0)
    Else
        Usage()
    End If
End Sub

Sub SetSslAcceleratorPort(wlName)

    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    ' Declare the other objects needed.
    Dim tmgArray        ' An FPCArray object
    Dim webListener     ' An FPCWebListener object
    Dim text            ' A String
    Dim input           ' A String

    ' Get a reference to the local array object.
    Set tmgArray = root.GetContainingArray()

    ' Get a reference to the Web listener specified.
    On Error Resume Next
    Set webListener = _
        tmgArray.RuleElements.WebListeners.Item(wlName)
    If Err.Number = Error_FileNotFound Then
        WScript.Echo _
            "The Web listener specified could not be found."
    Else
        Err.Clear
        On Error GoTo 0
        With webListener.Properties
            If .SSLAcceleratorPort = 0 Then
                text = "No SSL accelerator port is configured." _
                       & VbCrLf _
                       & "You can enter a nonzero value to enable" _
                       & VbCrLf _
                       & "an SSL accelerator port."
            Else
                text = "Current SSL accelerator port: " _
                       & .SSLAcceleratorPort _
                       & VbCrLf _
                       & "You can change this value, or enter 0" _
                       & VbCrLf _
                       & "to disable the SSL accelerator port."
            End If
            input = InputBox(text,"SSL Accelerator Port", "443")
        End With
        If CInt(input) <> _
            webListener.Properties.SSLAcceleratorPort Then
            WScript.Echo "Changing the SSL accelerator port to " _
                & CInt(input) & "..."
            webListener.Properties.SSLAcceleratorPort = CInt(input)
        End If
        If webListener.Properties.SSLAcceleratorPort <> 0 Then
            WScript.Echo "Ensuring that the SSL port is set to 0..."
            webListener.Properties.SSLPort = 0
        End If
        webListener.Save
    End If
End Sub

Sub Usage()
    WScript.Echo "Usage:" & VbCrLf _
        & "  CScript " & WScript.ScriptName & " WebListener" _
        & VbCrLf & "" & VbCrLf _
        & "    WebListener - Name of the Web listener" 
    WScript.Quit
End Sub

    7. 注意

    • 如果 Forefront TMG 之前有外部 SSL 加速器裝置,該裝置會攔截所有網頁流量,然後傳送至 Forefront TMG。當裝置從用戶端接收 HTTPS 流量,它會終止該裝置的 SSL 連線,對流量進行解密,然後以 HTTP 傳送到 Forefront TMG (通常在連接埠 80 接收流量)。這個程序會設定 Forefront TMG,讓 Forefront TMG 瞭解它與網際網路之間有 SSL 加速器。這個程序也會設定 Forefront TMG,將回應傳送到 SSL 加速器的正確連接埠,並且在 SSL 加速器回傳的回應中,提供 HTTPS 連結。

    • 針對特定狀況,如果傳送 HTTPS 要求的來源用戶端是 Microsoft Outlook Web Access 要求,Forefront TMG 會自動附加標頭,以指示應該傳回 HTTPS 回應的 Outlook Web Access 伺服器。不管 Forefront TMG 是否設定為在 SSL 加速器後方運作,這個動作都會執行。

    • 這個程序只適用於連線到網際網路,且放置在 Forefront TMG 電腦 (透過網路連線與外部 SSL 加速器通訊) 前方的外部 SSL 加速器。如果您的 SSL 加速卡直接安裝在 Forefront TMG 電腦,或是安裝在連接至具有小型電腦系統介面 (SCSI) 之 Forefront TMG 電腦的外部裝置,則不需要改變 Forefront TMG 的設定。

    • 網頁接聽程式必須接聽不同 IP 位址的 HTTP 要求,而且沒有其他網頁接聽程式接聽這些 IP 位址的 HTTP 要求。這需要網路介面卡中有其他連接到外部網路的 IP 位址,或是專門給 SSL 加速器使用的另外一張網路介面卡。如果使用另一張網路介面卡,您將必須定義包含 SSL 加速器的新網路,並且設定網頁接聽程式接聽這個網路。

    • 如果您的 SSL 加速器連線到網際網路,在其 SSL 伺服器憑證上的名稱必須符合公用主機名稱,或外部用戶端將在他們的網頁瀏覽器中鍵入以存取發行網站的 IP 位址。

    • 在 [Forefront TMG 管理] 中,無法設定 Forefront TMG 將回應傳回 Forefront TMG 前方之外部 SSL 加速器裝置所使用的連接埠。提供該指令碼同時也確保網頁接聽程式已停用 HTTPS 接聽。

    相關主題

    概念

    透過 HTTPS 發行網頁伺服器