確認您的 Forefront TMG 安全網路閘道部署
發佈時間: 2009年11月
適用於: Forefront Threat Management Gateway (TMG)
本主題是設計來協助您測試和驗證已部署之 Forefront TMG 安全網路閘道的功能。當您完成部署之後,請在實際執行環境中實作安全網路閘道之前,執行這些測試。
下列程序說明:
測試 Proxy 和快取功能:開始測試之前,請確認以下事項:
已設定網頁快取。如需詳細資訊,請參閱在 Forefront TMG 安全網路閘道中設定快取。
您至少已建立一個網頁存取規則。如需詳細資訊,請參閱建立基本的網頁存取原則 (https://go.microsoft.com/fwlink/?LinkId=179465) (英文)。
已在 Forefront TMG 伺服器上設定本機位址表 (LAT)。如需詳細資訊,請參閱了解 ISA Server 2000 本機位址表 (https://go.microsoft.com/fwlink/?LinkId=179663) (英文)。
測試 URL 篩選:開始測試之前,請確認以下事項:
已將一個或多個網站目的地類別定義為 [封鎖的網站目的地]。如需詳細資訊,請參閱在網頁存取原則規則中封鎖目的地。
至少已針對一個網站定義 [URL 類別覆寫]。如需詳細資訊,請參閱查詢並覆寫網站的 URL 類別。
以下列其中一種方式自訂使用者在存取遭封鎖時收到的拒絕通知:
自訂預設的 Forefront TMG 拒絕存取訊息。如需詳細資訊,請參閱自訂預設的拒絕存取訊息。
將使用者重新導向至包含自訂訊息的網頁。如需詳細資訊,請參閱將使用者重新導向至自訂的拒絕存取網頁。
測試 HTTPS 檢查:開始測試之前,請確認以下事項:
已啟用並設定 HTTPS 檢查。如需詳細資訊,請參閱在 Forefront TMG 安全網路閘道中設定 HTTPS 檢查。
已啟用並設定惡意程式碼檢查。如需詳細資訊,請參閱在 Forefront TMG 安全網路閘道中設定惡意程式碼檢查。
至少已從 HTTPS 檢查中排除一個目的地或來源網站或電腦。如需詳細資訊,請參閱從 HTTPS 檢查中排除網站和電腦。
已在用戶端電腦上安裝 Forefront TMG 用戶端。如需詳細資訊,請參閱部署 Forefront TMG 用戶端 (https://go.microsoft.com/fwlink/?LinkId=179467) (英文)。
已在 Forefront TMG 和 Forefront TMG 用戶端上啟用 HTTPS 檢查的使用者通知。如需詳細資訊,請參閱通知使用者 HTTPS 檢查。
測試惡意程式碼檢查:開始測試之前,請確認已啟用並設定惡意程式碼檢查。如需詳細資訊,請參閱在 Forefront TMG 安全網路閘道中設定惡意程式碼檢查。
測試 NIS:開始測試之前,請確認已啟用並設定 NIS。如需詳細資訊,請參閱在 Forefront TMG 安全網路閘道中設定 NIS。
提示
- 如需有關 Forefront TMG 報告的詳細資訊,以及有關如何設定和檢視報告的指示,請參閱設定 Forefront TMG 報告 (https://go.microsoft.com/fwlink/?LinkId=179662) (英文)。
- 如需有關疑難排解部分 Forefront TMG 安全網路閘道功能的詳細資訊,請參閱疑難排解網頁存取保護 (https://go.microsoft.com/fwlink/?LinkId=183985) (英文)。
測試 Proxy 和快取功能
在用戶端電腦的瀏覽器上,將 [區域網路 (LAN) 設定] 設定為使用 Forefront TMG 伺服器做為 LAN 的 Proxy 伺服器。
瀏覽至 What Is My IP (https://go.microsoft.com/fwlink/?LinkId=179317) (英文) 並確認您的 Proxy 和外部 IP 設定。
瀏覽至您的內部網路網站。當用戶端瀏覽器的略過旗標已關閉時,您應該會通過 Proxy。
瀏覽至您的 Outlook Web Access 網站並執行簡短的 Outlook Web Access 工作階段。
瀏覽至知名的網站,例如 https://www.bing.com。請確定您可以存取這些網站,而且網頁都正確顯示。
分別從兩部不同的電腦下載大型檔案。因為檔案應該是從快取提供,所以第二次下載應該會比第一次下載更快。請在 Forefront TMG 記錄檢視器中確認下載時間。
開啟 ftp://ftp.hp.com 的 FTP 連線。您應該能夠登入此網站,並且列出及下載檔案。
如果您無法建立網頁 Proxy 工作階段,或者任何一項測試失敗,請在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [記錄和報告]。在詳細資料窗格中,按一下 [記錄] 索引標籤,並且起始查詢來偵測和分析用戶端電腦的流量。
測試 URL 篩選
在用戶端電腦上,瀏覽至 URL 篩選設定為封鎖的網站,並且確認是否顯示您的自訂封鎖訊息。
瀏覽至已定義類別覆寫的網站,並且確認系統是否根據覆寫設定來允許或封鎖此網站。
確認您可以查詢 URL 篩選資料庫:
在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [網頁存取原則]。
在 [工作] 窗格中,按一下 [設定 URL 篩選],然後按一下 [查詢 URL 類別]。
在 [類別查詢] 索引標籤上,輸入 URL 或 IP 位址,然後按一下 [查詢]。
確認您可以將分類問題回報至 Microsoft Reputation Services 意見回應及錯誤報告 (https://go.microsoft.com/fwlink/?LinkId=178581)。
在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [記錄和報告]。在詳細資料窗格中,按一下 [記錄] 索引標籤,並且起始 [封鎖的網站目的地] 規則所篩選的查詢。檢查查詢結果並確認已偵測出正確的 URL 類別。
測試 HTTPS 檢查
在用戶端電腦上,瀏覽至 The Anti-Virus or Anti-Malware test file (https://go.microsoft.com/fwlink/?LinkId=179319) (英文) 並透過 HTTPS 下載其中一個測試病毒檔案。請確認 Forefront TMG 惡意程式碼保護是否向用戶端電腦通知已封鎖檔案存取。
瀏覽至安全的網站,然後進行下列動作:
確認當系統正在檢查 HTTPS 流量時,Forefront TMG 用戶端是否在用戶端電腦上顯示 [安全連線檢查] 氣球通知。
檢查網站的憑證詳細資料,確認它是由 Microsoft Forefront TMG HTTPS 檢查憑證授權單位所核發。
請確認用戶端電腦是否信任此憑證,也就是沒有顯示任何憑證錯誤頁面。
瀏覽至已從 HTTPS 檢查中排除的網站,或瀏覽至已從 HTTPS 檢查中排除之電腦的任何網站,並且確認憑證不是由 Microsoft Forefront TMG HTTPS 檢查憑證授權單位所核發。
在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [記錄和報告]。在詳細資料窗格中,按一下 [記錄] 索引標籤,並且起始 [惡意程式碼檢查結果 = 受感染的檔案] 和 [記錄時間] 所篩選的查詢。檢查查詢結果並確認 [目的連接埠] 為 [443] 而且 [通訊協定] 為 [https-inspect]。
測試惡意程式碼檢查
在用戶端電腦上,瀏覽至 The Anti-Virus or Anti-Malware test file (https://go.microsoft.com/fwlink/?LinkId=179319) (英文) 並透過 HTTP 下載其中一個測試病毒檔案。請確認 Forefront TMG 惡意程式碼保護是否向用戶端電腦通知已封鎖檔案存取。
在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [記錄和報告]。在詳細資料窗格中,按一下 [記錄] 索引標籤,並且起始 [惡意程式碼檢查結果 = 受感染的檔案] 所篩選的查詢。
檢查查詢結果並確認已封鎖此檔案。
請確定惡意程式碼定義處於最新狀態。如需詳細資訊,請參閱設定惡意程式碼檢查的定義更新。
測試 NIS
在用戶端電腦上,嘗試瀏覽至下列 URL:https://www.contoso.com/testNIS.aspx?testValue=1!2@34$5%256%5e%5b%7bNIS-Test-URL%7d%5d1!2@34$5%256%5e
請確認嘗試失敗,而且瀏覽器已顯示這則訊息:網路存取訊息: 無法顯示網頁。
在 Forefront TMG 上,確認已產生這個警示:[NIS 封鎖了符合已知簽章的流量]。
在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [記錄和報告]。在詳細資料窗格中,按一下 [記錄] 索引標籤,並且起始 [NIS 掃描結果 = 已封鎖] 所篩選的查詢。檢查查詢結果並確認已偵測此簽章。
在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [更新中心]。在 [定義更新] 索引標籤上,確認 Forefront TMG 是否接收簽章定義更新。