進行規劃以部署 Forefront TMG 安全網路閘道

  • 發行項

發佈時間: 2009年11月

適用於: Forefront Threat Management Gateway (TMG)

本主題是設計來協助您規劃組織中 Forefront TMG 安全網路閘道的部署。

注意

  • 開始進行之前,請確定您的環境已經完成 Forefront TMG 的安裝、設定和測試程序。如需詳細資訊,請參閱 Forefront TMG TechNet 文件庫 (https://go.microsoft.com/fwlink/?LinkID=131702)。

  • 如需 Forefront TMG 安全網路閘道硬體建議事項,請參閱 Forefront TMG 2010 硬體建議事項 (https://go.microsoft.com/fwlink/?LinkId=183987) (英文)。

本主題說明:

  • 規劃您的安全網路閘道網路拓撲

  • 規劃 URL 篩選

  • 規劃 HTTPS 檢查

  • 規劃保護定義的更新

  • 進行規劃以產生 Forefront TMG 報告

規劃您的安全網路閘道網路拓撲

組織通常會將其安全網路閘道部署在網路內部,而非網路的邊緣。使用 Forefront TMG 安全網路閘道時,網路中 Forefront TMG 的位置主要取決於部署的功能,如下所示:

如果您只將 Forefront TMG 當做安全網路閘道使用,請將它部署在網路內部。若為只有安全網路閘道的實作,建議使用下列 Forefront TMG 網路拓撲:

  • 後端防火牆:在此拓撲中,Forefront TMG 是位於網路的後端,而其他網路元素 (例如周邊網路或邊緣安全性裝置) 則位於 Forefront TMG 與外部網路之間。

  • 單一網路介面卡:此拓撲會提供有限的 Forefront TMG 功能。在此拓撲中,Forefront TMG 只會連線到一個網路,即內部網路或周邊網路。

如果您同時將 Forefront TMG 當做安全網路閘道和防火牆使用,請將它部署在網路外部。下列 Forefront TMG 網路拓撲適用於這種實作類型:

  • 邊緣防火牆:在此拓撲中,Forefront TMG 是位於網路邊緣並在此做為組織的邊緣防火牆,而且會連線到兩個網路:內部網路以及外部網路 (通常是網際網路)。

  • 外圍三向:此拓撲會實作周邊網路。Forefront TMG 至少會連線到三個實體網路:內部網路、一個或多個周邊網路以及外部網路。

如需詳細資訊,請參閱規劃 Forefront TMG 網路拓撲 (https://go.microsoft.com/fwlink/?LinkId=179309) (英文)。

注意

Forefront TMG 網路是指已安裝 Forefront TMG 的實體或邏輯網路。

規劃 URL 篩選

URL 篩選是以訂閱為基礎,而且屬於 Forefront TMG 網頁安全性服務授權的一部分。如需授權資訊,請參閱購買方式 (https://go.microsoft.com/fwlink/?LinkId=179848) (英文)。

規劃 HTTPS 檢查

若要檢查 HTTPS 流量,您必須將憑證授權單位 (CA) 憑證放在 Forefront TMG 伺服器上,並且將它部署至所有用戶端電腦。

您可以透過下列其中一種方式取得憑證:

  • 在 Forefront TMG 伺服器上產生自我簽署憑證。

  • 匯入組織中根 CA 所核發的憑證,或是受信任公開 CA (亦即 VeriSign 等外部實體所建立的 CA) 所核發的憑證。此憑證必須是個人資訊交換 (.pfx) 檔案,而且必須受到 Forefront TMG 伺服器所信任。

如果您想要匯入憑證,請先將它放在 Forefront TMG 伺服器上,然後再設定 HTTPS 檢查。如需詳細資訊,請參閱管理 HTTPS 檢查憑證

在多個陣列的部署中,您可以為每個陣列產生或匯入 HTTPS 檢查憑證。

規劃保護定義的更新

惡意程式碼檢查和網路檢查系統 (NIS) 會使用 Microsoft 產品更新來持續更新保護定義。

注意

更新的定義檔案是由 Microsoft Update 提供,並且必須獲得授權。如需授權資訊,請參閱購買方式 (https://go.microsoft.com/fwlink/?LinkId=157421) (英文)。

您可以選取使用下列其中一種方式來更新定義檔案:

  • Microsoft Update:透過 Microsoft Update 發行的更新是安裝在 Forefront TMG 電腦上。

  • Windows Server Update Services (WSUS):對於 Forefront TMG 陣列,您可以在部署 Forefront TMG 的網路中部署 WSUS。單一伺服器會下載透過 Microsoft Update 發行的更新,並將更新散佈到網路中的所有 Forefront TMG 電腦。這是建議 Forefront TMG 陣列採用的更新方式,因為可提供集中式管理並具有省時和保留網路頻寬的效果。如需詳細資訊,請參閱 Microsoft Windows Server Update Services 3.0 概觀 (https://go.microsoft.com/fwlink/?LinkId=108173) (英文)。

    注意

    • 如果從 WSUS 更新失敗,則可以選擇使用 Microsoft Update。

    • 如果您要將 Forefront TMG 實際執行伺服器加入至陣列,請先將更新下載至伺服器,然後再將它加入至陣列。

如需有關如何選取更新方式的詳細資訊,請參閱管理惡意程式碼檢查和 NIS 的定義更新

根據預設,Forefront TMG 允許往返 Microsoft 各個更新網站的流量。不過,如果您在連線到 Microsoft Update 網站時遇到問題,請參閱設定與更新網站間的連線 (https://go.microsoft.com/fwlink/?LinkId=179312) (英文) 中的<疑難排解更新網站的連線>一節。

進行規劃以產生 Forefront TMG 報告

Forefront TMG 報告可讓您摘要列出並分析 Forefront TMG 的活動,包括網頁使用情形以及 Forefront TMG 保護機制的活動。Forefront TMG 安全網路閘道的報告類別包括:

  • 網頁使用方法

  • 惡意程式碼保護

  • URL 篩選

  • 網路檢查系統

如需有關 Forefront TMG 報告的一般資訊,以及有關如何設定和檢視報告的指示,請參閱設定 Forefront TMG 報告 (https://go.microsoft.com/fwlink/?LinkId=179492)。

相關主題

概念

Forefront TMG 安全網路閘道解決方案指南