使用Forefront TMG安全發布內網服務

■ 河南 郭建偉

編者按：很多企業往往希望將內網服務發布到Internet，便于用戶從外網順利訪問。雖然可以利用硬件防火墻來實現該要求，不過硬件防火墻價格較高，配置和使用起來也比較繁瑣。其實對于一些中小企業來說，完全可以使用Forefrong TMG軟件防火墻來實現上述功能。在一定程度上Forefrong TMG甚至具有一般硬件防火墻不具備的功能。

配置所需網絡環境

某企業部署了Lync 2013服務平臺，存在Lync邊緣服務器、Lync前端服務器和Office Web App Server、域控、證書服務器等設備，通過Forefront TMG和外網連接。

為發揮Forefront TMG功能，需指定兩個公網IP，一個用于連接Lync邊緣和前端服務器，另一個連接Office Web App Server服務器。點擊“外部網絡連接屬性→Internet協議版本 4（TCP/IPv4）→高級→IP設置→添加”，添加新外網地址。

在Forefront TMG主機執行ipconfig命令，顯示IP為123.xxx.xxx.100和123.xxx.xxx.101，對內連接IP為172.16.3.10。為保證內網服務器都通過Forefront TMG連接 Internet，需打開“網絡連接屬性窗口→Internet協議版本 4（TCP/IPv4）→使用下面的IP地址→默認網關”，輸入其對內地址（如“172.16.3.10”），使 其 成 為Forefront TMG的客戶端。

注意，對于Lync邊緣服務器來說，需要調整的是對外網絡連接。啟動Forefront TMG，在配置向導界中點擊“配置網絡設置→下一步→邊緣防火墻”項，分別選擇內部網絡連接和外部網絡連接項目。在向導界面選擇“配置系統設置”項，在“成員”列表選擇“工作組→定義部署選項→使用Windows Update服務檢查更新”，在下一步窗口啟用Web保護、惡意軟件檢查等功能。

對Forefront TMG進行簡單測試

在Forefront TMG控制臺左側選擇“防火墻策略”項，右擊選擇“新建→訪問規則”項，在向導界面中輸入名稱，在下一步窗口中選擇“允許”項，之后點擊“添加”按鈕，在添加協議窗口中打開“通用協議”分支，在其中選擇 DNS、HTTP、HTTPS、ping、POP3、SMTP等基本協議。點擊“下一步”并選擇“不對該規則啟用惡意軟件檢查”項。

在下一步窗口中點擊“添加”按鈕，在添加網絡實體窗口中的“網絡”節點，選擇“內部”項。在下一步窗口中一次點擊“添加→網絡→外部”項。之后完成該規則的創建操作。點擊Forefront TMG控制臺右側的“應用”按鈕，讓該規則生效。之后在內網主機上訪問外部網絡，例如對目標主機進行ping探測，可以看到其返回信息由請求超時到正常狀態，說明Forefront TMG已經發揮了作用。

配置訪問策略，允許外網登錄Lync平臺

在本例中，Forefront TMG不僅發揮了防火墻的功能，還起到了反向代理的作用，將內網中的多個服務發布出去。

因此，對于Forefront TMG主機連接外網的第一個IP來說，需要將TCP 5061端口映射到內部Lync服務器的 TCP 5061端口上，主要保證外網用戶可以順利登錄到Lync平臺。與之關聯的服務使用的是SIPS協議，在Forefront TMG中已經內置了對該協議的支持。

之后需要將其TCP 442端口映射到Lync邊緣服務器的TCP 442端口上，主要用來實現語音和視頻通訊功能，接下來需要將其TCP 444端口映射到Lync邊緣服務器的TCP 444端口上，主要用來實現視頻會議功能。其中后兩者使用的協議在Forefront TMG中并不支持，所以需要我們進行自定義處理。

在Forefront TMG控制臺左側選擇“防火墻策略”項，在右側的“工具箱”面板中選擇“協議”項，點擊菜單“新建→協議”項，輸入該協議的名稱（例如“lyncvoice”），在下一步窗口中點擊“新建”按鈕，在打開窗口中的“協議類型”列表中選擇“TCP”項，在“方向”列表中選擇“入站”項，在“端口范圍”欄中設置端口范圍從442到442，點擊“確定”按鈕，在下一步窗口中不啟用輔助連接功能。按照同樣的方法，創建名為“Lyncmeet”的協議，其使用端口為TCP 444。

在Forefront TMG控制臺左側選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務器協議發布規則”項，輸入其名稱（例如“Lyncpub1”），點 擊 下 一步按鈕，輸入Lync邊緣服務器的對外的IP地址。在下一步窗口中的“選擇的協議”列表中選擇“SIPS服務器”項，點擊“下一步”按鈕，在“偵聽來自這些網絡的請求”列表中選擇“外部”項。點擊“地址”按鈕，選擇Forefront TMG主機的一個對外的IP（這里選擇“123.xxx.xxx.100”）。，點 擊“添加”按鈕將其選中。

當應用了該規則后，可以在外網的客戶機上打開“C:WindowsSystem32DriversEtc”目錄，打開其中的“Hosts”文 件，在 其中 輸 入“123.xxx.xxx.100 sip.xxx.com”行，添加所需域名和指定IP的對應關系。之后執行“ping sip.xxx.com” 和“telnet sip.xxx.com 5061”命令，可以檢測到內網中的Lync邊緣服務器。啟動Lync客戶端，輸入合適的賬號（即內網域賬戶郵箱名稱），是可以登錄到內網中的Lync平臺的。

注意，外網客戶機和內網Lync服務器之間的信任關系實現已經建立，即在客戶端上安裝對應的根證書，讓兩者可以互相信任。

與普通高等院校相比，公辦高職院校的品牌知名度及品牌認可度都不高，這與職業學院的品牌傳播缺乏系統性不無關系。雖然一些職業院校有進行品牌宣傳，但是在宣傳媒介的數量、宣傳的方式、宣傳的內容上缺乏精心的選擇和策劃設計，院校并沒有建立起規范化的品牌傳播系統，宣傳主體分散在系部、黨委辦公室、院長辦公室等平行部門，很多的宣傳推廣都是出于管理層的臨時授意，也沒有配備專門的人員對品牌傳播進行管理，所以在操作上嚴重缺乏規范性。這種缺乏系統性的品牌傳播方式導致高職院校的品牌傳播效果差，嚴重制約著學院的品牌提升。

利用自定義協議，全面發布Lync服務

經過以上操作，雖然可以順利登錄，但是只能互發消息，如果想發送語音/視頻，發起會議的話是無法進行的。這是因為僅僅映射TCP 5061端口是不夠的，還需要將其他的對應端口映射出去才行，即僅僅通過Forefront TMG發布一個Lync域名是不行的，必須將多個Lync域名發布出去。

在Forefront TMG控制臺左側選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務器協議發布規則”項，輸入其名稱（例如“Lyncpub2”），點擊“下一步”按鈕，輸入Lync邊緣服務器的對外的IP地址。在下一步窗口中的“選擇的協議”列表中選擇自定義的“lyncvoice”協議，之后的配置與上述完全相同。

按照同樣的方法，創建名為“Lyncpub3”的防火墻策略，在其中選擇上述名為“Lyncmeet”的協議。

這樣，就通過名為“sip.xxx.com”的語境，將多個Lync服務發布出去。在外網主機端上運行Lync客戶端程序，可以順利連接到內網Lync服務器，執行互發消息，發送語音/視頻，開啟會議等功能。當然，為了便于共享文檔，在內網中還配置了Web Office Server服務器，因此需要將其也發布出去，

這里使用Forefront TMG主機對外連接的“123.xxx.xxx.101”地址來進行發布，在Forefront TMG控制臺左側選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務器協議發布規則”項，輸入其名稱（例如“Lyncpubwac”），點擊“下一步”按鈕，輸入Web Office Server服務器的IP地址。在下一步窗口中的“選擇的協議”列表中選擇“HTTPS服務器”項，點擊“下一步”按鈕，在“偵聽來自這些網絡的請求”列表中選擇“外部”項。點擊“地址”按鈕，選擇IP為“123.xxx.xxx.101”。

在外網客戶機桑打開“Hosts”文件，添加“123.xxx.xxx.101 office.xxx.com”行，建立域名和IP的綁定關系。之后在外網客戶端上登錄內網的Lync平臺，是可以順利共享PPT扥文檔。當然，如果沒有購買公網證書，僅僅在內網加設CA服務器的話，還需要在Forefront TMG控制臺左側選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務器協議發布規則”項，輸入名稱（例如“Lyncpubca”）及內網CA服務器的IP地址，選擇“HTTP服務器”項，通過Forefront TMG的對外的“123.xxx.xxx.101”地址，將CA服務器的TCP 80端口映射出去。這樣，可以實現用戶證書吊銷的校驗操作。

使用Forefront TMG實現反向代理功能

注意，反向代理需要和Lync的前端服務器建立關聯。在Forefront TMG控制臺左側選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→網站規則”項，輸入名稱（例如“Lynfx1”），在下一步窗口中依次點擊“許可→下一步→發布單個網站或負載平衡器”項，在下一步窗口中選擇“使用不安全的連接連接發布的Web服務或服務器場”項，點擊“下一步”，在“內站點名稱”欄中輸入合適的名稱（例如“LyncSite1”），選擇“使用計算機名稱或IP地址連接到發布的服務器”項，輸入Lync前端服務器的IP。

在下一步窗口中的“路徑”欄中輸入“/*”，表示使用所有的路徑。點擊“下一步”，輸入合適的共用名稱（如“meet.xxx.com”），在下一步窗口中點擊“新建”按鈕，在新建Web偵聽器向導中輸入名稱（例如“Lynczt1”），之后選擇“不需要與客戶端建立SSL安全連接”項，然后在“偵聽來自這些網絡的請求”列表中選擇“外部”項。點擊“地址”按鈕，選擇Forefront TMG主機的一個對外的IP（這里選擇“123.xxx.xxx.100”）。創建好Web偵聽器后，點擊“編輯”按鈕，在打開窗口中選擇“身份驗證→高級→允許通過HTTP進行客戶端身份驗證”項。

返回上級向導界面，選擇“無委派，但是客戶端可以直接進行身份驗證”項，之后完成該該策略的創建操作。選擇該策略，在屬性窗口中的“通訊”面板中點擊“端口→將請求發送到發布的服務器的此端口”項，輸入“8080”，將外網訪問TCP 80端口映射到TCP 8080端口。在公共名稱面板中點擊“添加”按鈕，依次增加“dialin.xxx.com”、“lyncdiscover.xxx.com”等域名。

在Forefront TMG控制臺左側選擇“防火墻策略”項，在其右鍵菜單上點擊“新建→非Web服務器協議發布規則”項，輸入名稱（例如“Lynfx2”），點擊“下一步”，輸入Lync前端服務器的IP地址。在下一步窗口中“選擇的協議”列表中選擇“HTTPS服務器”項，點擊“下一步→偵聽來自這些網絡的請求→外部→地址”項，選擇Forefront TMG主機的“123.xxx.xxx.101”外網地址。

同理，將該策略的端口由TCP 443映射為TCP 4443。之所以這樣配置，是根據Lync的實際需求而定的，因為Lync的對內和對外的端口并非一致。在外網客戶機上打開“Hosts”文件，添加“123.xxx.xxx.100 meet.xxx.com”，“123.xxx.xxx.100 dialin.xxx.com”，“123.xxx.xxx.100 lyncdiscover.xxx.com”等行，建立對應的域名和IP的綁定關系。在客戶端上執行“telnet meet.xxx.com 80”，“telnet meet.xxx.com 443”，可以看到連接沒有問題。在外網客戶端上打開瀏覽器，訪問“https://meet.xxx.com”地址，可以加入到內網中的Lync會議中。