192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

TMG学习:保护企业内网上网安全的方法

发布时间:2013-12-24 08:47

我们知道一个企业如果允许用户上网而且可以任意下载软件,这对于企业来说是非常危险的,用户无法辨别哪些是安全网站哪些网站存在风险,因此一旦用户在恶意网站上下载了软件,导致客户端中毒从而会影响整个企业内部网络,最后倒霉的仍然是我们这些IT管理员。对于这个问题TMG中有一个很好的保护措施,即如果用户下载一个软件,那么先是下载到TMG本地并对其进行扫描,若安全TMG再把该软件传递给用户,此外TMG还具备了阻止特点扩展名的文件下载,当然也可以直接拒绝所有网站中的可执行文件下载。
 
网络拓图如下图

实验目标:内外的客户端BoB是TMG的Web代理客户端,准备到互联网上下载软件QQ,测试TMG是否先对QQ下载扫描,然后再把YY软件发送给客户端BoB
 
实验思路:
1.TMG启用Web代理
2.TMG启用恶意软件更新
3.TMG启用访问网站使进行恶意软件检查
 
说明:并非Web代理客户端下载软件时候TMG会进行扫描,像防火墙客户端,NAT客户端从网站上下载的软件TMG都会进行扫描。
 
测试一:用户下载QQ。
如下图,TMG已经启用了Web代理。

如下图,恶意软件已经进行了更新,我们可以选择“检查并安装新定义”来检测TMG最新的更新并进行安装。

如下图,我的恶意软件检查已经启用。
 
如下图,我们选择http/https的防火墙策略,选择“属性”。
 
如下图,在恶意软件检测中,勾选上如下两项。

以上,TMG的准备工作就完成了。
 
测试客户端BoB在百度上下载QQ。
 
当用户点击下载QQ的时候,TMG对软件进行扫描。
 
如下图,TMG提示“未检测到恶意软件”,因此用户可以进行放心下载。
 
当用户进行下载的时候TMG直接把QQ文件传给客户端,如下图,TMG把QQ临时保存在了如下目录。

 如下图,用户下载QQ的时候的传输速度为14.1MB/秒,可见是通过局域网进行传输的。
 
测试二:阻止用户下载特定的扩展名文件*.exe
如下图,我们选择刚才的http/https策略右击选择“配置HTTP”

选择“阻止指定的扩展名(允许所有其他扩展名)”,这里我阻止exe文件.

用户BOB下载金山卫士。

如下图,金山卫士被阻止了。

如果您想拒绝所有可执行文件,选择“阻止包含Windows可执行文件内容的响应”即可,但是这个不太人性化总之我们结合实际情况进行配置TMG即可.

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明