解析如何實施ForeFront配置
企業在部署網絡安全防護時,ForeFront安全網關產品是一個不錯的選擇。那么在部署ForeFront安全網關產品之后如何實施ForeFront配置又成為了我們關心的問題,眾所周知一個正確的配置可以使得安全防護效率大大提升。下面我們就來看一下Forefront中的具體配置。
ForeFront配置第一步:打開“發布非Web服務器協議”向導。管理人員可以在“管理控制臺”中,找到“防火墻策略節點”。然后在這個節點上,選擇“任務”窗格中的“任務”選項卡,并單擊“發布非Web服務器協議”。此時系統就會打開一個向導窗口,在指導配置FTP服務器的發布規則。在這一個步驟中,主要需要注意的就是要選擇“發布非Web服務器協議”。至于為什么要選擇這個,我在上面第一點中已經闡述的非常清楚了,這里就不重復說明了。
ForeFront配置第二步:基本參數的設置。這里的基本參數包括服務器發布規則的名稱、服務器的IP地址和需要采用的協議。根據向導的內容,管理員需要依次輸入名稱、FTP服務器所采用的IP地址和所采用的協議。這里需要注意,如果企業沒有合法的公網IP地址,而采用私網IP地址的話,那么需要注意此時可能需要跟其他技術,如NAT技術結合使用。
ForeFront配置第三步:端口的配置。這個步驟是這些配置中的核心內容。一般來說,需要配置三個端口信息。首先,需要配置的是FTP協議本身所采用的端口。一般情況下,FTP采用的端口是20、21。但是有時候出于安全的考慮,我們需要改變這個默認的配置。如采用6221或者6220端口等等。這里需要注意的是,如果更改了其默認的端口,那么當用戶在訪問FTP服務器的時候,需要指明具體的端口號。由于端口改變,攻擊者就不能夠依靠掃描等工具來判斷服務器是否啟用了FTP服務。這無疑可以提高安全性。不過這也可以合法用戶的訪問帶來了一定的不便。因為他們需要在每次訪問的時候指定具體的端口信息。為此管理員需要在便利與安全之間取得均衡。如果需要更改默認端口的話,可以選擇“在此端口而不是默認端口上發布”。選擇這個選項之后,Forefront系統就會在指定的非標準端口上接受傳入的客戶端請求,然后將這些請求再轉發到發布服務器的指定端口上。如果對于FTP服務器的安全性要求并不是很高,則可以采用“使用在協議中定義的默認端口發布”。此時采用的就是FTP協議的默認端口。Forefront會在端口21上接受客戶的請求。
第二個端口是發布的服務器端口。在這里,也可以兩個可用的選擇,分別是“在發布的服務器上發送請求到默認端口”和“將請求發送到發布的服務器上的端口”。跟防火墻端口類似,如果選擇的是前者的話,則Forefront系統會在端口21上接受已經發布服務的請求。而如果選擇后者的話,則會在另一個端口上(即用戶指定的一個非標準端口)接受對已經發布服務的請求。當管理員指定非標準端口的時候,需要注意,先確認一下這個端口是否已經被其他協議或者程序所使用。
第三個端口是源端口。這個端口信息主要就是用來實現訪問的控制。即允許哪些客戶端可以訪問。在這里也有兩個選項,分別為“允許來自所有允許的源端口的通訊”和“將訪問限制來自下列范圍的源端口的通訊”。顧名思義,前面這個選項對客戶端的請求沒有任何過濾,Forefront會接受來自所允許的客戶端計算機上的任意端口的請求。而后面這個選項,則只接受來自特定端口的請求。出于安全的考慮,在必要的時候,在這里加以限制,還是可以提到很不錯的效果。
ForeFront配置第四步:網絡偵聽器IP地址。雖然這是一個可選的參數,但是有時候這個選項還特別有用。如當FTP的用戶數量很多,為了提高訪問的性能,管理員可能會將多個FTP服務器組建成網絡負責平衡。在這個時候,就需要在這里配置。如需要為每個成員選擇相同的虛擬IP地址。具體的配置如下。先選擇“外部”網絡,然后選擇Forefront需要偵聽的IP地址。在可用的IP地址列表中,選擇相應的IP地址,然后將他們添加到列表中。
ForeFront配置第五步:配置只讀屬性。根據以上步驟設置完成后,用戶就可以訪問FTP服務器了。不過此時用戶只能夠從FTP服務器上下載文件,而不能夠上傳文件。這主要是因為根據向導創建的規則,默認情況下“FTP協議策略”中只讀屬性為選上的。此時表示用戶只能夠下載文件而不能夠上傳文件。這個默認設置也是在提醒用戶需要注意FTP服務器的安全。如果管理員允許用戶上傳文件,則可以更改這個默認的配置。找到剛才建立的服務器發布規則,單擊“配置FTP”;然后在打開的對話框中可以看到“配置FTP協議策略”頁簽,將“只讀”選項前面的鉤去掉,再一路按“確定”即可。注意出于安全考慮,如果沒有特殊的考慮,如對于一般的用戶,還是只允許其下載、而不允許其上傳文件。
最后需要特別提醒的是,如果使用了NAT技術的話,往往需要使用服務器發布規則。而根據相關的規則,配置單一網絡適配器的時候并不支持服務期發布規則。這也就是說,如果要使用NAT(即企業公網IP地址不夠)的話,必須要對服務器配置雙適配器。
【編輯推薦】
- Forefront性能優化四步走
- 讓ForeFront TMG來做企業網絡的守門人
- Forefront Security應用程序使用技巧
- 淺談Forefront Security的管理策略和事件
- ForeFront讓郵箱服務器遠離侵襲三建議
