首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > ForeFront TMG > TMG-通用 > Forefront TMG 新特性之 HTTPS 扫描
现在时间是: 2018-11-15 14:00
Forefront TMG 新特性之 HTTPS 扫描

(2009-12-15 16:29)
来源:ISA中文站

Forefront TMG 新特性之

HTTPS 扫描

 

Forefront TMG 新特性之 HTTP 非法软件扫描一文中,我曾经提及在 TMG 中,为了保护用户 Web 访问的安全性,新增了许多安全防护功能,其中一个就是针对HTTP/HTTPS协议的非法软件扫描功能,在那篇文章中,我已经就针对 HTTP 的非法软件扫描进行了介绍,而今天就给大家介绍一下 TMG 的 HTTPS 扫描功能。

HTTPS是加密的HTTP传输,标准的传输端口为TCP 443。由于 HTTPS 加密传输的特性,传输内容不可知,导致很多的非法软件(例如木马)使用 HTTPS 协议来进行传输,甚至不使用标准的HTTPS协议,仅使用 TCP 443 端口来进行传输,这样看起来就像是 HTTPS 协议传输。但是由于绝大部分防火墙(包括硬件和软件)缺乏针对 HTTPS 传输内容的访问控制,因此只能开放 TCP 443 端口,导致企业网络的安全性得不到有效的保障。

在 Forefront TMG 中,提供了针对 HTTPS 传输内容的扫描检查功能,因此可以阻止病毒、木马、间谍软件等非法软件通过 HTTPS 协议来实现传播,提高企业网络的整体安全性。

此时,可能大家会有一个疑问,既然 HTTPS 为加密传输,那么 TMG 又如何实现针对 HTTPS 传输内容的检查呢?

在执行 HTTPS 传输内容检查时,TMG 实际上扮演了一个中间人的角色:对于发起请求的原始客户端来说,TMG 被访问的远端 Web 服务器;而对于远端的 Web 服务器来说,TMG 是发起请求的客户端。具体的处理过程如下:

  1. 内部客户端向外部的 Web 服务器发起 HTTPS 连接请求;

  2. 此时,TMG 截获到该 HTTPS 访问请求。首先,TMG 检查远端的 Web 服务器的证书是否有效,例如是否信任该证书、证书名称是否匹配站点名称、证书是否被吊销等;

  3. 如果证书有效性检查通过,则 TMG 基于远端 Web 服务器的证书的属性,自行生成一个证书,然后出示给原始的客户端(客户端需要信任 TMG 生成的服务器证书);

  4. 当客户端接受到 TMG 出示的证书之后,认为 TMG 就是自己所要访问的 Web 服务器。此时,客户端和 TMG 之间进行 HTTPS 传输协商,并将访问内容请求发送给 TMG;

  5. 当 TMG 接受到客户端的访问请求后,经扫描检查之后,如果没有问题,则 TMG 将该访问请求转发到远端的 Web 服务器;

  6. 当 Web 服务器返回响应给 TMG 之后,TMG 首先进行扫描检查。确认没有问题之后,再发送给内部的客户端。

在整个流程中,最关键的地方就是让客户端相信 TMG 就是远端的 Web 服务器(客户端信任 TMG 生成的服务器证书)。在此又充分的体现除了微软在系统平台方面的整合能力,基于活动目录的统一管理功能,你可以很容易的实现这一点。

在安装完 TMG 运行 Web 访问策略向导时,会让你选择是否启用 HTTPS 扫描功能,具体可以参考ForeFront TMG 标准版安装指南(http://www.isacn.org/info/info.php?sessid=&infoid=349&page=6)。接下来,我给大家展示如何配置 HTTPS 扫描功能。

首先,在 TMG 的管理控制台中的左边节点中定位到 Web 访问策略,然后在右边的任务面板中选择配置 HTTPS 扫描



作者:风间子
责任编辑:webmaster

[1] [2] [3] [4] [5] [6] 下一页>>
上一篇:Forefront TMG 2010 相关工具和SDK下载
下一篇:Forefront TMG 新特性之 ISP 冗余传输链路(ISP-R)
相关信息:

Forefront TMG 新特性之 ISP 冗余传输链路(ISP-R)
微软大中华区安全组文章 - TMG HTTPS 检测:病毒,穿上马甲我也认识你
微软大中华区安全组文章合集 - TMG SP1相关问题
[重要] TMG 防火墙客户端远程执行漏洞(MS11-040安全公告)
微软大中华区安全组文章合集 - URL 类别覆盖

热点信息 TOP 10
王者再现 - Forefront TMG 新特性介绍(修改版)
Forefront TMG 新特性之 HTTPS 扫描
Forefront TMG 新特性之 ISP 冗余传输链路(ISP-R)
Forefront TMG 新特性之 HTTP 非法软件扫描
Forefront TMG 新特性之 增强 NAT 功能
Forefront TMG SP2 发布!
Forefront TMG 2010 相关工具和SDK下载
Forefront TMG SP2 Rollup 2 发布
Forefront TMG SP1 发布!
Forefront TMG SP1 软件更新2 发布

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..