如何利用Forefront管理应用服务器。

企业内部部署的应用服务器，如邮件服务器或者OA服务器，是否允许外网或者内网的用户访问呢？如下图所示。要实现这个控制的话，可以通过Forefront安全网关的发布Web服务器功能来完成。在发布Web服务器的时候，Forefront安全网关能够使用Web发布规则，创建访问策略来允许或者拒绝内外网用户对内部Web应用程序的访问。 　　一、发布Web服务器时可以实现的功能 　　在发布Web服务器时，可以创建Web发布规则，来指定内部Web应用服务器的访问方式。如管理员可以将访问限制到特定的用户、特定的计算机、特定的网络，要求用户进行身份验证、并检查客户端和发布服务器之间的通讯等等。 　　简单的说，在发布Web服务器的同时，可以让Forefront安全网关制定一些访问策略。然后用户在访问的时候，必须要遵循这些访问策略。这里需要注意的是，这里指的访问策略主要针对的是企业内部的Web应用服务器。而对于外网资源的访问，并不是这篇文章中需要谈的内容。 　　Forefront安全网关对于内部的Web应用服务器能够提供全方面的管理。如在发布由执行同一角色或者承载相同内容的Web服务器组成的应用环境时，可以通过将Forefront配置为应用环境中服务器之间控制负责平衡来针对入站访问启用高可用性，即实现负载均衡。等等。除此之外，还可以实现Web缓存管理、Web身份验证等等。   　　二、典型的Web发布方案 　　在Forefront安全网关中，可以支持多种Web发布方案。这里需要强调的是，不同的发布方案具有不同的特点。为此管理员需要掌握各种发布方案的特点，然后选择在特定的场合使用特定的方案。具体的来说，有如下几种方案可供选择。 　　一是针对微软自身产品的OutLook发布方案。微软自己有一款Exchange邮箱服务器。这款邮箱服务器即支持软件客户端，也支持Web客户端。即允许用户通过Web来访问邮箱服务器。而允许用户从Web浏览器访问Exchange邮箱时，又有两种客户端可以选择(这里指的是微软提供的客户端，而不包括其它公司的产品)。分别为基本客户端与高级客户端。基本客户端，顾名思义，就是在功能上比起高级客户端来说有所简化。如在高级客户端中，有统一消息、拼写检查等功能，而在基本客户端中没有这些内容。不过如果采用高级客户端的话，对于Web浏览器的版本有要求。如在2010版本的高级客户端中，需要IE6以上的版本。为了让Forefront安全网关更好的集成这个产品，微软专门为此设计了一个发布方案。 　　二是通过HTTP发布Web服务器。如果不是微软公司自己的产品，如是OA服务器或者其他公司的邮箱服务其，Forefront又采取了什么样的发布方案呢？Forefront为了能够支持其他公司的Web服务器产品，专门设计了一种HTTP发布方案。通过这个方案，可以发布单个Web服务器，或者说发布多个Web服务器并组成一个负载均衡的应用环境。这里需要注意，Forefrong安全网关将负载均衡设备后面的多个服务器当作单个服务器来对待。这可以简化管理。安全网关的服务器场发布改建了与客户端之间的关联。如可以配置为使用Ciikie进行操作，而依赖于客户端的IP地址。在客户端移动性比较强，没有固定的位置时，这种特性非常的重要。另外当负载均衡设备和Forefront安全网关之间的某个设备出于安全考虑隐藏了某个客户端的IP地址时，也需要用到这个特性。最典型的一个代表就是NAT技术。可以利用其来隐藏某个设备的IP地址，从而提高系统的安全性。 　　三是通过HTTPS来发布Web服务器。通过HTTP来发布应用服务器，有一个缺陷。当互联网上的用户通过HTTP来访问企业内部应用程序时，其用户名与密码的传输都是通过明文的形式。也就是说，攻击者通过嗅探器等简易工具，就可以获取用户的帐户与密码。所以其安全性比较差。一般只是用其来发布那些不需要经过授权访问的资源。如企业的门户网站等等。对于需要经过身份验证才能够访问的Web应用，如邮件或者电子商务系统，则往往采用通过HTTPS来发布Web服务器。HTTPS发布主要采用的是SSL协议。在使用这个协议时，必须要将颁发给已经发布网站的公用主机名称的SSL服务器证书安装在每台ForefrontTMG计算机上的本机计算机个人存储区中。这是一个必需的前提条件。如果Web发布规则要求ForefrontTMG计算机和已经发布的服务器之间建立SSL连接，则还必须将颁发给制定为内部站点名称的主机名的SSL服务器证书安装在已经发布的服务器上。看起来虽然有点复杂，但是各位读者只要自己去操作一遍，就会发现没有大家想象中那么困难。     　　三、发布服务服务期规则使用时的注意事项 　　在具体配置时，笔者认为各位需要注意如下几个细节问题。 　　一是ForefrontTMG在识别路径时，并不会区分大小写。这是大部分微软应用程序的共同特点。也就是说，如果Web服务器包括文件夹A与文件夹a，并且发布的路径会指向其中一个文件夹，则系统会同时发布这两个文件夹。虽然说ForefrontTMG并不会区分字符的大小写，但是笔者建议，为了可读性考虑，对于路径的大小写最好还是设置一定的规则。如路径有多个英文单词构成，那么每个单词的第一个字符大写。 　　二是需要注意，可以在Web发布规则中配置将凭据传递到已经发布服务器的方式。但是Web发布规则也同时要求，传入的客户端请求需要匹配到Web服务器上的相应网站。简单的说，用户身份信息的传递有多种方式，管理员可以根据实际的需要进行选择。但是一定要注意，客户端的请求信息要与发布Web服务器上的网站相匹配。否则的话，就会出现不必要的访问错误。 　　三是对于发布的规则，即可以采用允许策略，也可以采取拒绝策略，或者两种策略综合使用。具体该采用什么样的访问策略，还是需要根据实际情况来判断。如果只允许特定的用户(用户的数量比较少)，则可以采取允许策略。相反，大部分用户都可以访问，只有特定的用户(如处于试用期的员工)不能够烦各位能，则可以采用拒绝策略。两种情况兼而有之的话，则可以采用综合型的策略。 　　四、Web侦听器的维护与管理 　　在使用Forefront安全网关发布规则的时候，同时需要了解Web侦听器的维护与管理。因为系统会为每个Web发布规则分配一个Web侦听器。简单的说，Web侦听器会定义网络或则某个特定IP地址和端口上的传入连接、以及这个连接上允许的并发客户端连接的数量等等信息。 　　对于这个Web侦听器笔者主要想强调一点。Web侦听器可以配置为HTTP身份验证或者基于窗体的身份验证。不过需要注意的是，此时由于采用的是HTTP协议，为此客户端身份验证的工作，将会在不加密的情况下通过HTTP来执行。此时由于用户身份信息是以纯文本的形式在网络中传输，为此这些配置往往是不怎么安全的。为此在默认情况下，是被禁用的。如果需要使用这种身份验证方式，那么需要手工启动这种方式。如要启用，管理员可以打开Web侦听器的属性，然后在身份验证选项卡中，单击高级选项，并选择“允许通过HTTP进行客户端身份验证”复选框。不过此时会带来一定的安全隐患。可能需要采取其他相应的安全措施来消除这种隐患，如IPSec加密措施等等。