實驗概述

本實驗旨在通過配置TMG（Microsoft Threat Management Gateway）防火墻和虛擬機中的Web服務，實現(xiàn)網(wǎng)絡安全設備管理的基本操作。實驗拓撲包括一臺安裝TMG防火墻的服務器和一臺運行Web服務的虛擬機，兩者通過內部網(wǎng)絡和外部網(wǎng)絡（模擬互聯(lián)網(wǎng)）連接。

實驗環(huán)境

• 軟件環(huán)境：
• TMG防火墻服務器：Windows Server 2008 R2 + TMG 2010

• Web服務虛擬機：Windows Server 2008 R2 + IIS 7.0

• 輔助工具：VMware Workstation（用于虛擬機管理）、網(wǎng)絡抓包工具Wireshark

• 網(wǎng)絡拓撲：
• 內部網(wǎng)絡（如192.168.1.0/24）：連接Web服務器虛擬機

• 外部網(wǎng)絡（模擬互聯(lián)網(wǎng)，如10.0.0.0/24）：連接TMG防火墻外部接口

• TMG防火墻作為網(wǎng)關，控制內外網(wǎng)絡流量

關鍵步驟與配置命令

1. TMG防火墻初始配置

• 步驟1：配置網(wǎng)絡接口
• 內部接口IP：192.168.1.1/24

• 外部接口IP：10.0.0.1/24（模擬公網(wǎng)IP）

- 使用TMG控制臺，通過以下命令（部分）設置接口：
`powershell
# 在TMG服務器上執(zhí)行

netsh interface ip set address "內部網(wǎng)絡" static 192.168.1.1 255.255.255.0
netsh interface ip set address "外部網(wǎng)絡" static 10.0.0.1 255.255.255.0
`

• 步驟2：創(chuàng)建訪問規(guī)則
• 允許內部網(wǎng)絡訪問外部Web服務（HTTP/HTTPS）

• 在TMG控制臺中，新建訪問規(guī)則：

• 規(guī)則名稱："允許內部到外部Web"

• 操作：允許

• 協(xié)議：HTTP、HTTPS

• 源：內部網(wǎng)絡（192.168.1.0/24）

• 目標：外部網(wǎng)絡（任意）

2. Web服務虛擬機配置

• 步驟1：安裝并配置IIS
• 在虛擬機中安裝IIS 7.0，設置默認網(wǎng)站路徑為C:\inetpub\wwwroot

- 使用命令啟用Web服務：
`powershell
# 在Web服務器虛擬機執(zhí)行

Import-Module ServerManager
Add-WindowsFeature Web-Server
`

• 步驟2：發(fā)布Web服務到TMG防火墻
• 在TMG控制臺中，創(chuàng)建Web發(fā)布規(guī)則：

• 規(guī)則名稱："發(fā)布內部Web服務"

• 操作：允許

• 公共名稱：external-webserver.com（模擬域名）

• 內部站點：192.168.1.10（Web服務器IP）

• 偵聽器：外部接口，端口80

3. 驗證配置

• 步驟1：內部網(wǎng)絡訪問外部測試
• 從內部網(wǎng)絡客戶端（如192.168.1.20）訪問外部Web服務（如http://10.0.0.2），驗證TMG規(guī)則生效

• 步驟2：外部訪問內部Web服務測試
• 從外部網(wǎng)絡客戶端（如10.0.0.5）訪問http://external-webserver.com，確認TMG正確轉發(fā)到內部Web服務器

• 步驟3：使用Wireshark抓包驗證
• 在TMG外部接口抓包，確認HTTP流量被正確過濾和轉發(fā)

實驗結果與截圖

• TMG訪問規(guī)則截圖：顯示已配置的允許和發(fā)布規(guī)則列表
• IIS默認頁面訪問截圖：從外部客戶端成功訪問內部Web服務的瀏覽器畫面
• Wireshark抓包截圖：展示HTTP請求從外部經TMG轉發(fā)到內部的流量細節(jié)

總結

本實驗成功實現(xiàn)了TMG防火墻對Web服務的訪問控制和發(fā)布功能。通過配置網(wǎng)絡接口、訪問規(guī)則和Web發(fā)布規(guī)則，確保了內部網(wǎng)絡安全訪問外部資源，同時允許外部用戶通過防火墻安全訪問內部Web服務。關鍵點包括正確設置IP地址、規(guī)則優(yōu)先級和驗證流量路徑。實驗報告應包含上述步驟的詳細截圖和命令輸出，以證明配置的有效性。