我們知道一個企業如果允許用戶上網而且可以任意下載軟件，這對于企業來說是非常危險的，用戶無法辨別哪些是安全網站哪些網站存在風險，因此一旦用戶在惡意網站上下載了軟件，導致客戶端中毒從而會影響整個企業內部網絡，最后倒霉的仍然是我們這些IT管理員。對于這個問題TMG中有一個很好的保護措施，即如果用戶下載一個軟件，那么先是下載到TMG本地并對其進行掃描，若安全TMG再把該軟件傳遞給用戶，此外TMG還具備了阻止特點擴展名的文件下載，當然也可以直接拒絕所有網站中的可執行文件下載。

?

網絡拓圖如下圖

?

實驗目標：內外的客戶端BoB是TMG的Web代理客戶端，準備到互聯網上下載軟件QQ，測試TMG是否先對QQ下載掃描，然后再把YY軟件發送給客戶端BoB

?

實驗思路：

1.TMG啟用Web代理

2.TMG啟用惡意軟件更新

3.TMG啟用訪問網站使進行惡意軟件檢查

?

說明：并非Web代理客戶端下載軟件時候TMG會進行掃描，像防火墻客戶端，NAT客戶端從網站上下載的軟件TMG都會進行掃描。

?

測試一：用戶下載QQ

如下圖，TMG已經啟用了Web代理

?

如下圖，惡意軟件已經進行了更新，我們可以選擇“檢查并安裝新定義”來檢測TMG最新的更新并進行安裝

?

如下圖，我的惡意軟件檢查已經啟用

?

如下圖，我們選擇http/https的防火墻策略，選擇“屬性”

?

如下圖，在惡意軟件檢測中，勾選上如下兩項

?

以上，TMG的準備工作就完成了。

?

測試客戶端BoB在百度上下載QQ

?

當用戶點擊下載QQ的時候，TMG對軟件進行掃描

?

如下圖，TMG提示“未檢測到惡意軟件”，因此用戶可以進行放心下載

?

當用戶進行下載的時候TMG直接把QQ文件傳給客戶端，如下圖，TMG把QQ臨時保存在了如下目錄

?

如下圖，用戶下載QQ的時候的傳輸速度為14.1MB/秒，可見是通過局域網進行傳輸的

?

?

測試二：阻止用戶下載特定的擴展名文件*.exe

如下圖，我們選擇剛才的http/https策略右擊選擇“配置HTTP”

?

選擇“阻止指定的擴展名（允許所有其他擴展名）”，這里我阻止exe文件

?

用戶BOB下載金山衛士

?

如下圖，金山衛士被阻止了

?

如果您想拒絕所有可執行文件，選擇“阻止包含Windows可執行文件內容的響應”即可，但是這個不太人性化總之我們結合實際情況進行配置TMG即可

轉載于:https://blog.51cto.com/ksyiwen/1342680

總結

以上是生活随笔為你收集整理的TMG学习（十一），保护企业内网上网安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。