TMG学习(十一),保护企业内网上网安全
我們知道一個(gè)企業(yè)如果允許用戶上網(wǎng)而且可以任意下載軟件,這對(duì)于企業(yè)來(lái)說(shuō)是非常危險(xiǎn)的,用戶無(wú)法辨別哪些是安全網(wǎng)站哪些網(wǎng)站存在風(fēng)險(xiǎn),因此一旦用戶在惡意網(wǎng)站上下載了軟件,導(dǎo)致客戶端中毒從而會(huì)影響整個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò),最后倒霉的仍然是我們這些IT管理員。對(duì)于這個(gè)問(wèn)題TMG中有一個(gè)很好的保護(hù)措施,即如果用戶下載一個(gè)軟件,那么先是下載到TMG本地并對(duì)其進(jìn)行掃描,若安全TMG再把該軟件傳遞給用戶,此外TMG還具備了阻止特點(diǎn)擴(kuò)展名的文件下載,當(dāng)然也可以直接拒絕所有網(wǎng)站中的可執(zhí)行文件下載。
?
網(wǎng)絡(luò)拓圖如下圖
?
實(shí)驗(yàn)?zāi)繕?biāo):內(nèi)外的客戶端BoB是TMG的Web代理客戶端,準(zhǔn)備到互聯(lián)網(wǎng)上下載軟件QQ,測(cè)試TMG是否先對(duì)QQ下載掃描,然后再把YY軟件發(fā)送給客戶端BoB
?
實(shí)驗(yàn)思路:
1.TMG啟用Web代理
2.TMG啟用惡意軟件更新
3.TMG啟用訪問(wèn)網(wǎng)站使進(jìn)行惡意軟件檢查
?
說(shuō)明:并非Web代理客戶端下載軟件時(shí)候TMG會(huì)進(jìn)行掃描,像防火墻客戶端,NAT客戶端從網(wǎng)站上下載的軟件TMG都會(huì)進(jìn)行掃描。
?
測(cè)試一:用戶下載QQ
如下圖,TMG已經(jīng)啟用了Web代理
?
如下圖,惡意軟件已經(jīng)進(jìn)行了更新,我們可以選擇“檢查并安裝新定義”來(lái)檢測(cè)TMG最新的更新并進(jìn)行安裝
?
如下圖,我的惡意軟件檢查已經(jīng)啟用
?
如下圖,我們選擇http/https的防火墻策略,選擇“屬性”
?
如下圖,在惡意軟件檢測(cè)中,勾選上如下兩項(xiàng)
?
以上,TMG的準(zhǔn)備工作就完成了。
?
測(cè)試客戶端BoB在百度上下載QQ
?
當(dāng)用戶點(diǎn)擊下載QQ的時(shí)候,TMG對(duì)軟件進(jìn)行掃描
?
如下圖,TMG提示“未檢測(cè)到惡意軟件”,因此用戶可以進(jìn)行放心下載
?
當(dāng)用戶進(jìn)行下載的時(shí)候TMG直接把QQ文件傳給客戶端,如下圖,TMG把QQ臨時(shí)保存在了如下目錄
?
如下圖,用戶下載QQ的時(shí)候的傳輸速度為14.1MB/秒,可見(jiàn)是通過(guò)局域網(wǎng)進(jìn)行傳輸?shù)?/p>
?
?
測(cè)試二:阻止用戶下載特定的擴(kuò)展名文件*.exe
如下圖,我們選擇剛才的http/https策略右擊選擇“配置HTTP”
?
選擇“阻止指定的擴(kuò)展名(允許所有其他擴(kuò)展名)”,這里我阻止exe文件
?
用戶BOB下載金山衛(wèi)士
?
如下圖,金山衛(wèi)士被阻止了
?
如果您想拒絕所有可執(zhí)行文件,選擇“阻止包含Windows可執(zhí)行文件內(nèi)容的響應(yīng)”即可,但是這個(gè)不太人性化總之我們結(jié)合實(shí)際情況進(jìn)行配置TMG即可
轉(zhuǎn)載于:https://blog.51cto.com/ksyiwen/1342680
總結(jié)
以上是生活随笔為你收集整理的TMG学习(十一),保护企业内网上网安全的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 【机器视觉学习笔记】直方图的绘制及直方图
- 下一篇: css媒体查询(手机、平板、PC)