我们知道一个企业如果允许用户上网而且可以任意下载软件,这对于企业来说是非常危险的,用户无法辨别哪些是安全网站哪些网站存在风险,因此一旦用户在恶意网站上下载了软件,导致客户端中毒从而会影响整个企业内部网络,最后倒霉的仍然是我们这些IT管理员。对于这个问题TMG中有一个很好的保护措施,即如果用户下载一个软件,那么先是下载到TMG本地并对其进行扫描,若安全TMG再把该软件传递给用户,此外TMG还具备了阻止特点扩展名的文件下载,当然也可以直接拒绝所有网站中的可执行文件下载。
网络拓图如下图
实验目标:内外的客户端BoB是TMG的Web代理客户端,准备到互联网上下载软件QQ,测试TMG是否先对QQ下载扫描,然后再把YY软件发送给客户端BoB
实验思路:
1.TMG启用Web代理
2.TMG启用恶意软件更新
3.TMG启用访问网站使进行恶意软件检查
说明:并非Web代理客户端下载软件时候TMG会进行扫描,像防火墙客户端,NAT客户端从网站上下载的软件TMG都会进行扫描。
测试一:用户下载QQ
如下图,TMG已经启用了Web代理
如下图,恶意软件已经进行了更新,我们可以选择“检查并安装新定义”来检测TMG最新的更新并进行安装
如下图,我的恶意软件检查已经启用
如下图,我们选择http/https的防火墙策略,选择“属性”
如下图,在恶意软件检测中,勾选上如下两项
以上,TMG的准备工作就完成了。
测试客户端BoB在百度上下载QQ
当用户点击下载QQ的时候,TMG对软件进行扫描
如下图,TMG提示“未检测到恶意软件”,因此用户可以进行放心下载
当用户进行下载的时候TMG直接把QQ文件传给客户端,如下图,TMG把QQ临时保存在了如下目录
如下图,用户下载QQ的时候的传输速度为14.1MB/秒,可见是通过局域网进行传输的
测试二:阻止用户下载特定的扩展名文件*.exe
如下图,我们选择刚才的http/https策略右击选择“配置HTTP”
选择“阻止指定的扩展名(允许所有其他扩展名)”,这里我阻止exe文件
用户BOB下载金山卫士
如下图,金山卫士被阻止了
如果您想拒绝所有可执行文件,选择“阻止包含Windows可执行文件内容的响应”即可,但是这个不太人性化总之我们结合实际情况进行配置TMG即可