實驗概述

本實驗旨在通過配置TMG（Microsoft Threat Management Gateway）防火墻和虛擬機中的Web服務，實現網絡安全設備管理的基本操作。實驗拓撲包括一臺安裝TMG防火墻的服務器和一臺運行Web服務的虛擬機，兩者通過內部網絡和外部網絡（模擬互聯網）連接。

實驗環境

• 軟件環境：
• TMG防火墻服務器：Windows Server 2008 R2 + TMG 2010

• Web服務虛擬機：Windows Server 2008 R2 + IIS 7.0

• 輔助工具：VMware Workstation（用于虛擬機管理）、網絡抓包工具Wireshark

• 網絡拓撲：
• 內部網絡（如192.168.1.0/24）：連接Web服務器虛擬機

• 外部網絡（模擬互聯網，如10.0.0.0/24）：連接TMG防火墻外部接口

• TMG防火墻作為網關，控制內外網絡流量

關鍵步驟與配置命令

1. TMG防火墻初始配置

• 步驟1：配置網絡接口
• 內部接口IP：192.168.1.1/24

• 外部接口IP：10.0.0.1/24（模擬公網IP）

- 使用TMG控制臺，通過以下命令（部分）設置接口：
`powershell
# 在TMG服務器上執行

netsh interface ip set address "內部網絡" static 192.168.1.1 255.255.255.0
netsh interface ip set address "外部網絡" static 10.0.0.1 255.255.255.0
`

• 步驟2：創建訪問規則
• 允許內部網絡訪問外部Web服務（HTTP/HTTPS）

• 在TMG控制臺中，新建訪問規則：

• 規則名稱："允許內部到外部Web"

• 操作：允許

• 協議：HTTP、HTTPS

• 源：內部網絡（192.168.1.0/24）

• 目標：外部網絡（任意）

2. Web服務虛擬機配置

• 步驟1：安裝并配置IIS
• 在虛擬機中安裝IIS 7.0，設置默認網站路徑為C:\inetpub\wwwroot

- 使用命令啟用Web服務：
`powershell
# 在Web服務器虛擬機執行

Import-Module ServerManager
Add-WindowsFeature Web-Server
`

• 步驟2：發布Web服務到TMG防火墻
• 在TMG控制臺中，創建Web發布規則：

• 規則名稱："發布內部Web服務"

• 操作：允許

• 公共名稱：external-webserver.com（模擬域名）

• 內部站點：192.168.1.10（Web服務器IP）

• 偵聽器：外部接口，端口80

3. 驗證配置

• 步驟1：內部網絡訪問外部測試
• 從內部網絡客戶端（如192.168.1.20）訪問外部Web服務（如http://10.0.0.2），驗證TMG規則生效

• 步驟2：外部訪問內部Web服務測試
• 從外部網絡客戶端（如10.0.0.5）訪問http://external-webserver.com，確認TMG正確轉發到內部Web服務器

• 步驟3：使用Wireshark抓包驗證
• 在TMG外部接口抓包，確認HTTP流量被正確過濾和轉發

實驗結果與截圖

• TMG訪問規則截圖：顯示已配置的允許和發布規則列表
• IIS默認頁面訪問截圖：從外部客戶端成功訪問內部Web服務的瀏覽器畫面
• Wireshark抓包截圖：展示HTTP請求從外部經TMG轉發到內部的流量細節

總結

本實驗成功實現了TMG防火墻對Web服務的訪問控制和發布功能。通過配置網絡接口、訪問規則和Web發布規則，確保了內部網絡安全訪問外部資源，同時允許外部用戶通過防火墻安全訪問內部Web服務。關鍵點包括正確設置IP地址、規則優先級和驗證流量路徑。實驗報告應包含上述步驟的詳細截圖和命令輸出，以證明配置的有效性。