一、實驗概述
本實驗旨在通過配置一臺TMG（Microsoft Threat Management Gateway）防火墻和一臺運行Web服務的虛擬機，以實踐網絡安全設備管理的關鍵技能。實驗模擬真實網絡環境，要求完成防火墻策略設置、Web服務器發布及訪問控制等任務，并提交包含關鍵步驟、配置命令及驗證結果的電子版實驗報告。實驗拓撲結構包括：TMG防火墻作為邊緣安全設備，連接外部網絡（Internet模擬）和內部網絡；Web服務器虛擬機位于內部網絡，通過防火墻發布服務；客戶端用于測試訪問。硬件環境為物理主機或虛擬化平臺（如VMware或Hyper-V），軟件包括Windows Server操作系統、TMG防火墻軟件及IIS Web服務。

二、實驗步驟與配置命令

1. 網絡拓撲搭建：在虛擬化平臺中創建三臺虛擬機，分別安裝TMG防火墻（雙網卡配置：一張連接外部網絡，一張連接內部網絡）、Web服務器（單網卡連接內部網絡）及測試客戶端。設置IP地址：TMG外部網卡為192.168.1.10（模擬公網），內部網卡為10.0.0.1；Web服務器為10.0.0.2；客戶端為10.0.0.3。確保網絡連通性，可通過ping命令測試。

1. TMG防火墻基礎配置：啟動TMG控制臺，完成網絡設置向導，定義內部和外部網絡。配置網絡規則，允許內部到外部的通信。關鍵命令示例（通過TMG圖形界面操作，無命令行）：

• 定義網絡：內部網絡范圍設為10.0.0.0/24，外部網絡為“所有其他網絡”。

• 創建訪問規則：允許“內部”到“外部”的HTTP、HTTPS流量。

1. Web服務器發布配置：在TMG中創建“Web發布規則”，將內部Web服務器發布到外部網絡。具體步驟：

• 選擇“發布網站”，指定內部站點名稱為Web服務器IP（10.0.0.2）。

• 設置公共名稱（如www.example.com）和偵聽器（綁定到TMG外部IP 192.168.1.10）。

• 配置身份驗證和鏈接轉換，確保外部用戶可通過防火墻訪問Web服務。

1. 安全策略驗證：創建防火墻策略限制訪問，例如僅允許特定IP的客戶端訪問Web服務器。在TMG中創建訪問規則：

• 源：客戶端IP（10.0.0.3），目標：Web服務器（10.0.0.2），協議：HTTP/HTTPS，操作：允許。

• 添加拒絕其他IP訪問的規則以增強安全性。

1. Web服務器配置：在虛擬機上安裝IIS服務，創建測試網頁（如index.html），內容為“安全設備管理實驗成功”。確保IIS綁定到10.0.0.2:80。

三、驗證結果與截圖

1. 網絡連通性驗證：在客戶端執行ping 10.0.0.2和ping 192.168.1.10，確認基礎網絡正常。截圖顯示成功響應。

1. 防火墻策略驗證：在TMG控制臺查看規則狀態，截圖顯示“Web發布規則”和訪問規則已啟用。

1. Web訪問測試：從客戶端瀏覽器訪問http://192.168.1.10，成功顯示測試網頁內容。截圖展示瀏覽器頁面和TMG日志中的允許記錄。

1. 安全限制測試：嘗試從其他未授權IP訪問，TMG日志顯示拒絕記錄，截圖驗證訪問被阻止。

四、實驗
本實驗通過配置TMG防火墻和Web服務器，實踐了安全設備管理的核心流程，包括網絡拓撲設計、防火墻策略設置、服務發布及訪問控制。實驗成功實現了Web服務的安全發布，并通過驗證截圖證明配置有效性。這有助于理解計算機軟硬件及輔助設備零售環境中網絡安全設備的實際應用，提升設備部署與維護能力。報告電子版需包含上述步驟和截圖，以作為學習評估的依據。