TMG学习（三），防火墙客户端身份验证

注意点：如果客户端安装了防火墙客户端，TMG开放了smtp,pop3协议的同时要求了身份验证，那么默认使用登陆PC的账户名和密码进行身份验证，如果身份验证不成功那么邮件客户端outlook等无法进行邮件的收发，不会弹出提示输入用户名和密码。

网络拓扑如下图

实验目标：测试安装了outlook客户端的bob，在TMG上开放smtp,pop3后可以进行收发邮件网易的邮件，且只允许bob通过，用户mark登录pc后使用outlook因为账户和密码不匹配防火墙用户要求无法进行收发邮件，查看是否会弹出要求输入用户名和密码对话框。

防火墙开放SMTP和pop3，只允许用户bob

在TMG的防火墙策略节点上选择：新建访问规则

访问规则名称这个随意，我如下进行标识

允许

添加协议中我们注意到有pop3和pop3服务器，POP3服务器的方向为入站，SMTP服务器也是入站，而我们是要访问Internet的网易，所以我们直接选择pop3和SMTP协议即可

如下图直接选择POP3和SMTP

访问规则源：内部

访问目标外部

删除所有用户，新建用户集“发送接收邮件组”

只添加用户bob

此规则应用于：发送和接收邮件组用户，目前只有bob一个成员

策略创建成功

设置域用户bob的outlook客户端，默认情况下网易的邮箱提供了如何设置的方法，如下图

设置outlook客户端，注意虽然安装了防火墙客户端，但是还是必须设置网关的，不然outlook身份验证过不去，关于这点有时候想不通，见链接：http://bbs.51cto.com/thread-967399-1.html

客户端通过了测试，如下图

客户端发送一封测试邮件给自己

如下图自己发给自己邮件已经接收到了

以上就完成了，bob登录后邮件的收发。

测试mark用户登录PC,然后仍然使用刚才的邮箱账号和密码，其实这个肯定不成功了，如下图直接在身份验证这块已经过不去了，哪里还有提示输入用户名和密码，有别于Web代理客户端，我们知道Web代理客户端在访问网页的时候，如果集成身份验证过不去，还会提示输入用户名和密码，但是这方面好像也有点问题，具体见链接：http://www.bitscn.com/os/windows/200604/137.html