Если пользователь запрашивает в веб-обозревателе URL-адрес, содержащий протокол HTTPS, веб-обозреватель направляет HTTP-запрос CONNECT с именем узла, указанном в URL-адресе, для установления зашифрованного SSL-подключения с конечным узлом. Если веб-узел, указанный в URL-адресе, опубликован с помощью Шлюз Microsoft Forefront Threat Management, запрос направляется на сервер Forefront TMG, и между ним и клиентским компьютером устанавливается SSL-подключение. Затем клиентский компьютер посылает зашифрованные запросы через это SSL-подключение, а Forefront TMG производит расшифровку запросов и перенаправляет их к опубликованному веб-серверу.

Правило веб-публикации можно настроить на передачу клиентских запросов опубликованному веб-серверу по незашифрованному подключению или по зашифрованному SSL-подключению. Это распространяется как на зашифрованные клиентские запросы, передаваемые на сервер Forefront TMG по SSL-подключению, так и на клиентские запросы, передаваемые на сервер Forefront TMG по незашифрованному подключению.

Forefront TMG создает мост SSL каждый раз при установлении или завершении SSL-подключения между клиентом и опубликованным веб-сервером. Возможны следующие сценарии создания моста SSL.

В сценариях веб-доступа может использоваться туннелирование SSL в случае, когда веб-обозреватель клиента (из локальной внутренней сети) посылает запрос на порт 8080 для установления SSL-подключения к веб-серверу через сервер Forefront TMG. Если политика доступа допускает передачу HTTP-запросов от источника к запрошенному адресу назначения, Forefront TMG пересылает запрос для установления прямого туннеля SSL между клиентским компьютером и конечным веб-сервером. После установления туннеля SSL клиент взаимодействует с веб-сервером напрямую, посылая зашифрованные запросы по туннелю SSL без посредничества Forefront TMG.