2008R2Win7管理三十防火墙TMG2010应用.pdfVIP

2008R2Win7 管理三十防火墙TMG2010 应用 咱的TMG 基本上工作正常了,这篇咱们试着在2008R2 和win7 这个环境玩玩,这个系列写到现在,咱们该有 的貌似都有了,剩下的就是内外互通问题了.咱们这篇看看发布一些应用和设置策略瞧瞧tmg2010 跟 isa2006 之前的版本有啥不同的. 咱们计算机组里面添加计算机,貌似跟以前没啥区别,还是只能添加ip 来识别计算机以便设置权限,一直不 能绑定mac 是isa 的硬伤,微软表示以前没有这个功能, 以后也不会有,咱估计只能带着遗憾了,虽然有TX 说用dhcp 绑定,可那也只是在服务器上做绑定,不过没关系isa 不支持mac,那么它还有神器-可以做到基于 windows 域的身份验证, 只有ip 和域账户和规则一致才能通过tmg 访问网络. 本篇分为1.网络访问规则2.应用发布3. 内部访问策略 1.网络访问规则 咱添加完成两个内部的服务器目标 新建访问规则,呵呵 \规则名称 规则类型,木有啥不一样的 通讯协议,正常来说为了安全我们要设置仅仅服务器需要的协议才能连接网络, 比如dns 需要用53 去连接 外部,mail 需要25 去连接外部. 以最小的网络权限换取一定比例的网络安全比较好.咱们这里只是测试实 验,关于安全另外讨论,咱们就所有协议默认出站啦. 这个是新东西,启用恶意软件检查,对于用户端来说启用这个比较好,对于服务器来说还是关闭好一点, 以 防服务器的正常出站被阻拦 \规则的来源,选择我们刚才的server 组 目的选择外部网络 用户集,咱这里可以设置为domainadmins,也可以设置为默认的所有用户 完成创建 应用这事 现在在NS1 访问网站ok 了, 因为我们开放了所有协议, 当然我们只开通80 和53 和442,ns1 也能访问外部 网站. 2.应用发布 咱们发布个简单的应用,将我们内部的exchange 这台mail 服务器发布出去. 邮件发布规则名称 发布类型 客户端访问的类型.pop 和smtp 和exchange 模式 服务器的ip 地址 发布到的目的地-外部网络 完成规则 应用规则后如图,多了1-5 的规则 3. 内部访问策略 新建访问规则 通讯为所有通讯 不检查内部的通讯,也可以设置检查 来源为内部和本地主机 目的也一样 所有用户 完成配置 然后咱们应用并重启服务,看ns1 已经能ping 通isa 了,在没有做这个策略前ns1 和mai 等其他主机都无法 访问互相和ping 通,做了策略后大家爱可以看到下面已经ping 通了,很多tx 也曾经败在这上面好像.呵 呵.