借助 Forefront Threat Management Gateway 2010防火墙,员工可以安全高效地使用 Internet,而不必担心恶意软件和其他威胁
一、 TMG防火墙的三个网络接口分别用来连接:
外网(Internet)、内网(路由器)、边缘(Lync边缘服务器)
1.1 外网接口IP使用由宽带服务商提共的公网IP
1.2 与边缘服务器接口,IP作为边缘网关
1.3 与路由器的接口,IP作为由器外网接口网关
二、 TMG防火墙安装
2.1 首先运行【运行准备工具】
2.2 单击【下一步】
2.3 选中【我接受许可协议中的条款】并【下一步】
2.4 选择【Forefront TMG服务和管理】
2.5、勾选【启动Forefront TGM安装向导】并单击【完成】
2.6 【下一步】,选择【我接受许可协议中的条款】,【下一步】
2.7 根据需情况填入【客户信息】和【产品序列号】
2.8 选择安装路径
2.8 添加网关的内网网段,如与路由器连接网段和内网网段
注:一般添加连接内网段即可,添加其它网段好像也没用
2.9 单击【下一步】,【下一步】,【安装】
3.0 半小时左右安装【完成】
注:安装完成后最好重起一下TMG服务器
三、TMG服务器的初始配置
3.1 打开【开始】―【程序】―【Microsoft Forefront TMG】―【Forefront TMG 管理】
3.2 三个步骤配置TMG
3.2.1 点击【配置网络设置】,【下一步】
3.2.2 网络板模选择中【边缘防火墙(E)】或【3向外围网络(P)】
3.2.3 在【连接到LAN的网络适配器(T)】:选择【(Route)】与内网路由器接口网段
3.2.4在【连接到Internet的网络适配器(T)】:选择【Internet】与外网接口网段
3.2.5 单击【完成】
3.3.1 单击【配置系统设置】,【下一步】
3.3.2 在成员选择【工作组】
注:最好不要将TMG服务器加入域
3.3.3 【完成】
3.4.1 配置【自定义部署选项】,【下一步】
3.4.2 选择【我不想使有Microsoft Update服务】在实际环境中最好选择【使用Microsoft Update服务检查更新】
3.4.3、选择【是】
3.4.4、TMG许可信息,确定后【下一步】
3.4.5 【否,我不愿意参加】
3.4.6 【无,不向Microsoft发送任何信息】
3.4.7 【完成】配置向导
四 、TMG网络配置
4.1 新建边缘网络,并且在网络规则中添加新建的边缘网络
4.1.1 右键【网络连接】―【新建】―【网络】
4.1.2 为边缘网络命名如:LyncEdgeNet
4.1.3 指定网络类型选择【外围网络】
4.1.4 选择与边缘服务器连接的网络网卡网段,如:DMZ
单击【下一步】
4.1.5 【完成】确认
4.2新建网络后需要把网络规则中添加网段
【网络连接】――这【网络规则】――双击打开【Internet访问】规则
选择【LyncEdgeNet】网段,【添加】后【确认】
4.3 新建从内网、边缘到Internet和TMG主机的出站策略,开始测试时可以永许所有协议和用户
4.3.1 右键【防火墙策略】―【新建】―【访问规则】
4.3.2 为访问策略输入名称
4.3.3 选择【允许】―【下一步】
4.3.4 在规则应用中选择【所有出站协议】,【下一步】
4.3.5 【不对该规则启用恶意软件检查】,【下一步】
4.3.6 在源网络中添加边缘【LyncEdgeNet】和【内部】网络
4.3.6 在目标网络中选择Internet【外部】和TMG【本地主机】
4.3.7 应用到【所有用户】
4.3.8 确后【完成】
4.3.9 确定【内部】网络是否包含以内网和DMZ网段,如果没有请添加内网段(192.168.10.0―192.168.10.255)到TMG内部网段中:
在【网络连接】―【网络】―双击打开【内部】――在【地址】中【添加范围】,如:
192.168.10.0―192.168.10.255或172.16.0.0―172.16.255.255
五、Lync 边缘服务器网络配置
5.1 边缘外网接口与TMG相联,网关指向TMG服务器
5.2 边缘内网与路由器相联,首选DNS必须指同内部的DNS服务器
六、测试网络的联通性
6.1 增加TMG和边缘到内部的两条路由
6.1.1 TMG服务器上添加一条到内网网段的路由
6.1.2同样在边缘服务器中增加一条到内网网段的路由:
6.2测试网络联通性:
6.2.1 TMG到外网出站通信
6.2.2边缘到外网出站通信
6.2.3 AD服务器到外网出站通信