2008R2Win7管理三十防火墙TMG2010应用

2008R2Win7管理三十防火墙TMG2010应用

咱的TMG基本上工作正常了,这篇咱们试着在2008R2和win7这个环境玩玩,这个系列写到现在,咱们该有的貌似都有了,剩下的就是内外互通问题了.咱们这篇看看发布一些应用和设置策略瞧瞧tmg2010跟isa2006之前的版本有啥不同的.

咱们计算机组里面添加计算机,貌似跟以前没啥区别,还是只能添加ip来识别计算机以便设置权限,一直不能绑定mac是isa的硬伤,微软表示以前没有这个功能,以后也不会有,咱估计只能带着遗憾了,虽然有TX说用dhcp绑定,可那也只是在服务器上做绑定,不过没关系isa不支持mac,那么它还有神器-可以做到基于windows域的身份验证,只有ip和域账户和规则一致才能通过tmg访问网络.

本篇分为1.网络访问规则2.应用发布3.内部访问策略

1.网络访问规则

咱添加完成两个内部的服务器目标

新建访问规则,呵呵

\规则名称

规则类型,木有啥不一样的

通讯协议,正常来说为了安全我们要设置仅仅服务器需要的协议才能连接网络,比如dns需要用53去连接外部,mail需要25去连接外部.以最小的网络权限换取一定比例的网络安全比较好.咱们这里只是测试实验,关于安全另外讨论,咱们就所有协议默认出站啦.

这个是新东西,启用恶意软件检查,对于用户端来说启用这个比较好,对于服务器来说还是关闭好一点,以防服务器的正常出站被阻拦

\规则的来源,选择我们刚才的server组

目的选择外部网络

用户集,咱这里可以设置为domainadmins,也可以设置为默认的所有用户

完成创建

应用这事

现在在NS1访问网站ok了,因为我们开放了所有协议,当然我们只开通80和53和442,ns1也能访问外部网站.

2.应用发布

咱们发布个简单的应用,将我们内部的exchange这台mail服务器发布出去.

邮件发布规则名称

发布类型

客户端访问的类型.pop和smtp和exchange模式

服务器的ip地址

发布到的目的地-外部网络

完成规则

应用规则后如图,多了1-5的规则

3.内部访问策略

新建访问规则

通讯为所有通讯

不检查内部的通讯,也可以设置检查

来源为内部和本地主机

目的也一样

所有用户

完成配置

然后咱们应用并重启服务,看ns1已经能ping通isa了,在没有做这个策略前ns1和mai等其他主机都无法访问互相和ping通,做了策略后大家爱可以看到下面已经ping通了,很多tx也曾经败在这上面好像.呵呵.