2008R2Win7管理三十防火墙TMG2010应用

2008R2Win7管理三十防火墙TMG2010应用

咱的TMG基本上工做正常了,这篇我们试着在2008R2和win7这个环境玩玩,这个系列写到如今,我们该有的貌似都有了,剩下的就是内外互通问题了.我们这篇看看发布一些应用和设置策略瞧瞧tmg2010跟isa2006以前的版本有啥不一样的.

我们计算机组里面添加计算机,貌似跟之前没啥区别,仍是只能添加ip来识别计算机以便设置权限,一直不能绑定mac是isa的硬伤,微软表示之前没有这个功能,之后也不会有,咱估计只能带着遗憾了,虽然有TX说用dhcp绑定,可那也只是在服务器上作绑定,不过不要紧isa不支持mac,那么它还有神器-能够作到基于windows域的身份验证,只有ip和域帐户和规则一致才能经过tmg访问网络.

本篇分为1.网络访问规则2.应用发布3.内部访问策略

1.网络访问规则

咱添加完成两个内部的服务器目标

新建访问规则,呵呵

\规则名称

规则类型,木有啥不同的

通信协议,正常来讲为了安全咱们要设置仅仅服务器须要的协议才能链接网络,好比dns须要用53去链接外部,mail须要25去链接外部.以最小的网络权限换取必定比例的网络安全比较好.我们这里只是测试实验,关于安全另外讨论,我们就全部协议默认出站啦.

这个是新东西,启用恶意软件检查,对于用户端来讲启用这个比较好,对于服务器来讲仍是关闭好一点,以防服务器的正常出站被阻拦

\规则的来源,选择咱们刚才的server组

目的选择外部网络

用户集,咱这里能够设置为domainadmins,也能够设置为默认的全部用户

完成建立

应用这事

如今在NS1访问网站ok了,由于咱们开放了全部协议,固然咱们只开通80和53和442,ns1也能访问外部网站.

2.应用发布

我们发布个简单的应用,将咱们内部的exchange这台mail服务器发布出去.

邮件发布规则名称

发布类型

客户端访问的类型.pop和smtp和exchange模式

服务器的ip地址

发布到的目的地-外部网络

完成规则

应用规则后如图,多了1-5的规则

3.内部访问策略

新建访问规则

通信为全部通信

不检查内部的通信,也能够设置检查

来源为内部和本地主机

目的也同样

全部用户

完成配置

而后我们应用并重启服务,看ns1已经能ping通isa了,在没有作这个策略前ns1和mai等其余主机都没法访问互相和ping通,作了策略后你们爱能够看到下面已经ping通了,不少tx也曾经败在这上面好像.呵呵.