2008R2Win7管理三十防火牆TMG2010應用

2008R2Win7管理三十防火牆TMG2010應用

咱的TMG基本上工做正常了,這篇我們試着在2008R2和win7這個環境玩玩,這個系列寫到如今,我們該有的貌似都有了,剩下的就是內外互通問題了.我們這篇看看發佈一些應用和設置策略瞧瞧tmg2010跟isa2006以前的版本有啥不一樣的.

我們計算機組裏面添加計算機,貌似跟之前沒啥區別,仍是隻能添加ip來識別計算機以便設置權限,一直不能綁定mac是isa的硬傷,微軟表示之前沒有這個功能,之後也不會有,咱估計只能帶着遺憾了,雖然有TX說用dhcp綁定,可那也只是在服務器上作綁定,不過不要緊isa不支持mac,那麼它還有神器-能夠作到基於windows域的身份驗證,只有ip和域帳戶和規則一致才能經過tmg訪問網絡.

本篇分爲1.網絡訪問規則2.應用發佈3.內部訪問策略

1.網絡訪問規則

咱添加完成兩個內部的服務器目標

新建訪問規則,呵呵

\規則名稱

規則類型,木有啥不同的

通信協議,正常來講爲了安全咱們要設置僅僅服務器須要的協議才能鏈接網絡,好比dns須要用53去鏈接外部,mail須要25去鏈接外部.以最小的網絡權限換取必定比例的網絡安全比較好.我們這裏只是測試實驗,關於安全另外討論,我們就全部協議默認出站啦.

這個是新東西,啓用惡意軟件檢查,對於用戶端來講啓用這個比較好,對於服務器來講仍是關閉好一點,以防服務器的正常出站被阻攔

\規則的來源,選擇咱們剛纔的server組

目的選擇外部網絡

用戶集,咱這裏能夠設置爲domainadmins,也能夠設置爲默認的全部用戶

完成建立

應用這事

如今在NS1訪問網站ok了,由於咱們開放了全部協議,固然咱們只開通80和53和442,ns1也能訪問外部網站.

2.應用發佈

我們發佈個簡單的應用,將咱們內部的exchange這臺mail服務器發佈出去.

郵件發佈規則名稱

發佈類型

客戶端訪問的類型.pop和smtp和exchange模式

服務器的ip地址

發佈到的目的地-外部網絡

完成規則

應用規則後如圖,多了1-5的規則

3.內部訪問策略

新建訪問規則

通信爲全部通信

不檢查內部的通信,也能夠設置檢查

來源爲內部和本地主機

目的也同樣

全部用戶

完成配置

而後我們應用並重啓服務,看ns1已經能ping通isa了,在沒有作這個策略前ns1和mai等其餘主機都沒法訪問互相和ping通,作了策略後你們愛能夠看到下面已經ping通了,不少tx也曾經敗在這上面好像.呵呵.