2008R2Win7管理三十防火墙TMG2010应用
咱的TMG基本上工作正常了,这篇咱们试着在2008R2和win7这个环境玩玩,这个系列写到现在,咱们该有的貌似都有了,剩下的就是内外互通问题了.咱们这篇看看发布一些应用和设置策略瞧瞧tmg2010跟isa2006之前的版本有啥不同的.
咱们计算机组里面添加计算机,貌似跟以前没啥区别,还是只能添加ip来识别计算机以便设置权限,一直不能绑定mac是isa的硬伤,微软表示以前没有这个功能,以后也不会有,咱估计只能带着遗憾了,虽然有TX说用dhcp绑定,可那也只是在服务器上做绑定,不过没关系isa不支持mac,那么它还有神器-可以做到基于windows域的身份验证,只有ip和域账户和规则一致才能通过tmg访问网络.
本篇分为1.网络访问规则2.应用发布3.内部访问策略
1.网络访问规则
咱添加完成两个内部的服务器目标
新建访问规则,呵呵
\规则名称
规则类型,木有啥不一样的
通讯协议,正常来说为了安全我们要设置仅仅服务器需要的协议才能连接网络,比如dns需要用53去连接外部,mail需要25去连接外部.以最小的网络权限换取一定比例的网络安全比较好.咱们这里只是测试实验,关于安全另外讨论,咱们就所有协议默认出站啦.
这个是新东西,启用恶意软件检查,对于用户端来说启用这个比较好,对于服务器来说还是关闭好一点,以防服务器的正常出站被阻拦
\规则的来源,选择我们刚才的server组
目的选择外部网络
用户集,咱这里可以设置为domainadmins,也可以设置为默认的所有用户
完成创建
应用这事
现在在NS1访问网站ok了,因为我们开放了所有协议,当然我们只开通80和53和442,ns1也能访问外部网站.
2.应用发布
咱们发布个简单的应用,将我们内部的exchange这台mail服务器发布出去.
邮件发布规则名称
发布类型
客户端访问的类型.pop和smtp和exchange模式
服务器的ip地址
发布到的目的地-外部网络
完成规则
应用规则后如图,多了1-5的规则
3.内部访问策略
新建访问规则
通讯为所有通讯
不检查内部的通讯,也可以设置检查
来源为内部和本地主机
目的也一样
所有用户
完成配置
然后咱们应用并重启服务,看ns1已经能ping通isa了,在没有做这个策略前ns1和mai等其他主机都无法访问互相和ping通,做了策略后大家爱可以看到下面已经ping通了,很多tx也曾经败在这上面好像.呵呵.
