Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Forefront TMG употребляет концепцию множественных сетей. Чтоб найти сетевую топологию, можно сделать сети в Forefront TMG. После сотворения всех нужных сетей необходимо выстроить отношения меж ними в форме сетевых правил. Forefront TMG поддерживает два типа сетевых правил:

Route - сетевое правило типа Route делает двунаправленное сетевое подключение меж 2-мя сетями, которые передают уникальные IP адреса меж этими сетями.

NAT - сетевое правило типа NAT (трансляция сетевых адресов – Network Address Translation) делает однонаправленное сетевое подключение меж 2-мя сетями, которое маскирует IP адреса сетевых частей под IP адресок соответственного сетевого адаптера Forefront TMG.

После сотворения сетей и сетевых правил необходимо сделать правила брандмауэра, которые будут разрешать либо перекрыть сетевой трафик меж присоединенными сетями.

Сетевые шаблоны

Чтоб облегчить настройку Forefront TMG, в TMG имеются сетевые шаблоны, которые позволяют создавать обычные сценарии брандмауэра. Также можно изменять структуру сети после первичной установки. Вам только необходимо запустить мастера Getting Started Wizard в консоли управления TMG Management. На последующем рисунке показано место расположения мастера Launch Getting Started Wizard.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 1: Мастер Forefront TMG Getting Started Wizard

Настройка сетевых характеристик

Мастер Launch Getting Started Wizard позволяет вам выбирать требуемый шаблон сети. Forefront TMG идет с 4-мя сетевыми шаблонами:

Пограничный брандмауэр (Edge Firewall)
Трехзонная конфигурация сервера (3-Leg perimeter)
Внутренний межсетевой экран (Back firewall)
Один сетевой адаптер (Single network Adapter)

Пограничный брандмауэр (Edge Firewall)

Шаблон Edge Firewall является традиционным сетевым шаблоном и подключает внутреннюю сеть к вебу, защищенную Forefront TMG. Обычный шаблон Edge Firewall просит как минимум 2-ух сетевых карт на сервере Forefront TMG Server.

Трехзонная конфигурация сервера (3-Leg Perimeter)

Экран 3-Leg Perimeter – это сервер Forefront TMG с 3-мя и поболее сетевыми адаптерами. Один сетевой адаптер подключает внутреннюю сеть, другой – внешнюю, а 3-ий – демилитаризованную зону (DMZ – Demilitarized Zone), также именуемую сетью периметра (Perimeter Network). Сеть Perimeter содержит службы, которые должны быть доступны из веба, но также должны быть защищены Forefront TMG. Обычными службами в DMZ являются интернет серверы, DNS серверы либо WLAN сети. Брандмауэр 3-Leg Perimeter нередко именуют «Брандмауэром бедного человека» (‘Poor Man’s Firewall’), так как это не совершенно DMZ. Реальная DMZ представляет собой зону меж 2-мя рекомендованными межсетевыми экранами различных брендов.

Внутренний межсетевой экран (Back firewall)

Шаблон Back Firewall может употребляться админами Forefront TMG, когда forefront TMG размещен за наружным сетевым экраном (Front Firewall). Внутренний сетевой экран защищает внутреннюю сеть от доступа из зоны DMZ и наружной сети и управляет тем, какой трафик разрешен с узлов DMZ и наружного сетевого экрана.

Примечание: Forefront TMG не имеет встроенного сетевого шаблона Front Firewall

Один сетевой адаптер (Single Network Adapter)

Шаблон Single Network Adapter имеет определенные ограничения, потому что Forefront TMG сервер с одним только адаптером не может употребляться в качестве реального брандмауэра, очень много служб труднодоступно. Только последующие функции будут доступны:

Пересылка Web Proxy запросов, использующих HTTP, Secure HTTP (HTTPS) либо File Transfer Protocol (FTP) для загрузки
Кэширование Web контента для использования клиентами корпоративной сети
Web публикация для защиты размещенных Web либо FTP серверов
Microsoft Outlook Web Access, ActiveSync и публикация протокола вызова удаленных процедур (RPC) через HTTP (также именуемая Outlook Anywhere в Exchange Server 2007 и выше)

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 2: Выбор сетевого шаблона

Последующим шагом будет выбор сетевых адаптеров, которые должны употребляться с избранным шаблоном. К примеру, я использовал шаблон Edge Firewall, потому мне необходимо указать, какой сетевой адаптер будет подключен к LAN, а какой – к наружной сети.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 3: Выбор сетевого адаптера

В Forefront TMG сейчас можно указывать дополнительные маршруты сети (network routes) в UI. Вам не надо использовать команду Route add в командной строке. На последующем снимке показана стандартная сеть, сделанная установкой Microsoft Forefront TMG. Только внутренняя сеть имеет возможность опции спектра IP адресов.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG
Прирастить

Набросок 4: Сети Forefront TMG

Forefront TMG идет со встроенными сетевыми правилами, которые определяют сетевые отношения меж сетями.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 5: Сетевые правила Forefront TMG

Также новым в Microsoft Forefront TMG является интегрированная возможность определения неких главных характеристик сетевого адаптера, к примеру, IP адреса, основной шлюз и т.д.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 6: Сетевые адаптеры Forefront TMG

На последующем снимке показаны функции конфигурации сетевых адаптеров TMG.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 7: Характеристики IP адреса Forefront TMG

В Forefront TMG сейчас можно создавать новые сетевые маршруты при помощи консоли управления TMG.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 8: Сетевые маршруты Forefront TMG

На последующем снимке показан пример диалога сотворения нового маршрута Network Topology.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 9: Forefront TMG ‘ Создание нового маршрута Network Topology

Новые сети в TMG

Можно создавать дополнительные сети в Forefront TMG. Forefront TMG идет со интегрированным мастером сотворения новых сетей.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 10: Forefront TMG ‘ Имя новейшей сети

Новые сети можно создавать для разных областей. К примеру, можно создавать новейшую сеть для дополнительной зоны DMZ на Microsoft Forefront TMG

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 11: Forefront TMG ‘ Указание типа сети

Указание спектра IP адресов для новейшей сети.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 12: Forefront TMG ‘ спектр IP адресов

После сотворения новейшей сети необходимо связать ее с имеющимся сетевым правилом либо можно сделать новое сетевое правило по типу Route либо NAT.

Экспорт и импорт сетевых дефиниций

Можно экспортировать сети и сетевые опции Forefront TMG в XML файл при помощи интегрированных способностей экспорта и импорта Forefront TMG.

Microsoft Forefront TMG – Как использовать сетевые шаблоны TMG

Набросок 13: Forefront TMG ‘ экспорт и импорт сетевых дефиниций

Заключение

В этой статье я попробовал дать обзор тому, как использовать сети, сетевые шаблоны и сетевые правила в Forefront TMG для сотворения топологии вашей сети в TMG. Как мы лицезрели в статье, достаточно легко создавать сетевую топологию при помощи сетевых шаблонов. Forefront TMG имеет ряд нужных усовершенствований, связанных с конфигурацией сети. Замечательно то, что админы TMG сейчас имеют возможность создавать сетевые маршруты при помощи консоли TMG Management, и что можно настраивать главные характеристики IP адресации в консоли TMG. Большая часть других характеристик осталось постоянным со времен Microsoft ISA Server 2006.

Дополнительные ссылки

How to use the ISA Server 2006 Network Templates

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.