常规 Forefront TMG 2010 网络/代理配置

常规 Forefront TMG 2010 网络/代理配置

我们决定在拥有 50 - 75 个用户的网络上测试并部署 Forefront TMG 服务器(Windows 7、XP 客户端、Windows Server 2008R2 服务器和一些 Linux 机箱)

我们的网络拓扑是:

4 层(4 个 Lan 交换机)> 连接到我们服务器机房中的核心交换机 > 核心交换机连接到 FA 0/1 上的 Cisco 路由器 > Cisco 路由器 FA 0/0 连接到我们的 ISP(WAN)。

此时我们的 DHCP 正在我们的思科路由器上运行,它也是我们 LAN 的默认网关:默认网关:192.168.1.1

我的问题是:

TMG 服务器有 2 个 NIC(一个连接到我们的 LAN 交换机 - TMG NIC IP:192.168.1.200)

在安装 Forefront TMG 期间,我在安装过程中的适配器选择中添加了范围 192.168.1.1 - 192.168.1.254,

安装完成后,我该如何重定向客户端,以便所有网络和互联网流量都通过 TMG NIC 192.168.1.200

我应该为 TMG 服务器上的第二个 NIC 分配什么 IP?

第二个 NIC 应连接在哪里?

我是否应将具有双网卡的 TMG 服务器放置在核心 LAN 交换机和路由器之间或核心交换机后面?

将非常感谢您在这方面的帮助,我们将使用它来进行内容过滤和网络阻止以及其他功能。

谢谢阅读 !


谢谢您的回复:我现在有 3 个以上的问题 :-)

问 1:如果我们的 TMG 服务器上有 3 个 ISP 连接和 4 个 NICS,我可以将它们全部连接起来并让 TMG 对它们进行负载平衡/故障转移吗?

问题 2:TMG 可以拨号 PPPOE 连接吗?假设所有 3 家 ISP 都要求我们拨号 pppoe - 可以为每个网卡进行配置吗?

问 3:目前我们还有一个 Cisco 路由器作为我们的 WAN 路由器,只插入 1 个 ISP,当我配置 TMG 以平衡所有 3 个 WAN 时,我是否应该将 Cisco 从拓扑中删除,或者我该如何连接 TMG 和 Cisco?这里有点困惑 - 如果可以的话,如果您能帮助我将不胜感激。

问 4:如果我们的 TMG 服务器上只有 1 个网卡,它会连接到我们的 LAN 交换机吗?然后我们会在 W7 / XP 客户端上指定它的地址,以便它充当缓存服务器 / Web 过滤器?

问 5:如果我们仅将其用于缓存和网页过滤,我们如何路由所有内部互联网流量,以便它仅通过我们的 TMG 服务器?

再次感谢您的回复 - 我目前正在测试这一点,我已经设置了一个 AD 2008R2 Box,TMG 已加入域并安装和配置了 4 个网卡。TMG 目前已插入我们的 LAN 交换机

答案1

您需要在不同子网中使用第二个 NIC,以便 Windows 路由顺利进行。然后,TMG 在内部子网和外部子网之间进行 NAT(无论如何使用 Edge 布局)。

要将所有流量推送到 TMG 框,请将其作为默认网关指向客户端。这可能会对当前的网络工作方式产生相当大的影响,因此请制定回滚策略。

为了最轻松地完成此操作(但需要进行重大更改),请将当前 DG 切换到不同的子网(例如,10.x 子网,这样看起来会很好,而且在视觉上有所区分),将另一个 TMG 适配器插入该子网,并允许 TMG 将该子网视为外部子网(即不将其作为“内部”网络) - 这样,任何东西都可以不是当前定义的内部 IP 范围内的 IP 地址将被视为潜在敌对。(或者至少是外部的;TMG 不会完全信任内部网络)。

10.x 网络本质上变成了一种 DMZ - 您的路由器(我假设当前正在对 ISP 进行 NAT)可以将传入的请求转发到 TMG 盒上的外部接口,并且 TMG 防火墙策略将控制进出 192.168.1.x 网络的所有流量。

为了便于迁移,如果您采用这种方式,TMG 的内部接口应该采用路由器的旧 IP,即已在客户端配置的默认网关。

对于高级 Web 使用(即如果需要进行身份验证),请配置 WPAD 以便让客户端明确了解代理。

或者,保持一切不变,忽略第二个 NIC,并使用 TMG 作为显式 Web 代理,配置为http://tmg:8080在客户端上,或者通过 WPAD。它不会进行全网内容过滤,但它至少会在该配置中进行网络流量扫描,并让您有时间在开始大规模中断路径之前更加熟悉它。

更好的是,使用实验室或虚拟机测试您的预期设置。

只是一个想法。

编辑:还有一个非常非常普遍的建议:在某个时候,你会忍不住想制定一条规则,说“随时随地允许任何事情”。如果你真的屈服于这种诱惑,一定要排除本地主机网络,这样至少 TMG 仍在执行一些本地数据包过滤,以保护自己免受恶意内部/外部客户端的攻击。(NAT 倾向于处理来自外部的大多数传入流量,但总是需要担心外部配置错误)。

如果您希望 TMG 能够连接到某个东西或被某个东西连接,系统策略就是实现这一点的地方。还有另一个提示,如果您不允许除 RDP 之外的任何 TMG 传入连接,您基本上可以忽略已发布的大多数安全更新。这对正常运行时间来说很好。另外!当 MSRC 发布公告时,NIS 会获取更新,因此那里也有额外的保护级别。只是不要自满。

'*——不要这样做。

相关内容