系统及网络需求
要安装 ForeFront TMG 服务器,您需要满足以下要求:
CPU:必须是 x64(AMD 64) 架构的 CPU;
内存:至少1 GB;
硬盘空间:150MB,不含 Web 缓存及临时文件所使用的磁盘空间; 缓存需要存放在NTFS分区上;
操作系统:ForeFront TMG 只支持在 Windows Server 2008 x64 版本上进行安装;TMG 不支持任何32位操作系统,以及非 Windows Server 2008 x64 版本的其他64位操作系统;
网络适配器: 至少需要一个网络适配器,并且必须为连接到 TMG 服务器的每个网络单独准备一个网络适配器。具体可以参考理解ISA Server 2004中的网络一文;
DNS服务器:TMG 服务器不具备转发DNS请求的功能,必须使用额外的DNS服务器。如果企业内部网络中具有域控制器,应配置使用域控制器作为 TMG 的DNS服务器;或者使用ISP(Internet)的DNS服务器。
网络连接:在安装TMG服务器以前,应保证 TMG 服务器与任何一个连接到的网络均通讯正常,这样便于故障排错。
安装 TMG
本实验环境下的网络拓扑架构如下图所示:
ForeFront TMG 作为企业网络边缘防火墙,连接内部和外部网络。在外部网络中有一台服务器(61.139.2.69),作为 Web 服务器(http://www.isacn.org)和 DNS 服务器。各计算机的TCP/IP设置如下:
ForeFront TMG
External Interface:
IP:61.139.2.10/24
DG:61.139.2.1
DNS: 61.139.2.69
Internal Interface:
IP:10.1.1.1/24
DG:None
Web/DNS Server
IP:61.139.2.69/24
DG:61.139.2.1
DNS: 61.139.2.69
IIS 站点: www.isacn.org
Internal Client
IP:10.1.1.10/24
DG:10.1.1.1
DNS: 61.139.2.69
接下来我们开始安装 TMG。
运行 ISAAutorun.exe,然后在弹出的 TMG 安装界面上点击 Install ForeFront TMG,如下图所示:
然后在欢迎页点击下一步;
在协议许可页面上点击下一步;
在用户信息页面上点击下一步;
在安装场景页,选择 Install ForeFront Threat Management Gateway,这样可以同时安装 TMG 服务器端和管理控制台,点击下一步;
在组件选择页,点击下一步;
在内部网络页, 点击添加按钮来添加默认的内部网络地址范围。在 TMG 中,默认的内部网络定义为 TMG 必须进行通讯的可信任网络。TMG 的系统策略会自动允许 TMG 和默认内部网络之间的部分通讯。
在弹出的地址对话框中,你可以通过网络适配器自动添加地址范围、手动添加地址范围或者添加私有IP地址范围。在此建议你通过网络适配器添加,原因请参考理解ISA Server 2004中的网络一文。点击添加适配器;
在弹出的选择网络适配器对话框,选择对应的内部网络接口,然后点击确定;
然后在地址对话框上点击确定;
然后在内部网络页点击下一步;
在服务警告页,提醒你有部分服务将会在TMG安装过程中重启或禁用,点击下一步;
在准备安装程序页,点击安装;
等待片刻后,TMG 完成安装,点击完成按钮。
完成 TMG 的初始配置
默认情况下,当你第一次运行 TMG 管理控制台时,TMG 会调用初始配置向导帮助你进行 TMG 的配置,如下图所示。
初始配置向导把 TMG 安装后需要做的初始操作集成在一起,从而便于你进行 TMG 的配置。首先点击配置网络设置链接;
在欢迎使用网络设置向导页,点击下一步;
在网络模板选择页,根据你的企业环境选择对应的网络架构模板,具体可以参考使用ISA Server 2004 网络模板来自动建立访问策略:边缘防火墙模板一文;在此我选择和我网络环境对应的边缘防火墙模板,点击下一步;
在本地局域网络设置页,选择连接到内部网络的网络适配器。如果你的企业内部网络中具有多个子网、VLAN或路由关系,则可以在下面指定额外路由中添加到对应子网的路由。这是一个非常人性化的改进,从而避免在复杂网络下的配置问题。具体可以参考How to:在存在多条路由的内部网络中配置ISA Server 2004一文。配置完成后点击下一步;
在Internet设置页,选择连接到Internet的对应网络适配器,点击下一步;
在完成网络设置向导页,点击完成;此时 TMG 的网络设置就完成了。
接下来,我们进行 TMG 服务器的系统设置。在初始配置向导页,点击配置系统设置链接;
在欢迎使用系统设置向导页,点击下一步;
在主机标识页,根据你的网络环境来决定 TMG 主机是否需要加入到域,完成配置后点击下一步;
在完成系统设置向导页,点击完成;此时 TMG 的系统设置就完成了。
接下来,我们进行 TMG 服务器的策略设置。在初始配置向导页,点击定义部署选项链接;
在欢迎使用部署向导页,点击下一步;
在 Microsoft Update 设置页,配置是否通过 Microsoft Update 来更新非法软件定义。选择使用 Microsoft Update 服务来检查更新,点击下一步;
在定义更新设置页,配置如何进行非法软件定义更新,在非法软件识别栏,选择检查并安装,然后在自动更新检测频率栏,选择对应的设置后点击下一步;
在用户反馈页,根据你的需求,选择对应选项后点击下一步;
在微软遥测服务页,根据你的需求,选择对应选项后点击下一步;
最后在正在完成配置向导页,点击完成;
在初始配置向导对话框上点击关闭,默认情况下会运行 Web 访问向导。
在欢迎使用 Web 访问策略向导页,点击下一步;
在 Web 保护页,选择是否针对HTTP传输进行 Web 反病毒扫描,在此我选择启用,然后点击下一步;
在 Web 访问策略类型页,选择你需要建立的策略类型,在此我选择针对我企业中的所有客户建立一条简单的Web访问策略,然后点击下一步;
在受限制的Web目的地页,如果你需要限制到某些 Web 目的地的访问,则可以点击添加按钮来添加,在此我直接点击下一步;
在非法软件识别设置页,选择检查来自Internet的Web内容请求,从而为创建的 Web 访问规则启用非法软件扫描,点击下一步;
在 Web 缓存配置页,默认情况下,启用Web缓存选项是勾选的,但是我们需要定义缓存驱动器,否则缓存将不会启用。点击缓存驱动器按钮,
在弹出的定义缓存驱动器对话框,选择对应的驱动器,然后在最大缓存大小(MB)栏,输入对应的缓存空间大小,然后点击设置按钮,完成后点击确定;
然后在缓存驱动器页,点击确定;
再在 Web 缓存配置页,点击下一步;
最后在正在完成 Web 访问策略向导页,点击完成;
此时,我们的初始配置基本就完成了,如下图所示。不过你需要在 TMG 控制台中点击应用按钮,你所做的配置才会应用到 TMG 服务器。点击应用按钮,
在弹出的警告提示框中,选择保存修改并重启服务,再点击确定;
等待片刻后,在保存配置更改对话框上点击确定;
但是,我们还需要在TMG 管理控制台监视节点的配置页,确认配置更改是否已经正确同步到了 TMG 服务器,如下图所示:
此时,如果内部客户仅仅通过 TMG 使用 HTTP 和 HTTPS协议(通过其他服务器例如内部的域控制器来实现DNS解析),那么客户已经可以成功的访问外部的 Web 服务器了,这是因为通过 Web 访问规则向导建立的访问规则,只是允许内部客户到外部的 HTTP 和 HTTPS 协议,而没有允许其他协议。
在实际的环境中,可能需要建立其他防火墙策略,来允许内部到外部的其他协议。在我的实验环境中,就需要创建额外的访问规则来允许客户访问。
在此我以允许内部到外部的 DNS 和 PING 协议为例,来创建对应的防火墙策略。在 TMG 管理控制台中,右击防火墙策略,指向新建,选择访问规则;
然后在欢迎使用新建访问规则向导页,输入规则名称后点击下一步;
在规则动作页,选择允许,然后点击下一步;
在协议页,选择将规则应用到选择的协议,然后点击添加按钮添加 DNS 和 PING 这两个协议,点击下一步;
在访问规则源页,点击添加按钮添加对应的内部网络,点击下一步;
在访问规则目的页,点击添加按钮添加对应的外部网络,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
最后在正在完成新建访问规则向导页,点击完成;
最后在 TMG 管理控制台中点击应用保存修改,并确认配置已经正常同步到 TMG 服务器。
测试
现在,我们在内部网络中的客户机上访问外部 Web 站点 http://www.isacn.org ,访问成功,如下图所示:
从 TMG 上的日志也可以看出, TMG 按照我们的访问规则配置,正确的处理了客户的访问请求,如下图所示:
至此, TMG 的安装及初始配置就成功完成了。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/22903963/viewspace-660601/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/22903963/viewspace-660601/
618
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
