2008R2Win7管理三十防火墙TMG2010应用
2009-12-18 15:53
190 查看
2008R2Win7管理三十防火墙TMG2010应用 咱的TMG基本上工作正常了,这篇咱们试着在2008R2和win7这个环境玩玩,这个系列写到现在,咱们该有的貌似都有了,剩下的就是内外互通问题了.咱们这篇看看发布一些应用和设置策略瞧瞧tmg2010跟isa2006之前的版本有啥不同的.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122732wcay.jpg)
咱们计算机组里面添加计算机,貌似跟以前没啥区别,还是只能添加ip来识别计算机以便设置权限,一直不能绑定mac是isa的硬伤,微软表示以前没有这个功能,以后也不会有,咱估计只能带着遗憾了,虽然有TX说用dhcp绑定,可那也只是在服务器上做绑定,不过没关系isa不支持mac,那么它还有神器-可以做到基于windows域的身份验证,只有ip和域账户和规则一致才能通过tmg访问网络. 本篇分为1.网络访问规则2.应用发布3.内部访问策略 1.网络访问规则
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122735mDvx.jpg)
咱添加完成两个内部的服务器目标
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122741sQ3H.jpg)
新建访问规则,呵呵
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611227431uSH.jpg)
\规则名称
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122748YloJ.jpg)
规则类型,木有啥不一样的
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122750aRcE.jpg)
通讯协议,正常来说为了安全我们要设置仅仅服务器需要的协议才能连接网络,比如dns需要用53去连接外部,mail需要25去连接外部.以最小的网络权限换取一定比例的网络安全比较好.咱们这里只是测试实验,关于安全另外讨论,咱们就所有协议默认出站啦.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122751kFat.jpg)
这个是新东西,启用恶意软件检查,对于用户端来说启用这个比较好,对于服务器来说还是关闭好一点,以防服务器的正常出站被阻拦
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122753KJ9g.jpg)
\规则的来源,选择我们刚才的server组
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611227576WTX.jpg)
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122758CYsO.jpg)
目的选择外部网络
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122760x2ju.jpg)
用户集,咱这里可以设置为domainadmins,也可以设置为默认的所有用户
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122765thLm.jpg)
完成创建
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122768P5fF.jpg)
应用这事
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122770IP3N.jpg)
现在在NS1访问网站ok了,因为我们开放了所有协议,当然我们只开通80和53和442,ns1也能访问外部网站.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122774Pnua.jpg)
2.应用发布 咱们发布个简单的应用,将我们内部的exchange这台mail服务器发布出去.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122780D5iY.jpg)
邮件发布规则名称
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122785paNq.jpg)
发布类型
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611227884VJI.jpg)
客户端访问的类型.pop和smtp和exchange模式
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122791H8ve.jpg)
服务器的ip地址
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122792432H.jpg)
发布到的目的地-外部网络
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122793VIQq.jpg)
完成规则
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122797O0sn.jpg)
应用规则后如图,多了1-5的规则
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611227992aFj.jpg)
3.内部访问策略 新建访问规则
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122801Sx0j.jpg)
通讯为所有通讯
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122803iApb.jpg)
不检查内部的通讯,也可以设置检查
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122804rVFt.jpg)
来源为内部和本地主机
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122806tHP0.jpg)
目的也一样
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611228098yPg.jpg)
所有用户
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122812XKug.jpg)
完成配置
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122814Obfs.jpg)
然后咱们应用并重启服务,看ns1已经能ping通isa了,在没有做这个策略前ns1和mai等其他主机都无法访问互相和ping通,做了策略后大家爱可以看到下面已经ping通了,很多tx也曾经败在这上面好像.呵呵.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611228173iF3.jpg)
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122732wcay.jpg)
咱们计算机组里面添加计算机,貌似跟以前没啥区别,还是只能添加ip来识别计算机以便设置权限,一直不能绑定mac是isa的硬伤,微软表示以前没有这个功能,以后也不会有,咱估计只能带着遗憾了,虽然有TX说用dhcp绑定,可那也只是在服务器上做绑定,不过没关系isa不支持mac,那么它还有神器-可以做到基于windows域的身份验证,只有ip和域账户和规则一致才能通过tmg访问网络. 本篇分为1.网络访问规则2.应用发布3.内部访问策略 1.网络访问规则
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122735mDvx.jpg)
咱添加完成两个内部的服务器目标
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122741sQ3H.jpg)
新建访问规则,呵呵
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611227431uSH.jpg)
\规则名称
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122748YloJ.jpg)
规则类型,木有啥不一样的
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122750aRcE.jpg)
通讯协议,正常来说为了安全我们要设置仅仅服务器需要的协议才能连接网络,比如dns需要用53去连接外部,mail需要25去连接外部.以最小的网络权限换取一定比例的网络安全比较好.咱们这里只是测试实验,关于安全另外讨论,咱们就所有协议默认出站啦.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122751kFat.jpg)
这个是新东西,启用恶意软件检查,对于用户端来说启用这个比较好,对于服务器来说还是关闭好一点,以防服务器的正常出站被阻拦
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122753KJ9g.jpg)
\规则的来源,选择我们刚才的server组
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611227576WTX.jpg)
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122758CYsO.jpg)
目的选择外部网络
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122760x2ju.jpg)
用户集,咱这里可以设置为domainadmins,也可以设置为默认的所有用户
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122765thLm.jpg)
完成创建
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122768P5fF.jpg)
应用这事
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122770IP3N.jpg)
现在在NS1访问网站ok了,因为我们开放了所有协议,当然我们只开通80和53和442,ns1也能访问外部网站.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122774Pnua.jpg)
2.应用发布 咱们发布个简单的应用,将我们内部的exchange这台mail服务器发布出去.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122780D5iY.jpg)
邮件发布规则名称
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122785paNq.jpg)
发布类型
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611227884VJI.jpg)
客户端访问的类型.pop和smtp和exchange模式
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122791H8ve.jpg)
服务器的ip地址
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122792432H.jpg)
发布到的目的地-外部网络
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122793VIQq.jpg)
完成规则
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122797O0sn.jpg)
应用规则后如图,多了1-5的规则
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611227992aFj.jpg)
3.内部访问策略 新建访问规则
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122801Sx0j.jpg)
通讯为所有通讯
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122803iApb.jpg)
不检查内部的通讯,也可以设置检查
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122804rVFt.jpg)
来源为内部和本地主机
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122806tHP0.jpg)
目的也一样
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611228098yPg.jpg)
所有用户
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122812XKug.jpg)
完成配置
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_1261122814Obfs.jpg)
然后咱们应用并重启服务,看ns1已经能ping通isa了,在没有做这个策略前ns1和mai等其他主机都无法访问互相和ping通,做了策略后大家爱可以看到下面已经ping通了,很多tx也曾经败在这上面好像.呵呵.
![](http://ccfxny.blog.51cto.com/attachment/200912/18/350339_12611228173iF3.jpg)
相关文章推荐
- 2008R2Win7管理三十防火墙TMG2010应用
- Zookeeper系列(三十)Zookeeper场景应用之配置管理中心
- FreeBSD 6.0架设管理与应用-第十二章 NAT 及防火墙
- 商业智能在公安交通管理领域的应用
- 详情ASP.NET状态管理缓存Cache应用(学习)
- 人力资源管理中的大数据应用之道
- java线程池管理多线程的应用
- 使用.net开发手机管理软件 (六) OBEX应用——文件传输部分
- 【实例解析】某水泥企业应用商业智能提升管理效率
- http://www.unigui.com/ 他追求 让开发人员 用 RAD 的思想和手段,快速创建一个管理类型的WEB应用。
- Spring 事务管理高级应用难点剖析--转
- 位运算在用户权限管理中的应用
- JSF在GlassFish管理控制台中的应用
- Linux系统下的NAT及防火墙的混合应用
- jplogic开发案例之应用皮肤界面管理
- 限制篇(5.4) 05. 应用控制 - 限制 QQ 的功能 ❀ 飞塔 (Fortinet) 防火墙
- ExtAspNet应用技巧(十六) - 菜单管理
- GIS在开发空间型CRM(客户关系管理)中的应用
- Hyper-V应用指南之4-虚拟机管理[转]
- 【技术类】【且听我说“镶嵌数据集”】9、大规模影像数据管理及应用