前兩天給客戶做tmg 2010的遷移,使用過isa的朋友都知道,tmg是微軟企業安全產品threat management gateway的縮寫。tmg2010,需要執行在64位作業系統上,是forefront安全產品stirling的重要組成部分,是isa2006的公升級產品。threat management gateway的含義是威脅管理閘道器。
其實本專案很簡單,只是把內網中的exchange server 2010發布出來,供外網使用者訪問即可,一般的拓撲圖很簡單,如下圖所示:
按照一般的流程:
1 安裝os: windows server 2008 r2
2 安裝 tmg server2010
3 匯出 isa 2006上的證書和策略
4 tmg上進行證書和策略的匯入
然後,進行測試,一切ok。正準備凱旋返回,甲方突然要求說,tmg的內網不能使用10.68.1.0網段,以後這個這網有特殊用途,推薦使用10.68.100.0網段。這樣一來,拓撲圖就發生了變化,如下圖所示:
其他地方都不變,只是tmg的網路需要做適當調整。在此,相當於tmg2010的內網有兩個網段,需要把10.68.100.0/24和10.68.1.0/24加到內網中,一般在tmg伺服器的內網網絡卡不要配置預設閘道器,而要使用靜態路由表來連線內網的不同網段,預設閘道器一般配置在外網網絡卡上。tmg伺服器如果有多個預設閘道器,會影響tmg伺服器判斷路由跳數。
如果tmg2010伺服器加入了域,一般在tmg伺服器的內網網絡卡配置dns伺服器,tmg伺服器的外網網絡卡最好不要配置dns伺服器,否則tmg伺服器可能會無法聯絡域控制器。
但注意內網沒有設定預設閘道器,只在外網設定預設閘道器,如下圖所示:
還需要手動為內網網段增加路由,使用下面的命令:
如果希望永久生效可以加-p引數,如下所示:
route add 10.68.1.0 mask 255.255.255.0 10.68.100.254 –p
再檢視路由表:
當然,也可以通過tmg的入門嚮導來實現,如下圖所示:
tmg會根據所填條目自動生成路由項,這個也比較方便。另外,需要注意的是,為了測試方便,建議先禁用系統內建的防火牆。以上,只是我們在實施中的需要注意的地方,留下備用。
在TMG 2010中選擇出口線路
在tmg 2010中選擇出口線路 今天有個朋友問我,他使用forefront tmg 2010做防火牆,在tmg的 外網 網絡卡繫結了兩個ip位址 202.x.y.171 202.x.y.172 內網有臺exchange的郵件伺服器,他想讓內網中的計算機,使用202.x.y.171的位址訪問inte...
在TMG2010中發布Web伺服器場
圖1 web伺服器場網路拓撲 在圖1中,web伺服器1與2分別有一電介面與光介面網絡卡,每個網絡卡都設定了乙個不同的ip位址,閘道器位址是172.30.5.253。在本例中,伺服器1與伺服器2提供 伺服器,其服務埠是tcp的2221,發布到internet時,其 名稱為test.heuet.com。...
在TMG2010中發布Web伺服器場
圖1 web伺服器場網路拓撲 在圖1中,web伺服器1與2分別有一電介面與光介面網絡卡,每個網絡卡都設定了乙個不同的ip位址,閘道器位址是172.30.5.253。在本例中,伺服器1與伺服器2提供 伺服器,其服務埠是tcp的2221,發布到internet時,其 名稱為test.heuet.com。...