资源预览内容
第1页 / 共32页
第2页 / 共32页
第3页 / 共32页
第4页 / 共32页
第5页 / 共32页
第6页 / 共32页
第7页 / 共32页
第8页 / 共32页
第9页 / 共32页
第10页 / 共32页
亲,该文档总共32页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
联系我:shanhuiyanggmail.comTMG配置文档目录一TMG的安装和初始化配置.2二创建访问规则.15三发布内部网站.17四开放远程桌面到内部主机21五建立VPN站点,允许外网拨入23六两个VPN站点的连接.25一TMG的安装和初始化配置 插入TMG的安装光盘,运行安装程序,如图图 1单击install forefront TMG,开始安装,单击next,接受协议许可。在图2中输入相关信息和序列号,单击next图 2在图3中选择install forefront threat management gateway,单击next图 3在图4中,选择需要安装的组件,在这里我们全部都选上,单击next图 4在图5中,添加内部网络的IP地址范围,单击ok图 5在出现的service warning中单击next,然后单击install,开始安装,如图6,图7,图8图 6图 7图 8完成安装后,单击finish,然后开始对TMG进行一些初始配置,如图9,单击configure network setting。图 9在欢迎页面中单击“下一步”,在图10中,选择网络架构模型,这里我选择edge firewall。图 10在图11中,选择连接到内部局域网的网卡,并设置其网络参数,可根据实际情况设置。图 11单击“下一步”,在图12中,选择连接到Internet的网卡,并设置其网络参数图 12单击“下一步”,再单击完成接下来进行系统设置,在图13中单击“configure system setting”图 13在欢迎界面中,单击“下一步”,在图14中设置你所在的网络环境。图 14单击下一步,设置一些选项如图15图 15这些设置很简单,最后单击“完成”。图 16在图17中单击“close”运行web访问向导。图 17在欢迎界面中单击next,在图18中选择是否对http传输进行web反病毒扫描图 18单击“下一步”,在图19中选择是否对所有用户应用一条策略,还是针对不同用户应用不同策略图 19单击“下一步”在此添加不允许内部人员访问的网站。如图20.图 20添加好后单击“下一步”在非法软件识别设置页,选择检查来自Internet的Web内容请求,从而为创建的 Web 访问规则启用非法软件扫描,点击下一步图 21在图22中选择是否启用缓存图 22单击“下一步”,再单击完成,到此TMG的安装和初始化配置已经结束,且内部客户端已经可以访问外部网站。图 23二创建访问规则这里以开放ftp为例,介绍如何创建访问规则。首先打开TMG的控制台单击左侧的“firewall policy”再单击右侧的“create access rule”。图25 图24在弹出的欢迎对话框中为这条规则取一个便于理解的名字,单击“下一步”,在图26中选择是允许还是拒绝满足条件的通信,这里当然选择允许。图26在接下来的对话框里选择我们想要开放的协议,这里选择ftp如图27(这里没必要选上ftp server),如单击“add”,列表中没有我们想要的协议,可以单击“new”来新建一个协议,选则要开放的端口就行了。图27接着在“access rule sources”中添加“internal”,在“access rule destination”中添加“external”,在“user sets”中保持默认的“all users”。然后单击“完成”,在单击“应用”我们的ftp规则就创建好了。图28三发布内部网站下面介绍如何发布内部资源到外网,以发布web网站为例,在图24中单击“firewall policy”,在对话框右边单击“publish web sites”,同样需要为这条规则取一个名字,单击“下一步”选择“允许(allow)”在如图29中,选者是要发布单个网站,还是一个web场,或是多个网站。若要发布一个web场,需要在TMG上建立一个web场。这里以发布一个web站点为示例。图29在图30中,选择TMG与内部web服务器以什么方式连接,图30在图31中填入要发布的web站点在内部的站点名,也可以再填入web服务器的内部的IP地址。图31若我们并不是要把整个网站全部发布出去,这可以在图32中填入要发布的内容的路径图32在图33中我们需要填入网站对外的主机名,这个名字要能被解析到TMG的外网网卡的ip图33接下来我们需要为网站创建一个侦听器,来侦听外部的请求。在图34中单击“new”,来创建侦听器。图34在图35中选择侦听的ip地址,即TMG的外网网卡的ip。图35设置好侦听器后,在接下来的验证设置(authentication settings)对话框选择无验证(no authention),两次单击“下一步”,在单击“完成”,最好单击“应用”,web站点就发布出去了,不过这样还有一个问题,就是外部只能通过我们对外的站点名来访问,而不能通过TMG外网ip地址来访问,虽然网站主机名要解析到TMG的外网IP.这需要对我们刚才创建的规则的属性进行设置,这里就不演示了。四远程桌面到内部主机使外部能通过远程桌面连接到内部主机,这和发布web站点很相似,而且简单的多,我们只需要在内部主机上允许远程桌面,然后在TMG上配置端口转发就可以了。具体过程如下:同样在图24中单击“firewall policy”,在图25中单击“publish non-web server protocols”然后为这条规则取一个名字,然后在图36中填入要开放的内部主机的IP地址。图36在图37中选择RDP协议图37单击“下一步”,为远程桌面选择侦听的IP地址。图38单击“ok”,然后按照提示完成配置。五建立vpn站点,允许外网拨入有时需要通过internet来管理内网主机和资源。VPN提供了一种安全简单的解决方案。下面介绍如何配置TMG来实现VPN接入。在图39中单击“virtual private network(VPN)” 图39然后单击右侧的“define address assignment”如图40 图40 在弹出的对话框中添加为拨入的vpn客户端分配的IP地址,和网关,DNS等网络参数,可以是静态分配和动态获取。如图41图41单击确定,然后在右侧如图42中单击“configure VPN client access”图42在弹出的如图43的对话框中,在“general”选项卡中,勾选“enable VPN client access”并填入允许的最大VPN客户端数目。图43单击确定,即完成TMG的配置,要能拨入VPN,所使用的账户必须有拨入的权限六两个VPN站点的连接通过TMG可以实现两个站点的VPN连接,这需要分别在两个TMG网关上建立一个对方的VPN站点。下面介绍如何实现。同样在图39中单击“VPN”,然后选择窗口中部的“remote sites” 如图44图44图45然后单击右侧的“create VPN site-to-site connection”如图45弹出图46的对话框,为VPN站点取一个名字图47在下一步里选择VPN站点之间的通讯协议,这里选择L2TP。图48需要注意的是当选择L2TP,或PPTP时,需要在我的的站点里创建一个和刚才建立的网络名相同且具有拨入权限的帐号。如图49的警示框图49点击“确定”在图50中,选择由哪台服务器来负责VPN连接,当然在我的环境里只有一个选择图50单击“下一步”,在图51,填入对方的外网IP地址图51在图52填入一个用户名和密码,这个用户名必须存在于对方的站点里,并且用户名要和对方为我们建立的网络名相同。图52单击“下一步”,在图53中选择验证方式,这里选择“欲共享密钥”,输入密钥图53在图54里添加对方内网IP的地址范围图54在图55里根据对方是否启用NLB选择。图55在图56中将创建一条两个站点通讯的路由规则图表56在图57中将创建一条允许两个站点通讯的规则,当然要选择“all outbound traffic”图57单击“下一步”,点击“完成”,完成VPN站点的创建。这时还需要在对方的TMG上做相同的设置,注意通信协议,验证协议,和预共享密钥都必须相同。 11 / 32
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号