组建ForefrontTMG独立陈列（上）案例介绍与服务器准备

随着计算机与计算机网络的普及与发展&＃xff0c;现在人们越来越离不开网络。这就引出两个问题&＃xff1a;单位的网络规模越来越大、人们对网络的依赖越来越高。在这种情况下&＃xff0c;对于单位的重要出口&＃xff1a;防火墙与代理服务器&＃xff0c;就提出了更高的要求。一方面&＃xff0c;要在保护内部网络安全的前提下&＃xff0c;满足日益增长的网络访问需求&＃xff0c;还要具有一定的容错性。在这种前提下&＃xff0c;推荐大家使用多台Microsoft Forefront TMG 2010企业版组成“陈列”&＃xff0c;以满足企业的需要。

1.1 Microsoft Forefront TMG概述

Forefront TMG 2010是Microsoft最新一代安全产品&＃xff0c;它是集防火墙、代理服务器与安全防御、***检测于一身的产品&＃xff0c;它是ISA Server 2006的升级换代产品&＃xff0c;除了具有ISA Server的所有功能外&＃xff0c;还包括以下新功能&＃xff1a;

Web反恶意软件—可扫描网页以查找病毒、恶意软件和其他威胁。

URL筛选—根据 URL 类别&＃xff08;例如色情内容、毒品、仇恨或购物&＃xff09;允许或拒绝访问网站。 组织不仅可以阻止员工访问包含已知恶意软件的网站&＃xff0c;而且可通过限制或阻止访问干扰网站来确保业务效率。

电子邮件保护订阅服务—Forefront TMG 基于 Forefront Protection 2010 for Exchange Server 中的集成技术来提供电子邮件保护订阅服务。 Forefront TMG 可作为 SMTP 通讯中继&＃xff0c;并且可以扫描网络电子邮件以查找病毒、恶意软件、垃圾邮件和内容&＃xff08;例如可执行文件或加密的文件&＃xff09;。

HTTPS 检查可检查—HTTPS 加密会话&＃xff0c;以确定是否存在恶意软件或漏洞利用情况。 出于隐私考虑&＃xff0c;可以不对特定网站组&＃xff08;如银行网站&＃xff09;进行检查。 进行此项检查时会通知 Forefront TMG 客户端用户。

网络检查系统 (NIS) —可检查通讯&＃xff0c;以确定是否存在利用 Microsoft 漏洞的情况。 NIS 可根据协议分析阻止各类***&＃xff0c;并在最大程度上减少误报情况。 可以根据需要更新保护措施。

增强的网络地址转换 (NAT) —使您能够指定可基于 1 对 1 NAT 发布的单个电子邮件服务器。

增强的 Voice over IP—支持包括 SIP 遍历&＃xff0c;允许在网络内简化 Voice over IP 的部署过程。

支持 64 位的 Windows Server 2008—Forefront TMG 安装在支持 64 位的 Windows Server 2008 上&＃xff0c;不支持32位的Windows Server 2008或32或64位的Windows Server 2003。

Forefront TMG 有 Standard Edition 和 Enterprise Edition 两种版本&＃xff0c;两者的功能与区别如表1所示。

Forefront TMG 阵列提供以下功能&＃xff1a;

ü 高可用性 - 确保 Forefront TMG 部署的持续运行&＃xff0c;包括在部署中的一台或多台 Forefront TMG 服务器停机时。阵列中所有服务器的 Forefront TMG 配置设置都相同&＃xff0c;从而可以在一个或多个阵列成员发生故障转移时提供不间断服务。

ü 可伸缩性 - 满足不断增长的性能需求。例如&＃xff0c;对于越来越多的用户或希望增加其 Internet 活动的用户&＃xff0c;需要额外的网络带宽。随着组织需求的增长&＃xff0c;您可以从单一 Forefront TMG 部署轻松升级到 Forefront TMG 阵列部署&＃xff0c;并增加现有阵列中的成员数目或增加阵列数目。

ü 分布式永久缓存 - 使用最新阵列管理器配置更新所有服务器&＃xff0c;从而使用户能够按需指定新阵列管理器。该信息是永久信息&＃xff0c;会在部署中的一台或多台 Forefront TMG 服务器停机时得以保留。

Forefront TMG 阵列是 Forefront TMG 服务器集合&＃xff0c;这些服务器通过一个管理接口进行集中管理。创建 Forefront TMG 阵列时&＃xff0c;系统将在中心位置存储以下配置设置&＃xff1a;

ü 阵列配置设置&＃xff0c;该设置与阵列中的所有成员相关&＃xff0c;且由所有成员共享。

ü 每个阵列成员的服务器配置设置&＃xff0c;该设置仅与特定阵列成员相关。

Forefront TMG 企业支持两种阵列类型&＃xff1a;

ü 独立阵列 - 根据选择的负载平衡方法&＃xff0c;独立阵列最多可以具有 50 台由一个充当阵列管理器的阵列成员管理的 Forefront TMG 服务器&＃xff1b;有关负载平衡的详细信息&＃xff0c;请参阅对阵列中的 Forefront TMG 服务器实现负载平衡。如果 Forefront TMG 部署在单一逻辑位置且处理中等通讯负载&＃xff0c;请使用此阵列类型。

ü EMS 管理的阵列 - EMS 管理的阵列最多可以具有 200 个 Forefront TMG 阵列&＃xff0c;每个阵列最多包含 50 台由企业管理器服务器 (EMS) 管理的 Forefront TMG 服务器。建立 EMS 管理的阵列后&＃xff0c;您可以复制其设置&＃xff0c;并使用相同设置最多管理 15 个 EMS 管理的阵列&＃xff0c;从而允许对最多 150,000 台 Forefront TMG 服务器进行集中管理。

在《网管员世界》2011年第8期中&＃xff0c;《组建大型***网络》就是介绍使用Microsoft Forefront TMG企业版、组建EMS陈列的方法&＃xff0c;实现的大型***网络。而在本文&＃xff0c;则介绍Forefront TMG独立陈列、为企业网络防火墙与代理服务器功能的应用内容。

1.2 Forefront TMG的独立陈列

本文介绍使用Forefront TMG 2010企业版、组建独立陈列的内容。本文的实验拓扑如图1-1所示。

图1-1 Forefront TMG独立陈列拓扑图

在图1-1中&＃xff0c;由1个4口宽带路由器连接ADSL提供Internet接入能力&＃xff0c;其中4口宽带路由器的外网通过ADSL拨号连接&＃xff0c;内网设置IP地址为192.168.80.2/24&＃xff0c;网络中有3台Forefront TMG 2010的服务器&＃xff0c;计算机名称分别是TMG01、TMG02、TMG03&＃xff0c;其中TMG01作兼做陈列的管理与存储服务器&＃xff0c;另两台Forefront TMG加入到TMG01组成的陈列中。TMG01、TMG02、TMG03的内网地址分别是192.168.100.11、192.168.100.12、192.168.100.13&＃xff0c;外网地址分别是192.168.80.11、192.168.80.12、192.168.80.13&＃xff0c;网关地址是4口宽带路由器的LAN地址&＃xff08;192.168.80.2&＃xff09;&＃xff0c;设置DNS为ADSL宽带接入商提供的DNS&＃xff0c;或者使用路由器的内网地址做DNS&＃xff0c;本例为192.168.80.2。在图1-1中&＃xff0c;在配置好Forefront TMG陈列后&＃xff0c;启用NLB功能&＃xff0c;规划内网NLB地址为192.168.100.10&＃xff0c;外网NLB地址为192.168.80.10。规划好后&＃xff0c;在内网中&＃xff0c;设置IP地址为192.168.100.20&＃xff5e;192.168.100.254、网关地址设置为192.168.100.10、DNS为192.168.80.2即可以根据每个TMG的负载情况进行出口&＃xff08;访问Internet&＃xff09;选择。在4口宽带路由器上映射TCP的80端口到NLB地址192.168.80.10&＃xff0c;并在Forefront TMG陈列中发布“内网”的网站到Internet&＃xff0c;即可以让Internet用户通过“http://4口宽带路由器WAN地址”访问Forefront TMG发布的服务器。

在配置Forefront TMG的陈列时&＃xff0c;需要为第一台陈列服务器申请“服务器证书”并保存到“计算机存储”中&＃xff0c;加入到陈列的其他服务器&＃xff0c;要“信任”为第一台服务器颁发证书的“证书服务器”。

在本次实验中&＃xff0c;服务器1、服务器2、服务器3都已经安装好Windows Server 2008 R2&＃xff0c;并且已经按照图1-1的方式接入到网络。证书服务器已经安装到位。下面介绍主要的操作。

1.3 第1台Forefront TMG的安装配置

在服务器1中&＃xff0c;安装Windows Server 2008 R2&＃xff0c;然后将其改名、安装Forefront TMG 2010&＃xff0c;包括修改计算机名称、安装Forefront TMG、运行Forefront 入门向导、安装证书、为Forefront TMG配置陈列等内容&＃xff0c;下面一一介绍。

1.3.1 修改计算机名称

安装好Windows Server 2008 R2&＃xff0c;修改计算机的名称为TMG01&＃xff0c;如图1-3所示。修改名称之后&＃xff0c;根据提示重新启动计算机。

图1-3 修改计算机名称

1.3.2 安装Forefront TMG

再次进入系统后&＃xff0c;运行Forefront TMG 2010企业版安装程序&＃xff0c;主要步骤如下&＃xff1a;

&＃xff08;1&＃xff09;运行Forefront TMG准备工具&＃xff0c;在“安装类型”页中&＃xff0c;选择“Forefront TMG服务和管理”&＃xff0c;如图1-5所示。

图1-5 安装类型

&＃xff08;2&＃xff09;Forefront TMG准备工具完成之后&＃xff0c;运行Forefront TMG企业版安装程序。在“定义内部网络”中&＃xff0c;选择连接到“局域网”的网卡&＃xff0c;如果连接到“局域网”的网卡地址没有设置&＃xff0c;此时的地址则是169.254.0.0/16中的一个地址&＃xff0c;如图1-6所示。你可以在安装完成Forefront TMG之后进行修改与设置。

图1-6 定义内部网络

&＃xff08;4&＃xff09;Forefront TMG的安装大约需要30&＃xff5e;60分钟的时间。安装完成之后&＃xff0c;进入“入门-网络设置向导”&＃xff0c;在“网络模板选择”页&＃xff0c;选择“边缘防火墙”&＃xff0c;如图1-7所示。

图1-7 网络模板选择

5&＃xff09;在“局域网&＃xff08;LAN&＃xff09;设置”页&＃xff0c;选择连接到LAN的网络适配器&＃xff0c;并且根据图1-1的规划&＃xff0c;设置IP地址&＃xff0c;本例为192.168.100.11&＃xff0c;如图1-8所示。

图1-8 局域网设置

&＃xff08;6&＃xff09;在“Internet设置”页&＃xff0c;选择连接到Internet的网卡&＃xff0c;并且设置网络参数&＃xff0c;在本例中&＃xff0c;设置IP地址为192.168.80.11/24、网关为192.168.80.2&＃xff0c;如图1-9所示。

图1-9 Internet设置

设置完成之后&＃xff0c;关闭入门向导。

1.3.3 为Forefront服务器申请并安装证书

在第1台Forefront TMG服务器中&＃xff0c;申请服务器证书并导出证书、下载根证书文件、在Forefront TMG控制台中安装导出的证书&＃xff0c;主要步骤如下&＃xff1a;

&＃xff08;1&＃xff09;以管理员身份登录证书颁发网站&＃xff08;你可以在网络中的一台计算机中安装Windows Server 2003或2008&＃xff0c;并安装“独立证书服务器”&＃xff09;&＃xff0c;下载CA证书&＃xff0c;在弹出的“文件下载-安全警告”对话框中单击“保存”按钮&＃xff0c;将其保存到本地计算机中&＃xff0c;如图1-10所示。

图1-10 下载并保存CA证书

&＃xff08;2&＃xff09;下载之后&＃xff0c;运行“MMC”控制台程序&＃xff0c;添加“证书-当前用户”与“证书&＃xff08;本地计算机&＃xff09;”管理单元&＃xff0c;然后定位到“证书&＃xff08;本地计算机&＃xff09;→受信任的根证书颁发机构\证书”&＃xff0c;在右侧用鼠标右键单击&＃xff0c;从弹出的快捷菜单中选择“所有任务→导入”&＃xff08;如图1-11所示&＃xff09;&＃xff0c;导入前一步下载的根证书文件。

图1-11 安装证书管理单元

导入之后&＃xff0c;在“受信任的根证书颁发机构\证书”&＃xff0c;显示新添加的受信任的根证书颁发机构的名称&＃xff08;该名称是在你安装根证书服务器的时候设置的&＃xff09;。

导入完成之后&＃xff0c;先不要关闭该控制台&＃xff0c;稍后还会用到。

【说明】在网络中另外两台Forefront TMG服务器中&＃xff0c;也要导入该根证书文件。你可以使用MMC管理控制台添加&＃xff0c;也可以在加入Forefront TMG陈列时添加。

&＃xff08;3&＃xff09;返回到证书申请网页&＃xff0c;申请名为TMG01的“Web服务器”证书&＃xff0c;并且选中“标记密钥为可导出”&＃xff0c;如图1-14所示。申请证书之后&＃xff0c;安装该证书。

图1-14 申请服务器证书

在申请并安装证书之后&＃xff0c;新申请的证书会保存在“证书-当前用户”存储中&＃xff0c;用于服务器通讯的证书&＃xff0c;应该保存在“证书&＃xff08;本地计算机&＃xff09;”存储中&＃xff0c;接下来我们要从“证书-当前用户”存储中导出、然后导入到“证书&＃xff08;本地计算机&＃xff09;”存储中。

&＃xff08;1&＃xff09;定位到“证书-当前用户→个人→证书”&＃xff0c;在右侧选中新安装的证书&＃xff0c;用鼠标右击&＃xff0c;在弹出的快捷菜单中选择“所有任务→导出”。

&＃xff08;2&＃xff09;在弹出的“导出私钥”对话框中&＃xff0c;选中“是&＃xff0c;导出私钥”。在随后的对话框中&＃xff0c;为导出的私钥设置一个密码&＃xff0c;并将其导出到一个文件。

&＃xff08;3&＃xff09;然后定位到“证书&＃xff08;本地计算机&＃xff09;→个人\证书”&＃xff0c;在右侧用鼠标右键单击&＃xff0c;从弹出的快捷菜单中选择“所有任务→导入”。

图1-17 导入证书

&＃xff08;4&＃xff09;在随后的向导中&＃xff0c;选择上一步导出的证书文件&＃xff0c;并键入密码&＃xff0c;导入前面导出的证书。

1.3.4 添加陈列服务器计算机

进入Forefront TMG管理控制台&＃xff0c;将要加入陈列服务器的计算机的IP地址&＃xff0c;添加到“复制配置存储服务器”及“陈列服务器”中&＃xff0c;主要步骤如下&＃xff1a;

&＃xff08;1&＃xff09;在“防火墙策略”中&＃xff0c;在右侧的“工具箱→网络对象→计算机集”中&＃xff0c;双击“复制配置存储服务器”&＃xff0c;如图8-10所示。

图8-10 计算机集

&＃xff08;2&＃xff09;在“复制配置存储服务器 属性”页中&＃xff0c;添加另陈列中所有服务器的IP地址&＃xff0c;如图8-11所示。

图8-11 复制配置存储服务器

&＃xff08;3&＃xff09;然后在图8-11中&＃xff0c;双击“陈列服务器”&＃xff0c;进入“陈列服务器 属性”页&＃xff0c;添加陈列中所有服务器的IP地址&＃xff08;只添加内网地址即可&＃xff09;&＃xff0c;如图8-12所示。

图8-12 配置陈列服务器

&＃xff08;4&＃xff09;在图8-11中&＃xff0c;双击“远程管理计算机”&＃xff0c;添加用于远程管理Forefront TMG计算机的地址&＃xff0c;在本例中&＃xff0c;同样添加陈列服务器地址到列表中&＃xff0c;如图8-13所示。

图8-13 远程管理计算机

1.3.5 配置镜像帐户

在基于工作组的Forefront TMG陈列中&＃xff0c;需要配置镜像帐户用于陈列间成员通讯&＃xff0c;在本例中&＃xff0c;将管理员帐户Administrator添加到镜像帐户列表中&＃xff0c;例如如下&＃xff1a;

&＃xff08;1&＃xff09;在Forefront TMG管理控制台中&＃xff0c;定位到“Forefront TMG&＃xff08;TMG01&＃xff09;”节&＃xff0c;在右侧的“任务”窗格中单击“配置陈列属性”链接&＃xff0c;如图8-14所示。

图8-14 配置陈列属性

&＃xff08;2&＃xff09;进入“TMG01 属性”对话框后&＃xff0c;在“陈列内凭据”选项卡中单击“设置帐户”按钮&＃xff0c;如图8-15所示。

图8-15 陈列内凭据

&＃xff08;3&＃xff09;在弹出的“设置帐户”对话框中&＃xff0c;键入Administrator及密码。

&＃xff08;4&＃xff09;在“分配角色”选项卡中&＃xff0c;添加Administrator帐户到“允许访问配置存储并监视陈列的用户和组”及“允许监视此陈列的用户&＃xff08;镜像帐户&＃xff09;”列表中&＃xff0c;并且将添加的Administrator帐户的“角色”设置为“Forefront TMG陈列管理员”&＃xff0c;如图8-18所示。

图8-18 分配角色

&＃xff08;5&＃xff09;配置完成后&＃xff0c;返回到Forefront TMG控制台&＃xff0c;单击“应用”按钮&＃xff0c;让设置生效。

&＃xff08;6&＃xff09;修改本机的hosts文件&＃xff08;其他两台Forefront TMG也要修改&＃xff09;&＃xff0c;添加以下几行&＃xff1a;

192.168.100.11 TMG01

192.168.100.12 TMG02

192.168.100.13 TMG03

候改之后保存退出。