Назад | Перейти на главную страницу

Общая конфигурация сети / прокси Forefront TMG 2010

Мы решили протестировать, а затем развернуть сервер Forefront TMG в нашей сети из 50-75 пользователей (Windows 7, клиенты XP, серверы Windows Server 2008R2 и несколько Linux Box)

Наша сетевая топология:

4 этажа (4 сетевых коммутатора)> подключен к коммутатору ядра в нашей серверной комнате> коммутатор ядра подключен к нашему маршрутизатору Cisco на FA 0/1> маршрутизатор Cisco FA 0/0 подключен к нашему интернет-провайдеру (WAN).

В настоящий момент наш DHCP работает на нашем маршрутизаторе cisco, и он также является шлюзом по умолчанию для нашей локальной сети: Шлюз по умолчанию: 192.168.1.1

Мой вопрос:

Сервер TMG имеет 2 сетевых адаптера (один подключен к нашему коммутатору локальной сети - TMG NIC IP: 192.168.1.200)

Во время установки Forefront TMG я добавил диапазон 192.168.1.1 - 192.168.1.254 для выбора адаптера во время установки,

После завершения установки, как мне перенаправить своих клиентов, чтобы весь сетевой и интернет-трафик шел через TMG NIC 192.168.1.200

Какой IP мне назначить второй сетевой карте на сервере TMG?

Куда должен быть подключен этот второй сетевой адаптер?

Должен ли я разместить сервер TMG с DUAL NICS между нашим основным коммутатором LAN и маршрутизатором или за основным коммутатором?

Будем благодарны за вашу помощь в этом, мы будем использовать это для фильтрации контента, веб-блокировки и других функций.

Спасибо за прочтение !


Спасибо за ответ: у меня сейчас более трех вопросов :-)

Q.1: Если у меня есть 3 подключения к Интернет-провайдеру и 4NICS на нашем сервере TMG, могу ли я подключить их все и использовать TMG Load-Balance / Failover?

В.2: Может ли TMG установить соединение PPPOE? say Все 3 провайдера требуют, чтобы мы набрали PPPOE - можно ли настроить это для каждого nic?

Q.3: У нас также есть маршрутизатор Cisco, действующий в качестве нашего WAN-маршрутизатора на данный момент, подключенный только к 1 ISP. Когда я настраиваю TMG для балансировки нагрузки всех 3 WAN, я должен просто удалить cisco из топологии или как мне подключить TMG а Cisco? Немного запутался - буду признателен, если поможете в этом - если это возможно.

В.4: Если бы у меня был ТОЛЬКО 1 (ОДИН) Nic на нашем сервере TMG, подключился бы он к нашему коммутатору LAN, а затем мы бы указали его адрес на наших клиентах W7 / XP, чтобы он действовал как кэширующий сервер / веб-фильтр?

В.5: Как мы маршрутизируем весь внутренний интернет-трафик так, чтобы он проходил только через наш TMG-сервер - если бы мы использовали это только для кэширования и веб-фильтрации?

Еще раз спасибо за ваш ответ - я просто тестирую это в данный момент, я установил AD 2008R2 Box, TMG присоединен к домену и имеет 4 сетевые карты, установленные и настроенные. TMG в настоящее время подключен к нашему коммутатору LAN

Вам понадобится вторая сетевая карта в другой подсети, чтобы маршрутизация Windows была счастливой. Затем TMG выполняет NAT между внутренней и внешней подсетями (в любом случае с использованием схемы Edge).

Чтобы протолкнуть весь трафик через ящик TMG, укажите клиентам его как шлюз по умолчанию. Скорее всего, это будет довольно серьезное изменение в том, как работает сеть на данный момент, поэтому имейте стратегию отката.

Чтобы сделать это проще всего (но со значительным изменением), переключите текущий D.G. в другую подсеть (скажем, подсеть 10.x, чтобы она была красивой и визуально дифференцированной), подключите другой адаптер TMG к этой подсети и разрешите TMG считать эту подсеть внешней (т. е. не включать ее как «внутреннюю») сеть) - так что угодно не в текущем определенном диапазоне внутренних IP-адресов будет считаться потенциально враждебным. (Или, по крайней мере, внешний; TMG не доверяет внутренним сетям безоговорочно).

Сеть 10.x по сути становится своего рода DMZ - ваш маршрутизатор (я предполагаю, что в настоящее время NAT-соединение с интернет-провайдером) может пересылать входящие запросы на внешний интерфейс на блоке TMG, а политика брандмауэра TMG будет контролировать весь входящий и исходящий трафик 192.168.1.x сеть.

Для простоты миграции, если вы пойдете с этим, внутренний интерфейс TMG должен принять старый IP-адрес маршрутизатора, то есть уже настроенный шлюз по умолчанию для клиентов.

Для расширенного использования в Интернете, то есть для проверки подлинности, если требуется, настройте WPAD, чтобы клиенты явно знали о прокси.

В качестве альтернативы, оставьте все как есть, игнорируйте вторую сетевую карту и используйте TMG в качестве явного веб-прокси, настроенного либо как http: // tmg: 8080 на клиентах или через WPAD. Он не будет выполнять фильтрацию содержимого всей сети, но он, по крайней мере, будет выполнять сканирование веб-трафика в этой конфигурации и даст вам время для более полного ознакомления с ним, прежде чем приступить к массовому отключению.

Еще лучше протестируйте предполагаемую настройку с помощью лаборатории или виртуальных машин.

Просто мысль.

редактировать: Еще один очень, очень общий совет: в какой-то момент у вас возникнет соблазн создать правило, которое гласит: «Разрешить все в любом месте в любое время». Если вы поддались этому искушению, убедитесь, что вы исключить в Локальный хост сеть из него, так что по крайней мере TMG все еще выполняет некоторую локальную фильтрацию пакетов для защиты от неприятных внутренних / внешних клиентов. (NAT имеет тенденцию заботиться о большей части входящего трафика извне, но всегда есть внешняя неправильная конфигурация, о которой нужно беспокоиться).

Если вы хотите, чтобы TMG могла подключаться к чему-либо или быть подключенной к чему-либо, System Policy - это то, где это можно сделать. И еще один совет: если вы не разрешаете какие-либо входящие подключения к TMG, кроме RDP, вы в основном * сможете игнорировать * большинство * обновлений безопасности *, которые выпущены *. Что приятно для времени безотказной работы. Плюс! NIS получает обновления при выпуске бюллетеней MSRC, так что там тоже есть дополнительный уровень защиты. Только не успокаивайтесь.

'* - не делайте этого.