Forefront TMG использует концепцию множественных сетей. Чтобы определить сетевую топологию, можно создать сети в Forefront TMG. После создания всех необходимых сетей нужно выстроить взаимоотношения между ними в форме сетевых правил. Forefront TMG поддерживает два типа сетевых правил:
Route - сетевое правило типа Route создает двунаправленное сетевое подключение между двумя сетями, которые передают оригинальные IP адреса между этими сетями.
NAT - сетевое правило типа NAT (трансляция сетевых адресов - Network Address Translation) создает однонаправленное сетевое подключение между двумя сетями, которое маскирует IP адреса сетевых сегментов под IP адрес соответствующего сетевого адаптера Forefront TMG.
После создания сетей и сетевых правил нужно создать правила брандмауэра, которые будут разрешать или блокировать сетевой трафик между подключенными сетями.
Сетевые шаблоны
Чтобы облегчить настройку Forefront TMG, в TMG имеются сетевые шаблоны, которые позволяют создавать типичные сценарии брандмауэра. Также можно изменять структуру сети после первичной установки. Вам лишь нужно запустить мастера Getting Started Wizard в консоли управления TMG Management. На следующем рисунке показано место расположения мастера Launch Getting Started Wizard.
Рисунок 1: Мастер Forefront TMG Getting Started Wizard
Настройка сетевых параметров
Мастер Launch Getting Started Wizard позволяет вам выбирать требуемый шаблон сети. Forefront TMG идет с четырьмя сетевыми шаблонами:
- Пограничный брандмауэр (Edge Firewall)
- Трехзонная конфигурация сервера (3-Leg perimeter)
- Внутренний межсетевой экран (Back firewall)
- Один сетевой адаптер (Single network Adapter)
Пограничный брандмауэр (Edge Firewall)
Шаблон Edge Firewall является классическим сетевым шаблоном и подключает внутреннюю сеть к интернету, защищенную Forefront TMG. Типичный шаблон Edge Firewall требует как минимум двух сетевых карт на сервере Forefront TMG Server.
Трехзонная конфигурация сервера (3-Leg Perimeter)
Экран 3-Leg Perimeter – это сервер Forefront TMG с тремя и более сетевыми адаптерами. Один сетевой адаптер подключает внутреннюю сеть, другой – внешнюю, а третий – демилитаризованную зону (DMZ - Demilitarized Zone), также называемую сетью периметра (Perimeter Network). Сеть Perimeter содержит службы, которые должны быть доступны из интернета, но также должны быть защищены Forefront TMG. Типичными службами в DMZ являются веб серверы, DNS серверы или WLAN сети. Брандмауэр 3-Leg Perimeter часто называют «Брандмауэром бедного человека» ('Poor Man's Firewall'), поскольку это не совсем DMZ. Настоящая DMZ представляет собой зону между двумя рекомендованными межсетевыми экранами разных брендов.
Внутренний межсетевой экран (Back firewall)
Шаблон Back Firewall может использоваться администраторами Forefront TMG, когда forefront TMG расположен за внешним сетевым экраном (Front Firewall). Внутренний сетевой экран защищает внутреннюю сеть от доступа из зоны DMZ и внешней сети и управляет тем, какой трафик разрешен с узлов DMZ и внешнего сетевого экрана.
Примечание: Forefront TMG не имеет встроенного сетевого шаблона Front Firewall
Один сетевой адаптер (Single Network Adapter)
Шаблон Single Network Adapter имеет определенные ограничения, так как Forefront TMG сервер с одним лишь адаптером не может использоваться в качестве действительного брандмауэра, слишком много служб недоступно. Только следующие функции будут доступны:
- Пересылка Web Proxy запросов, использующих HTTP, Secure HTTP (HTTPS) или File Transfer Protocol (FTP) для загрузки
- Кэширование Web контента для использования клиентами корпоративной сети
- Web публикация для защиты опубликованных Web или FTP серверов
- Microsoft Outlook Web Access, ActiveSync и публикация протокола вызова удаленных процедур (RPC) через HTTP (также называемая Outlook Anywhere в Exchange Server 2007 и выше)
Рисунок 2: Выбор сетевого шаблона
Следующим шагом будет выбор сетевых адаптеров, которые должны использоваться с выбранным шаблоном. Например, я использовал шаблон Edge Firewall, поэтому мне нужно указать, какой сетевой адаптер будет подключен к LAN, а какой – к внешней сети.
Рисунок 3: Выбор сетевого адаптера
В Forefront TMG теперь можно указывать дополнительные маршруты сети (network routes) в UI. Вам не нужно использовать команду Route add в командной строке. На следующем снимке показана стандартная сеть, созданная установкой Microsoft Forefront TMG. Только внутренняя сеть имеет возможность настройки диапазона IP адресов.
Рисунок 4: Сети Forefront TMG
Forefront TMG идет со встроенными сетевыми правилами, которые определяют сетевые взаимоотношения между сетями.
Рисунок 5: Сетевые правила Forefront TMG
Также новым в Microsoft Forefront TMG является встроенная возможность определения некоторых основных параметров сетевого адаптера, например, IP адреса, основной шлюз и т.д.
Рисунок 6: Сетевые адаптеры Forefront TMG
На следующем снимке показаны опции конфигурации сетевых адаптеров TMG.
Рисунок 7: Свойства IP адреса Forefront TMG
В Forefront TMG теперь можно создавать новые сетевые маршруты с помощью консоли управления TMG.
Рисунок 8: Сетевые маршруты Forefront TMG
На следующем снимке показан пример диалога создания нового маршрута Network Topology.
Рисунок 9: Forefront TMG ' Создание нового маршрута Network Topology
Новые сети в TMG
Можно создавать дополнительные сети в Forefront TMG. Forefront TMG идет со встроенным мастером создания новых сетей.
Рисунок 10: Forefront TMG ' Имя новой сети
Новые сети можно создавать для различных областей. Например, можно создавать новую сеть для дополнительной зоны DMZ на Microsoft Forefront TMG
Рисунок 11: Forefront TMG ' Указание типа сети
Указание диапазона IP адресов для новой сети.
Рисунок 12: Forefront TMG ' диапазон IP адресов
После создания новой сети нужно связать ее с существующим сетевым правилом или можно создать новое сетевое правило по типу Route или NAT.
Экспорт и импорт сетевых дефиниций
Можно экспортировать сети и сетевые настройки Forefront TMG в XML файл с помощью встроенных возможностей экспорта и импорта Forefront TMG.
Рисунок 13: Forefront TMG ' экспорт и импорт сетевых дефиниций
Заключение
В этой статье я попытался дать обзор тому, как использовать сети, сетевые шаблоны и сетевые правила в Forefront TMG для создания топологии вашей сети в TMG. Как мы видели в статье, довольно просто создавать сетевую топологию с помощью сетевых шаблонов. Forefront TMG имеет ряд полезных усовершенствований, связанных с конфигурацией сети. Замечательно то, что администраторы TMG теперь имеют возможность создавать сетевые маршруты с помощью консоли TMG Management, и что можно настраивать основные параметры IP адресации в консоли TMG. Большинство остальных параметров осталось неизменным со времен Microsoft ISA Server 2006.
Дополнительные ссылки