来自于ISA2008的帮助文件.
 
Microsoft Forefront Threat Management Gateway 可以安装在具有单一网络适配器的计算机上。 通常,当 Forefront TMG 位于公司内部网络或位于外围网络而网络边缘有另一防火墙时使用此配置,防止公司资源受到来自 Internet 的攻击。
在具有单一网络适配器的计算机上安装 Forefront TMG 时,Forefront TMG 只意识到以下两个网络:
  • 代表 Forefront TMG 计算机本身的本地主机网络。

  • 包含不属于本地主机网络的所有单播 IP 地址的内部网络。
在此配置中,当内部客户端浏览 Internet 时,Forefront TMG 将查看 Web 请求属于内部网络时的源地址和目标地址。 没有外部网络的概念。 Microsoft 防火墙服务和应用程序筛选器只能在本地主机网络的上下文中进行操作。 (在所有方案中,Forefront TMG 都会保护其自身。) 由于防火墙服务和应用程序筛选器在本地主机网络的上下文中进行操作,因此可以使用访问规则来允许非 Web 协议通过 Forefront TMG 服务器。

安装和配置

在具有单一网络适配器的计算机上安装时,应为内部网络配置所有 IP 地址范围,但以下地址除外:
  • 0.0.0.0

  • 255.255.255.255

  • 127.0.0.0-127.255.255.255(本地主机)

  • 224.0.0.0-254.255.255.255(多播)

安装之后,运行入门向导并选择单一网络适配器模板。
请注意,系统不支持将网络适配器配置为使用两个 IP 地址或使用被禁用的第二个网络适配器。

受支持的方案

运行具有单一适配器的 Forefront TMG 时,支持以下方案:
  • 使用 HTTP、HTTPS 或 FTP(用于下载)转发 Web 代理请求。

  • 缓存 Web 内容,以供公司网络上的客户端使用。

  • Web 发布,以保护发布的 Web 或 FTP 服务器。

  • Microsoft Office Outlook Web Access 2007、ActiveSync(R) 和通过 HTTP 发布的远程过程调用 (RPC)。

  • 远程 VPN 客户端访问。

转发 Web 代理和缓存

可以将 Forefront TMG 部署为转发代理和缓存服务器。 在此配置中,Forefront TMG 代理从内部客户端到远程网络(如 Internet)的请求。 如果启用了缓存,Forefront TMG 将维护频繁请求的 Internet 对象缓存,以便为 Web 浏览器客户端提供最优访问。 在此方案中,请注意以下几点:
  • 只支持 Web 代理请求。

  • 应使用源地址对允许通过 Forefront TMG 计算机访问客户端的访问规则进行配置,这些源地址只使用真实的内部 IP 地址。这是必需的,因为除环回地址外,每个 IP 地址都被视为内部网络的一部分。 目标地址应指定内部网络或特定地址。

  • Web 代理客户端无法访问 HTTP 和 FTP 下载以外的协议。

  • 若要通过 Forefront TMG 计算机本身访问 Internet,必须修改系统策略规则或创建从本地主机网络到内部网络的访问规则。 即使在单一网络适配器配置中,Forefront TMG 也要防止其自身受到来自内部网络的攻击,需要创建规则来控制两个网络之间的通讯。

  • 当 Forefront TMG 具有单一网络适配器且位于另一边缘防火墙后面时,缓存将按如下方式工作:Web 代理客户端将 URL 请求发送到 Forefront TMG 服务器。Forefront TMG 会检查是否可以从缓存中提供 Web 对象。 如果该页未缓存或已过期,Forefront TMG 将通过边缘防火墙发出 Internet 请求。 边缘防火墙按照其访问设置处理 Forefront TMG 请求。 如果请求被批准,则对象将通过边缘防火墙返回到 Forefront TMG,根据缓存设置将对象放置在其缓存中,并将缓存对象转发到 Web 代理客户端。

Web 发布和 Outlook Web Access 发布

可以通过 HTTP 或 HTTPS 发布 Web 服务器和 Outlook Web Access 服务器。 可以对传入的请求进行身份验证,并将请求链到上游代理。在单一网络适配器计算机上发布 Outlook Web Access 时,可以使用以下 Outlook Web Access 功能:
  • 标准 Outlook Web Access 功能,如发送和接收电子邮件、日历以及其他功能

  • Exchange Outlook Mobile Access、ActiveSync 和 HTTP 上的 Outlook RPC

  • 基于窗体的身份验证

不支持的方案

单一网络适配器配置中存在许多功能限制:
  • 应用程序层检查 - 应用程序级筛选不起作用,但 HTTP、HTTPS 和通过 HTTP 通讯的 FTP 的 Web 代理筛选器除外。

  • 服务器发布 - 不支持服务器发布。 由于内部网络与外部网络没有分离,因此 Forefront TMG 不能提供服务器发布方案所需的 NAT 功能。

  • 防火墙客户端 - 防火墙客户端应用程序处理来自使用防火墙服务的 Winsock 应用程序的请求。 在单一网络适配器环境下,此服务只有在本地主机网络的上下文中才可用(保护 Forefront TMG 计算机),并且不支持防火墙客户端请求。

  • SecureNAT 客户端 - SecureNAT 客户端将 Forefront TMG 用作到 Internet 的路由器,并由防火墙服务处理请求。 在单一网络适配器环境下,此服务只有在本地主机网络的上下文中才可用(保护 Forefront TMG 计算机),并且不支持 SecureNAT 客户端请求。

  • 虚拟专用网络 (VPN) - 在单一网络适配器方案中不支持点对点 VPN。