随着计算机与计算机网络的普及与发展,现在人们越来越离不开网络。这就引出两个问题:单位的网络规模越来越大、人们对网络的依赖越来越高。在这种情况下,对于单位的重要出口:防火墙与代理服务器,就提出了更高的要求。一方面,要在保护内部网络安全的前提下,满足日益增长的网络访问需求,还要具有一定的容错性。在这种前提下,推荐大家使用多台Microsoft Forefront TMG 2010企业版组成“陈列”,以满足企业的需要。

1.1 Microsoft Forefront TMG概述

Forefront TMG 2010是Microsoft最新一代安全产品,它是集防火墙、代理服务器与安全防御、入侵检测于一身的产品,它是ISA Server 2006的升级换代产品,除了具有ISA Server的所有功能外,还包括以下新功能:

Web反恶意软件—可扫描网页以查找病毒、恶意软件和其他威胁。

URL筛选—根据 URL 类别(例如色情内容、毒品、仇恨或购物)允许或拒绝访问网站。 组织不仅可以阻止员工访问包含已知恶意软件的网站,而且可通过限制或阻止访问干扰网站来确保业务效率。

电子邮件保护订阅服务—Forefront TMG 基于 Forefront Protection 2010 for Exchange Server 中的集成技术来提供电子邮件保护订阅服务。 Forefront TMG 可作为 SMTP 通讯中继,并且可以扫描网络电子邮件以查找病毒、恶意软件、垃圾邮件和内容(例如可执行文件或加密的文件)。

HTTPS 检查可检查—HTTPS 加密会话,以确定是否存在恶意软件或漏洞利用情况。 出于隐私考虑,可以不对特定网站组(如银行网站)进行检查。 进行此项检查时会通知 Forefront TMG 客户端用户。

网络检查系统 (NIS) —可检查通讯,以确定是否存在利用 Microsoft 漏洞的情况。 NIS 可根据协议分析阻止各类攻击,并在最大程度上减少误报情况。 可以根据需要更新保护措施。

增强的网络地址转换 (NAT) —使您能够指定可基于 1 对 1 NAT 发布的单个电子邮件服务器。

增强的 Voice over IP—支持包括 SIP 遍历,允许在网络内简化 Voice over IP 的部署过程。

支持 64 位的 Windows Server 2008—Forefront TMG 安装在支持 64 位的 Windows Server 2008 上,不支持32位的Windows Server 2008或32或64位的Windows Server 2003。

Forefront TMG 有 Standard Edition 和 Enterprise Edition 两种版本,两者的功能与区别如表1所示。

 

Standard Edition

Enterprise Edition

支持的部署方案

独立服务器

独立阵列中的服务器

EMS 管理的阵列中的服务器

CPU

多达 4 CPU

无限制

存储

本地

支持对防火墙策略和配置设置进行远程管理。

阵列/NLB/CARP 支持

x

一个阵列中只能具有一台服务器。

企业管理

x

支持,添加了管理 Standard Edition 的功能。

     

发布

VPN 支持

转发代理/缓存压缩

网络 IPS (NIS)

电子邮件保护

需要 Exchange 许可证

需要 Exchange 许可证

Web 保护

需要订阅

需要订阅

Forefront TMG 阵列提供以下功能:

ü 高可用性 - 确保 Forefront TMG 部署的持续运行,包括在部署中的一台或多台 Forefront TMG 服务器停机时。阵列中所有服务器的 Forefront TMG 配置设置都相同,从而可以在一个或多个阵列成员发生故障转移时提供不间断服务。

ü 可伸缩性 - 满足不断增长的性能需求。例如,对于越来越多的用户或希望增加其 Internet 活动的用户,需要额外的网络带宽。随着组织需求的增长,您可以从单一 Forefront TMG 部署轻松升级到 Forefront TMG 阵列部署,并增加现有阵列中的成员数目或增加阵列数目。

ü 分布式永久缓存 - 使用最新阵列管理器配置更新所有服务器,从而使用户能够按需指定新阵列管理器。该信息是永久信息,会在部署中的一台或多台 Forefront TMG 服务器停机时得以保留。

Forefront TMG 阵列是 Forefront TMG 服务器集合,这些服务器通过一个管理接口进行集中管理。创建 Forefront TMG 阵列时,系统将在中心位置存储以下配置设置:

ü 阵列配置设置,该设置与阵列中的所有成员相关,且由所有成员共享。

ü 每个阵列成员的服务器配置设置,该设置仅与特定阵列成员相关。

Forefront TMG 企业支持两种阵列类型:

ü 独立阵列 - 根据选择的负载平衡方法,独立阵列最多可以具有 50 台由一个充当阵列管理器的阵列成员管理的 Forefront TMG 服务器;有关负载平衡的详细信息,请参阅对阵列中的 Forefront TMG 服务器实现负载平衡。如果 Forefront TMG 部署在单一逻辑位置且处理中等通讯负载,请使用此阵列类型。

ü EMS 管理的阵列 - EMS 管理的阵列最多可以具有 200 个 Forefront TMG 阵列,每个阵列最多包含 50 台由企业管理器服务器 (EMS) 管理的 Forefront TMG 服务器。建立 EMS 管理的阵列后,您可以复制其设置,并使用相同设置最多管理 15 个 EMS 管理的阵列,从而允许对最多 150,000 台 Forefront TMG 服务器进行集中管理。

在《网管员世界》2011年第8期中,《组建大型VPN网络》就是介绍使用Microsoft Forefront TMG企业版、组建EMS陈列的方法,实现的大型VPN网络。而在本文,则介绍Forefront TMG独立陈列、为企业网络防火墙与代理服务器功能的应用内容。

1.2 Forefront TMG的独立陈列

本文介绍使用Forefront TMG 2010企业版、组建独立陈列的内容。本文的实验拓扑如图1-1所示。

clip_image002

图1-1 Forefront TMG独立陈列拓扑图

在图1-1中,由1个4口宽带路由器连接ADSL提供Internet接入能力,其中4口宽带路由器的外网通过ADSL拨号连接,内网设置IP地址为192.168.80.2/24,网络中有3台Forefront TMG 2010的服务器,计算机名称分别是TMG01、TMG02、TMG03,其中TMG01作兼做陈列的管理与存储服务器,另两台Forefront TMG加入到TMG01组成的陈列中。TMG01、TMG02、TMG03的内网地址分别是192.168.100.11、192.168.100.12、192.168.100.13,外网地址分别是192.168.80.11、192.168.80.12、192.168.80.13,网关地址是4口宽带路由器的LAN地址(192.168.80.2),设置DNS为ADSL宽带接入商提供的DNS,或者使用路由器的内网地址做DNS,本例为192.168.80.2。在图1-1中,在配置好Forefront TMG陈列后,启用NLB功能,规划内网NLB地址为192.168.100.10,外网NLB地址为192.168.80.10。规划好后,在内网中,设置IP地址为192.168.100.20~192.168.100.254、网关地址设置为192.168.100.10、DNS为192.168.80.2即可以根据每个TMG的负载情况进行出口(访问Internet)选择。在4口宽带路由器上映射TCP的80端口到NLB地址192.168.80.10,并在Forefront TMG陈列中发布“内网”的网站到Internet,即可以让Internet用户通过“http://4口宽带路由器WAN地址”访问Forefront TMG发布的服务器。

在配置Forefront TMG的陈列时,需要为第一台陈列服务器申请“服务器证书”并保存到“计算机存储”中,加入到陈列的其他服务器,要“信任”为第一台服务器颁发证书的“证书服务器”。

在本次实验中,服务器1、服务器2、服务器3都已经安装好Windows Server 2008 R2,并且已经按照图1-1的方式接入到网络。证书服务器已经安装到位。下面介绍主要的操作。

1.3 第1台Forefront TMG的安装配置

在服务器1中,安装Windows Server 2008 R2,然后将其改名、安装Forefront TMG 2010,包括修改计算机名称、安装Forefront TMG、运行Forefront 入门向导、安装证书、为Forefront TMG配置陈列等内容,下面一一介绍。

1.3.1 修改计算机名称

安装好Windows Server 2008 R2,修改计算机的名称为TMG01,如图1-3所示。修改名称之后,根据提示重新启动计算机。

clip_image004

图1-3 修改计算机名称

1.3.2 安装Forefront TMG

再次进入系统后,运行Forefront TMG 2010企业版安装程序,主要步骤如下:

(1)运行Forefront TMG准备工具,在“安装类型”页中,选择“Forefront TMG服务和管理”,如图1-5所示。

clip_image006

图1-5 安装类型

(2)Forefront TMG准备工具完成之后,运行Forefront TMG企业版安装程序。在“定义内部网络”中,选择连接到“局域网”的网卡,如果连接到“局域网”的网卡地址没有设置,此时的地址则是169.254.0.0/16中的一个地址,如图1-6所示。你可以在安装完成Forefront TMG之后进行修改与设置。

clip_image008

图1-6 定义内部网络

(4)Forefront TMG的安装大约需要30~60分钟的时间。安装完成之后,进入“入门-网络设置向导”,在“网络模板选择”页,选择“边缘防火墙”,如图1-7所示。

clip_image009

图1-7 网络模板选择

5)在“局域网(LAN)设置”页,选择连接到LAN的网络适配器,并且根据图1-1的规划,设置IP地址,本例为192.168.100.11,如图1-8所示。

clip_image010

图1-8 局域网设置

(6)在“Internet设置”页,选择连接到Internet的网卡,并且设置网络参数,在本例中,设置IP地址为192.168.80.11/24、网关为192.168.80.2,如图1-9所示。

clip_image011

图1-9 Internet设置

设置完成之后,关闭入门向导。

1.3.3 为Forefront服务器申请并安装证书

在第1台Forefront TMG服务器中,申请服务器证书并导出证书、下载根证书文件、在Forefront TMG控制台中安装导出的证书,主要步骤如下:

(1)以管理员身份登录证书颁发网站(你可以在网络中的一台计算机中安装Windows Server 2003或2008,并安装“独立证书服务器”),下载CA证书,在弹出的“文件下载-安全警告”对话框中单击“保存”按钮,将其保存到本地计算机中,如图1-10所示。

clip_image013

图1-10 下载并保存CA证书

(2)下载之后,运行“MMC”控制台程序,添加“证书-当前用户”与“证书(本地计算机)”管理单元,然后定位到“证书(本地计算机)→受信任的根证书颁发机构\证书”,在右侧用鼠标右键单击,从弹出的快捷菜单中选择“所有任务→导入”(如图1-11所示),导入前一步下载的根证书文件。

clip_image015

图1-11 安装证书管理单元

导入之后,在“受信任的根证书颁发机构\证书”,显示新添加的受信任的根证书颁发机构的名称(该名称是在你安装根证书服务器的时候设置的)。

导入完成之后,先不要关闭该控制台,稍后还会用到。

【说明】在网络中另外两台Forefront TMG服务器中,也要导入该根证书文件。你可以使用MMC管理控制台添加,也可以在加入Forefront TMG陈列时添加。

(3)返回到证书申请网页,申请名为TMG01的“Web服务器”证书,并且选中“标记密钥为可导出”,如图1-14所示。申请证书之后,安装该证书。

clip_image017

图1-14 申请服务器证书

在申请并安装证书之后,新申请的证书会保存在“证书-当前用户”存储中,用于服务器通讯的证书,应该保存在“证书(本地计算机)”存储中,接下来我们要从“证书-当前用户”存储中导出、然后导入到“证书(本地计算机)”存储中。

(1)定位到“证书-当前用户→个人→证书”,在右侧选中新安装的证书,用鼠标右击,在弹出的快捷菜单中选择“所有任务→导出”。

(2)在弹出的“导出私钥”对话框中,选中“是,导出私钥”。在随后的对话框中,为导出的私钥设置一个密码,并将其导出到一个文件。

(3)然后定位到“证书(本地计算机)→个人\证书”,在右侧用鼠标右键单击,从弹出的快捷菜单中选择“所有任务→导入”。

clip_image019

图1-17 导入证书

(4)在随后的向导中,选择上一步导出的证书文件,并键入密码,导入前面导出的证书。

1.3.4 添加陈列服务器计算机

进入Forefront TMG管理控制台,将要加入陈列服务器的计算机的IP地址,添加到“复制配置存储服务器”及“陈列服务器”中,主要步骤如下:

(1)在“防火墙策略”中,在右侧的“工具箱→网络对象→计算机集”中,双击“复制配置存储服务器”,如图8-10所示。

clip_image021

图8-10 计算机集

(2)在“复制配置存储服务器 属性”页中,添加另陈列中所有服务器的IP地址,如图8-11所示。

clip_image023

图8-11 复制配置存储服务器

(3)然后在图8-11中,双击“陈列服务器”,进入“陈列服务器 属性”页,添加陈列中所有服务器的IP地址(只添加内网地址即可),如图8-12所示。

clip_image025

图8-12 配置陈列服务器

(4)在图8-11中,双击“远程管理计算机”,添加用于远程管理Forefront TMG计算机的地址,在本例中,同样添加陈列服务器地址到列表中,如图8-13所示。

clip_image027

图8-13 远程管理计算机

1.3.5 配置镜像帐户

在基于工作组的Forefront TMG陈列中,需要配置镜像帐户用于陈列间成员通讯,在本例中,将管理员帐户Administrator添加到镜像帐户列表中,例如如下:

(1)在Forefront TMG管理控制台中,定位到“Forefront TMG(TMG01)”节,在右侧的“任务”窗格中单击“配置陈列属性”链接,如图8-14所示。

clip_image029

图8-14 配置陈列属性

(2)进入“TMG01 属性”对话框后,在“陈列内凭据”选项卡中单击“设置帐户”按钮,如图8-15所示。

clip_image031

图8-15 陈列内凭据

(3)在弹出的“设置帐户”对话框中,键入Administrator及密码。

(4)在“分配角色”选项卡中,添加Administrator帐户到“允许访问配置存储并监视陈列的用户和组”及“允许监视此陈列的用户(镜像帐户)”列表中,并且将添加的Administrator帐户的“角色”设置为“Forefront TMG陈列管理员”,如图8-18所示。

clip_image033

图8-18 分配角色

(5)配置完成后,返回到Forefront TMG控制台,单击“应用”按钮,让设置生效。

(6)修改本机的hosts文件(其他两台Forefront TMG也要修改),添加以下几行:

192.168.100.11 TMG01

192.168.100.12 TMG02

192.168.100.13 TMG03

候改之后保存退出。