网络拓扑如下图,其中TMG没有加入域,DMZ区的网站也不加入域
实验目标:发布DMZ区的Web Server,让内部用户可以访问和互联网的用户也可以访问。
由于在上一篇博文中我已经给TMG添加了一块网卡,形成了三向外围网络并且创建了DMZ区到内部,DMZ区到外部网络的网络规则,因此本篇博文中我们就在上次的基础上进行操作即可
实验思路:
1.在DMZ区用IIS搭建最基本的Web网站
2.在TMG发布DMZ区的网站
3.TMG开放内部网络可以访问DMZ的Web Server站点,内网DNS上创建一条DMZ区网站的A记录,测试内网客户端访问DMZ区Web站点
4.测试公网的客户端访问DMZ发布的网站,这里我直接用一台PC和TMG外网卡在同一网段的PC,修改hosts文件来进行域名解析,生产环境下申请域名并绑定A记录即可
其实发布DMZ的网站和发布内部的网站点基本上没有区别
1.搭建Web站点
这部分非常简单我就不演示了,直接访问看下我DMZ搭建的网站,如下图
2.TMG发布网站
如下图,在任务中选择“发布网站”
Web发布规则名称,“DMZ Web Site”
“允许”
“发布单个网站或负载均衡器”
“使用不安全的连接发布的Web服务器或服务器场”
内部站点名称,“dmz.abc.com”,因为我们TMG的DMZ指向了外部DNS,顾我们需要填写下内部网站的IP地址,选择 “下一步”
路径,“/*”,选择“下一步”
接受请求“此域名”,公用名称“dmz.abc.com”,选择“下一步”
选择“新建侦听器”
Web侦听器名称,“Listen 80”
选择“不需要与客户端建立SSL安全连接”
选择“外部”
选择“没有身份验证”
直接默认选择“下一步”
完成侦听器的创建
选择“无委派,客户端无法进行身份验证”,我的网站开启了匿名访问
用户集保持默认
完成Web发布规则向导
完成后视图如下
为了保证发布没有问题,我们进行下测试,如下图
如下图,测试没有问题
以上,我们就完成了DMZ区Web Server的发布
3.DNS上创建A记录,开放内部到DMZ的防火墙策略,内网客户端测试访问站点
如I下图,DNS上创建了A记录
如下图,TMG开放内部到DMZ区的http流量,直接修改以前的策略即可
如下图,内网的win7客户端访问DMZ网站成功
4.测试公网客户端XP访问TMG发布的DMZ区网站
如下图,XP客户端修改了hosts文件
如下图,xp客户端访问成功
