在TMG 2010中选择出口线路

今天有个朋友问我,他使用Forefront TMG 2010做防火墙,在TMG的“外网”网卡绑定了两个IP地址(202.x.y.171、202.x.y.172),内网有台Exchange的邮件服务器,他想让内网中的计算机,使用202.x.y.171的地址访问Internet,让Exchange使用202.x.y.172访问Internet,并且将202.x.y.172的SMTP与POP3及Web端口映射给Exchange,网络拓扑如图:

在TMG 2010中选择出口线路_Forefront TMG

图1 具有多IP地址的TMG的拓扑

在Microsoft Forefront TMG 2010中,可以通过创建网络访问规则、并指定NAT转换地址的方法解决,步骤如下:

(1)在Microsoft Forefront TMG 2010中,打开Forefront TMG控制台,右击“网络连接”,在弹出的快捷菜单中选择“新建→网络规则”,如图2所示。

在TMG 2010中选择出口线路_NAT_02

图2 新建网络规则

(2)在“网络规则名称”页,为新建的规则设置一个名称,例如“为Exchange指定出口IP”,如图3所示。

在TMG 2010中选择出口线路_Forefront TMG_03

图3 新建网络规则

(3)在“网络通讯源”页,新建计算机规则元素,添加Exchange服务器的地址192.168.1.123,并添加到规则源,如图4所示。

在TMG 2010中选择出口线路_多线路_04

图4 添加Exchange服务器地址作为规则源

(4)在“网络通讯目标”页,添加“外部”,如图5所示。

在TMG 2010中选择出口线路_多出口_05

图5 添加外部

(5)在“网络关系”页,选择“网络地址转换”,如图6所示。

在TMG 2010中选择出口线路_多出口_06

图6 网络地址转换

(6)在“NAT地址选择”页,选择“使用指定的IP地址”,并且选择要为Exchange指定的出口地址202.206.197.172,如图7所示。

在TMG 2010中选择出口线路_多出口_07

图7 为Exchange指定出口地址

(7)在“正在完成新建网络规则向导”页,选择“完成”,如图8所示。

在TMG 2010中选择出口线路_多线路_08

图8 创建规则完成

然后定位到“网络连接→网络规则”页,如果新添加的规则在“Internet访问”规则后面,则将其移动到“Internet访问规则”前面,因为在“Internet访问规则”中的“内部”包括了Exchange服务器的地址。如图9所示。

在TMG 2010中选择出口线路_休闲_09

图9 调整规则顺序

如果要为“内部”网络,指定出口的地址,则用鼠标右击“Internet访问”,在弹出的快捷菜单中选择“属性”,如图10所示。

在TMG 2010中选择出口线路_休闲_10

图10 Internet属性

在“Internet访问 属性”页,在“NAT地址选择”选项卡,选中“使用指定的IP地址”,从中选择出口地址,在本例中为202.206.197.171,如图11所示。

在TMG 2010中选择出口线路_多线路_11

图11 指定出口地址进行NAT转换

如果服务器有多个地址,你想选择使用其中的几个,可以选择“使用多个IP地址”选择选择,这些不一一介绍。

设置之后,单击“应用”按钮,保存设置。

【说明】创建“网络规则”这一功能,在Forefront TMG的上一个产品ISA Server中已经存在,但选择NAT地址,则是Forefront TMG的新增功能。在本文的基础上,举一反三,可以实现更多高阶应用,例如:

(1)单位有多个IP地址,在你的网络中有多个VLAN,你可以创建多个访问规则,让不同的VLAN用户,使用不同的进出口地址。

(2)单位有多条线路,例如存在电信、联通、教育网线路,在你的内网有多个服务器,有的服务器需要映射成电信的地址(发布到Internet,供电信用户访问),而有的服务器需要映射成教育网地址(发布到Internet,供教育网用户访问),你可以创建多个访问规则,让不同的服务器,使用不同线路的IP地址。

【注意】在创建访问规则时,如果有地址“重合”现象,则需要将具体的地址调整到前面,将范围大的地址调整到后面。