web-dev-qa-db-ja.com

General Forefront TMG2010ネットワーク/プロキシ構成

Forefront TMGサーバーをテストしてから50〜75ユーザーのネットワークに展開することにしました(Windows 7、XPクライアント、Windows Server 2008R2サーバーおよびいくつかのLinuxボックス)

私たちのネットワークトポロジは次のとおりです。

4フロア(4 LANスイッチ)>サーバールームのコアスイッチに接続>コアスイッチFA0/1でCiscoルーターに接続> CiscoルーターFA0/0 ISP(WAN)に接続。

現在、DHCPはCiscoルーターで実行されており、LANのデフォルトゲートウェイでもあります。デフォルトゲートウェイ:192.168.1.1

私の質問は:

TMGサーバーには2つのNICがあります(1つはLANスイッチに接続されています-TMG NIC IP:192.168.1.200)

Forefront TMGのインストール中に、インストール中のアダプターの選択に192.168.1.1〜192.168.1.254の範囲を追加しました。

インストールが完了したら、クライアントをリダイレクトして、すべてのネットワークおよびインターネットトラフィックがTMG NIC 192.168.1.200

TMGサーバーの2番目のNIC)にどのIPを割り当てますか?

その2番目のNICはどこに接続されますか?

DUAL NICSを備えたTMGサーバーをコアLANスイッチとルーターの間、またはコアスイッチの後ろに配置しますか?

これについてのご協力に感謝いたします。コンテンツフィルタリングやWebブロッキング、その他の機能にこれを使用します。

読んでくれてありがとう !

お返事ありがとうございます:私は今3つ以上の質問があります:-)

Q.1:TMGサーバーに3つのISP接続と4NICがある場合、それらすべてを接続してTMG負荷分散/フェイルオーバーを行うことはできますか?

Q.2:TMGはPPPOE接続をダイヤルできますか? 3つのISPすべてがpppoeをダイヤルする必要があると言います-nicごとにそれを構成することは可能ですか?

Q.3:現在WANルーターとして機能しているCiscoルーターもあります。1つのISPにのみ接続されています。3つのWANすべての負荷を分散するようにTMGを構成する場合、Ciscoを削除しますか?トポロジの概要、またはTMGとCiscoをどのように接続しますか?ここで少し混乱します-これを支援できればありがたいです-これが可能であれば。

Q.4:TMGサーバーにNicが1つしかない場合、LANスイッチに接続してから、W7/XPクライアントでアドレスを指定して、動作するようにしますか?キャッシングサーバー/ Webフィルターとして?

Q.5:すべての内部インターネットトラフィックをルーティングして、TMGサーバーのみを通過させるにはどうすればよいですか?これをキャッシュとWebフィルタリングのみに使用する場合はどうすればよいですか?

もう一度お返事ありがとうございます-私は今これをテストしています。AD2008R2ボックスをセットアップしました。TMGはドメインに参加し、4つのネットワークカードがインストールおよび構成されています。 TMGは現在LANスイッチに接続されています

microsoft-forefront-2010microsoft-ftmgmicrosoft-ftmg-2010
2
rihatum

Windowsルーティングを正常に行うには、別のサブネットに2番目のNICが必要です。次に、内部サブネットと外部サブネットの間のTMG NAT(とにかくエッジレイアウトを使用)。

すべてのトラフィックをTMGボックスにプッシュするには、クライアントがTMGボックスをデフォルトゲートウェイとして指定します。現時点では、ネットワークの動作にかなり大きな変更が加えられる可能性が高いため、ロールバック戦略を立ててください。

これを最も簡単に(ただし大幅に変更して)行うには、現在のD.Gを切り替えます。別のサブネット(たとえば、10.xサブネットであるため、視覚的に区別されます)に、他のTMGアダプターをそのサブネットに接続し、そのサブネットがTMGによって外部と見なされるようにします(つまり、「内部」として含めないでください)。 network)-そのように、現在定義されている内部IP範囲内のすべてnotは、潜在的に敵対的であると見なされます。 (または少なくとも外部。TMGは内部ネットワークを暗黙的に信頼しません)。

10.xネットワークは本質的にDMZのようなものになります-ルーター(現在ISPにNATしていると思います)は着信要求をTMGボックスの外部インターフェイスに転送できます。TMGファイアウォールポリシー192.168.1.xネットワークに出入りするすべてのトラフィックを制御します。

移行を容易にするために、これを使用する場合、TMGの内部インターフェイスは、ルーターの古いIP、つまり、クライアントで構成済みのデフォルトゲートウェイを想定する必要があります。

高度なWeb使用、つまり必要に応じて認証を行う場合は、クライアントにプロキシの形式知を与えるようにWPADを構成します。

または、すべてをそのままにして、2番目のNICを無視し、クライアントで http:// tmg:808 として、またはWPADを介して構成された明示的なWebプロキシとしてTMGを使用します。ネットワーク全体のコンテンツフィルタリングは実行しませんが、少なくともその構成でWebトラフィックのスキャンを実行し、大規模な停止パスに着手する前に、これに慣れるための時間を確保します。

さらに良いことに、ラボまたは仮想マシンを使用して、目的のセットアップをテストします。

ちょっとした考え。

編集:もう1つの非常に一般的なヒント:ある時点で、「いつでもどこでも何でも許可する」というルールを作成したくなるでしょう。 "。その誘惑に負けた場合は、必ずexcludeLocal Hostネットワークを使用して、少なくともTMGが厄介な内部/外部クライアントから身を守るために、まだいくつかのローカルパケットフィルタリングを実行しています。 (NATは外部からのほとんどの着信トラフィックを処理する傾向がありますが、心配する必要のある外部の設定ミスが常にあります)。

TMGが何かに接続できるようにしたい場合、または何かによって接続できるようにしたい場合は、システムポリシーがそれを行う場所です。また、別のヒントとして、RDP以外のTMGへの着信接続を許可しない場合、基本的に、リリースされたほとんどのセキュリティ更新プログラムを無視することができます。これは稼働時間に最適です。プラス! NISは、MSRCがセキュリティ情報をリリースしたときに更新を取得するため、追加レベルの保護もあります。ただ自己満足しないでください。

'*-これを行わないでください。

2
TristanK