咱TMG基本上工作正常了,这篇咱们试着在2008R2和win7这个环境玩玩,这个系列写到现在,咱们该有貌似都有了,剩下就是内外互通问题了.咱们这篇看看发布些应用和设置策略瞧瞧tmg2010跟isa2006的前版本有啥区别.



　　查看原图(大图)

　　咱们计算机组里面添加计算机,貌似跟以前没啥区别,还是只能添加ip来识别计算机以便设置权限,直不能绑定mac是isa硬伤,微软表示以前没有这个功能,以后也不会有,咱估计只能带着遗憾了,虽然有TX说用dhcp绑定,可那也只是在服务器上做绑定,不过没关系isa不支持mac,那么它还有神器-可以做到基于windows域身份验证,只有ip和域账户和规则致才能通过tmg访问网络.

　　本篇分为1.网络访问规则2.应用发布3.内部访问策略

　　1.网络访问规则



　　咱添加完成两个内部服务器目标



　　新建访问规则,呵呵



　　查看原图(大图)

　　\规则名称



　　规则类型,木有啥不样



　　通讯协议,正常来说为了安全我们要设置仅仅服务器需要协议才能连接网络,比如dns需要用53去连接外部,mail需要25去连接外部.以最小网络权限换取定比例网络安全比较好.咱们这里只是测试实验,有关安全另外讨论,咱们就所有协议默认出站啦.



　　这个是新东西,启用恶意软件Software检查,对于用户端来说启用这个比较好,对于服务器来说还是关闭好点,以防服务器正常出站被阻拦



　　\规则来源,选择我们刚才server组



　　查看原图(大图)



　　目选择外部网络



　　用户集,咱这里可以设置为doadmins,也可以设置为默认所有用户



　　完成创建



　　应用这事



　　查看原图(大图)

　　现在在NS1访问网站WebSiteok了,我们开放了所有协议,当然我们只开通80和53和442,ns1也能访问外部网站WebSite.



　　2.应用发布

　　咱们发布个简单应用,将我们内部exchange这台mail服务器发布出去.



　　查看原图(大图)

　　邮件发布规则名称



　　发布类型



　　客户端访问类型.pop和smtp和exchange模式



　　服务器ip地址



　　发布到目地-外部网络



　　完成规则



　　应用规则后如图,多了1-5规则



　　查看原图(大图)

　　3.内部访问策略

　　新建访问规则



　　通讯为所有通讯



　　不检查内部通讯,也可以设置检查



　　来源为内部和本地主机



　　目也样



　　所有用户



　　完成配置



　　然后咱们应用并重启服务,看ns1已经能ping通isa了,在没有做这个策略前ns1和mai等其他主机都无法访问互相和ping通,做了策略后大家爱可以看到下面已经ping通了,很多tx也曾经败在这上面好像.呵呵.





　　查看原图(大图)

　　出处:http://ccfxny.blog.51cto.com/350339/245401