1、第二章 TMG防火墙策略配置, 理论部分,防火墙按功能可以分为哪几类?防火墙的体系结构有哪几种?TMG防火墙客户端可以配置为哪几种形式?,课程回顾,了解TMG中的策略元素理解访问规则的作用掌握访问规则的配置掌握Web访问策略的配置,技能展示,本章结构,网络拓扑模板,网络规则,网络结构,策略元素,防火墙策略,Web访问策略,网络,防火墙访问规则配置,防火墙策略规则,TMG防火墙策略配置,边缘防火墙使用两块网卡连接到内部和外部网络3向外围网络使用三块网卡连接到内部、外围和外部网络后端防火墙网络边缘防火墙连接外部和外围网络内部防火墙用于连接外围和内部网络,网络拓扑模板,后端防火墙,前端防火墙,本地主
2、机TMG防火墙本身内部网络公司内部要保护的网络外部网络未明确包含在其他任何网络中的所有 IP 地址外围网络DMZ区域,隔离向外部用户发布的服务器VPN 客户端和被隔离的VPN客户端连接到TMG的VPN客户端未通过TMG验证的VPN客户端,网络,外围网络,外部网络,内部网络,本地主机,网络地址转换(NAT)单向,通常用于由内到外的访问路由双向,允许源网络请求直接转发到目标网络通常用于内部和外围网络之间的访问,网络规则,路由,NAT,协议用户内容类型计划网络对象,策略元素5-1,策略元素,协议协议类型:TCP、UDP、ICMP和IP方向: 入站、出站端口范围:165535协议号:0254(IP),
3、策略元素5-2,新建协议,用户所有通过身份验证的用户所有用户系统和网络服务代表TMG计算机上的本地系统服务和网络服务,策略元素5-3,选择用户,内容类型仅适用于HTTP和FTP的通信限制或过滤文件类型,如*.avi、*.swf等计划周末:星期六和星期天全天。工作时间:星期一到星期五的上午9:00到下午5:00,策略元素5-4,网络对象网络网络集计算机地址范围、子网计算机集URL集域名集Web侦听器服务器场,策略元素5-5,包含一定范围的IP地址,包含一个或多个网络,代表一个IP地址,包含一定范围的IP地址,包含一个子网址,包含多台计算机,包含多个URL地址,包含多个域名范围,包含用于负载平衡群
4、集的多台服务器IP地址,用来监听客户端请求的一个或多个IP地址,请思考TMG中包含哪几种网络拓扑模板?TMG中包含哪几种网络类型?TMG中包含哪几种网络规则?如果拒绝一个用户访问,需要设置哪些策略元素?,小结,工作原理检查网络规则NAT路由检查系统策略规则控制对本地主机以及来自本地主机的访问按顺序检查防火墙策略规则允许请求通过,再次检查网络规则,确定使用 NAT还是路由拒绝请求通过,防火墙策略规则,访问规则定义用户如何访问网络,包括访问网络的协议、内容等系统策略用户自定义的访问规则服务器发布规则使外网用户访问到企业内部服务器如Web服务器、邮件服务器等保护内部网络的安全,防火墙策略规则,默认规
5、则用于拒绝所有出入网络的访问,不能被修改或删除,新建访问规则规则名称规则操作选择协议恶意软件检查访问规则源访问规则目标用户集完成,防火墙访问规则配置,输入规则名称,选择执行的操作,选择协议,是否恶意软件检查,选择访问规则源,选择访问规则目标,定义用户,完成,访问规则,对所有Web访问进行管理与控制允许或阻止访问的Web目标控制对特定网站的访问可以访问Web的计算机或用户允许一组用户或计算机访问Internet内容筛选根据MIME类型和扩展名允许或拒绝访问哪些内容检查和筛选Web流量通过恶意软件检查等方式对Web流量扫描启用Web缓存缓存Web内容,提高网络性能,Web访问策略2-1,配置Web
6、访问策略Web保护Web访问策略类型受限的Web目标恶意软件检查设置Web缓存设置完成,Web访问策略2-2,配置Web访问策略,启用恶意软件检查,选择Web访问策略类型,添加受限的Web目标,恶意软件检查设置,启用Web缓存,完成,Web访问策略,本章总结,网络拓扑模板,网络规则,网络结构,策略元素,防火墙策略,Web访问策略,网络,防火墙访问规则配置,防火墙策略规则,TMG防火墙策略配置,第二章 TMG防火墙策略配置, 上机部分,实验环境已安装TMG防火墙网络结构划分为内网、DMZ区和外网,实验案例:配置TMG访问规则4-1,网络拓扑结构图,需求描述内网用户只能在12:00-13:00之间
7、访问Internet启用恶意软件检查和Web缓存功能允许内网用户访问Web服务器Web服务器不允许连接到Internet允许计算机通过远程桌面连接TMG防火墙IP:192.168.2.2,位于内部网络中,实验案例:配置TMG访问规则4-2,实现思路配置从内网到外网的Internet访问规则启用时间计划为每天的12:00-13:00启用HTTP协议、恶意软件检查和Web缓存功能配置从内网到Web服务器的Internet访问规则启用HTTP协议配置从计算机(192.168.2.2)到本地主机的访问规则启用RDP(终端服务)协议验证结果,实验案例:配置TMG访问规则4-3,学员练习1配置从内网到外网的Internet访问规则配置从内网到Web服务器的Internet访问规则学员练习2配置从计算机(192.168.2.2)到本地主机的访问规则验证结果,实验案例:配置TMG访问规则4-4,40分钟完成,40分钟完成,
