1、Winsnet 习题作业及上机报告班级 Winsnet-27姓名: 黎明章节:防火墙策略配置 (一) 第七章主要内容:认识 TMG防火墙策略 配置 TMG防火墙完成时间: 2014-01-13防火墙将一个计算机网络分为本地网络、内部网络、外部网络三大部分。边缘防火墙,双宿主防火墙网络。3 向外围网络,三宿主防火墙网络。后端防火墙,相当于背靠背防火墙。单一网络适配器,用于布署 TMG 缓存代理访问服务器。实验:配置 TMG 防火墙网络第一步:配置 TMG 防火墙网络的 IP 地址参数。第二步,单击 TMG 管理控制台的服务器节点,选择任务栏中的“入门配置向导” 。单击向导中的“配置网络设置” ,
2、用于重新定义防火墙体系结构及网络体、网络规则。第三步:在配置向导中,选择网络模板是边缘防火墙模板。第四步:选择内部网络接口的 IP 地址 172.16.1.254,防火墙将根据 IP、子网掩码计算出相对应的内部网络地址段 172.16.1.1255。第五步:选择外部网络连接的 IP 地址 192.168.2.254。第六步:完成定义边缘防火墙模块后,显示当前 TMG 防火墙包含的网络体有内部、外部、本地主机。第七步:单击“内部”网络体属性,查看地址,TMG 所保护的内部网络段是 172.16.0.0/255.255.0.0上面,简单配置边缘模板 TMG 防火墙完成!实验:创建 TMG 防火墙策
3、略元素。防火墙策略由防火墙策略元素构成,所以元素是组成防火墙规则的最基本参数。构成防火墙规则的策略元素包括协议、用户、内容类型、计划、网络对象。第一步:打开 TMG 防火墙策略元素管理面板第二步:在 TMG 防火墙中,默认微软已经建立了常用的通讯协议,如 http、https、dhcp、dns 、ping 协议。但对于部分不常用的协议,管理员需要手工建立,如腾讯 QQ 的通讯传输协议。第三步:定义协议的参数,协议类型“UDP” ,方向“发送接受”,端口范围从、到 8000第四步:配置协议的辅助连接。目前的网络协议,除 FTP 协议,同时使用 tcp21、tcp20 传输数据及指令,大部分协议都
4、没有辅助连接。第五步:对 TMG 防火墙实施的配置更改,需要“应用”更改才能使配置生效。TMG 防火墙可以包括来自任何身份验证方案的用户,通过用户元素限制哪些用户可以通过防火墙,哪些用户不能通过防火墙。如,管理员可以设置只有 Windows 系统或域用户可以进行某些访问,而其它用户不可以。注意:如果要实现用户身份验证,必须使用防火墙客户端或、web 代理客户端,而不能使用 SecureNAT 客户端,因为SecureNAT 不支持身份验证功能。在 TMG 2010 防火墙中预定义了以下策略元素,分别是所有经过认证的用户、所有用户、系统和网络服务。第一步:建立一个仅包含技术部安全组的防火墙用户元
5、素,运行计算机管理工具选择“用户和计算机” ,选择新建组账户。第二步:在 TMG 管理控制台中,选择“防火墙策略”工具箱,新建“用户”元素,定义元素名称“技术部元素” 。第三步:配置用户元素包括的 Windows 用户或组成员,添加“技术部”组账号。第四步:完成技术部元素创建。上面用户类型元素创建完成!实验:新建内容类型元素,TMG 可以根据已定义的规则检查数据包的内容,以便限制或过滤某些内容。内容类型元素负责将访问互联网的数据划分为音频、视频、文本、HTML 文档等类型。第一步:新建“工作时间元素” 。第二步:要想限制员工不能访问互联网,那就必须先通过网络对象对“淘宝”网站进行定义第三步:创
6、建“计算机集”元素,添加淘宝网站 ip 地址。实验:认识防火墙策略规则TMG 防火墙的策略规则包括网络规则、访问规则和发布规则。网络规则,网络规则定义了不同的网络实体之间的关系,网络地址转换 NAT 关系或路由关系。NAT:内部到外部 ip 经过 NAT 转换路由:内部到 DMZ 经过路由上图是三宿主防火墙的网络拓扑图,从内部网路体到 Internet外部定义 NAT 关系。从网络体到 DMZ 之间定义为路由关系。DMZ 网络体到 Internet 之间是 NAT。第一步:打开 TMG 管理控制台,选择“网络连接”网络规则。定义和修改网络体之间的网络关系。实验:配置简单 TMG 防火墙策略要求
7、:要实现内网计算机通过 TMG 网关访问外网 Internet。基于传输协议,需要定义 dns 域名解析协议、http 超文本传输协议、https 安全超文本传输协议的访问规则。第二步:TMG 管理控制台,选择“防火墙策略” ,新建访问规则。第三步:“允许”允许数据包从指定目标请求内容, “阻止”阻止数据包第四步:上图,协议选择,此规则应用到“所选的协议” ,选择协议 DNS。DNS 协议,使用 UDP 53 端口侦听请求内容,方向“发生接收” 。第五步:访问规则源选择,选择规则应用于数据源是“内部”网络计算机。第六步:访问规则目标选择,选择规则应用于数据目标是“本地主机”第七步:用户集选择,
8、选择访问规则针对的请求用户类型“所有用户” 。第八步:访问规则建立完成后,如果要使规则立即生效,还要“应用”防火墙配置。应用完成后,用户还需要等待 30 秒左右才能生效。第九步:接下来,建立允许内部到外部 Internet 的 http 及 https协议通信访问规则。第十步:规则的操作, “允许”允许数据包从指定目标请求内容,“阻止”阻止数据包从指定目标请求内容。第十一步:选择协议,该网站规则针对的协议类型http、https,HTTP 协议,基于 TCP 80 传输数据,方向出站。https 协议,基于 443 传输数据,方向出站。第十二步:恶意软件检查设置, “启用”恶意软件检查。恶意软
9、件检查,可以过滤网页中的木马、钓鱼程序、尝试清除网页中的病毒文件。第十三步:访问规则源选择,选择规则应用于数据源是“内部”网络计算机。第十四步:访问规则目标选择,选择规则应用于数据目标是“外部”网络计算机。第十五步:访问规则针对的请求用户集是“所用用户” 。完成 TMG 的 DNS 域名解析规则、网站传输协议规则的创建,接下来在内部工作站上,配置 TCP/IP 参数,测试与 Internet 的连通性是否正常。第一步:将内网计算机的网关 IP 地址配置为防火墙内接口,DNS 服务器指向防火墙内接口的 IP 地址。上图在客户端使用 nslookup 命令测试域名解析。上图显示解析成功!第二步:在
10、内部网络的工作站中,访问外网中的服务器。运行IE 浏览器,输入 URL 地址 http:/,连接正常。上图,显示内网计算机 172.16.2.253 正常通过 TMG 防火墙。实验:配置 TMG 防火墙安全筛选策略公司需要限制内部网络用户仅能在工作日的 8:0018:00 之间访问 Internet 资源,同时限制用户不能通过 web 网站的方式在线播放音频、视频内容。第一步:在 TMG 管理控制台的“防火墙策略”任务栏中,建立时间元素,时间元素范围是 8:0018:00,周日、周六被全天排除。第二步:在 TMG 管理控制台中,修改之前建立的“允许内网访问 Internet 网站服务器”的规则属性,找到“计划”选项卡,将计划选定为“工作时间” 。第三步:在 TMG 管理控制台中,修改之前建立的“允许内网访问互联网 Internet 网站服务器”的规则属性,找到“内容类型”选项卡,修改访问规则应用到的内容类型元素,不包括音频、视频内容。
