1、微软 Forefront TMG 2010 企业阵列解析作者:未知 文章来源:It168 点击数: 122 更新时间:2010-6-12 导言微软 Forefront TMG 2010 有两个版本:标准版和企业版。利用企业版,管理员能够创建作为单一逻辑防火墙使用的 TMG 防火墙群集阵列。该阵列提供冗余、高可用性和可扩展性。在 TMG 中,目前有两种不同类型的阵列:独立阵列(TMG 新增的功能)和企业管理服务器 管理(Enterprise Management Server-managed,EMS-managed)阵列。本文将分别介绍两种阵列的配置方法,剖析两者之间的差异并讨论这两种部署方案。
2、本文还将介绍如何使用 TMG 企业版管理 TMG 标准版防火墙。EMS 管理的阵列EMS 管理的阵列与微软 ISA Server 2006 中的配置存储服务器 (Configuration Storage Server ,CSS)基本相同,仅有几个细微差别。利用 TMG 的企业管理服务器(EMS),可以在安装 TMG 软件后加入到一个阵列,同样地,也可以选择断开一个阵列。这使得企业管理员可以更加灵活地将防火墙从一个阵列迁移到另一个阵列,而无需卸载并重装 TMG 软件。与 ISA 的配置存储服务器可以驻留在阵列成员中不同,TMG EMS 必须安装在阵列之外一个独立的系统之中。注:本文假定已经在一
3、个系统上成功安装了 TMG EMS 服务,在另一个系统安装了 TMG 防火墙服务,并加入到一个域。向 EMS 中加入一个 TMG 企业版防火墙,首先在 TMG 防火墙系统中打开管理控制台,导航至根节点,在右侧“任务”窗格选择“加入阵列”(Join Array)。图 1这时将出现“Forefront TMG 加入阵列向导”。图 2选择“加入一个 EMS 服务器管理的阵列 ”(Join an array managed by an EMS server)。图 3输入 EMS 系统的完全合格域名 (FQDN)。如果使用具有管理权限的帐号登录,选择“使用登录用户的证书连接” (Connect usin
4、g the credentials of the logged on user)选项;否则,选择“使用此帐户连接”(Connect using this account:)选项。接下来,需要指定具有管理权限的用户名和密码。图 4如果要加入一个现有阵列,选择“加入一个现有的 EMS 管理的阵列 ”(推荐使用该选项),然后从下拉列表中选择想要加入的阵列。必须确保使用具有阵列或阵列所属企业管理权限的用户帐号。图 5如果已经对即将加入阵列的 TMG 防火墙配置了访问规则,选择“ 在新建 EMS 管理的阵列使用当前配置”(Use the current configuration at the new
5、EMS-managed array)选项。如果未选择该选项,现有配置将被新阵列的默认配置所取代。输入名称及关于阵列的描述。提供阵列的 DNS 名称,最好是 FQDN 格式。选择适用于新建阵列的企业策略。图 6重新检查配置细节并完成安装。独立阵列独立阵列是 TMG 的一个新增功能。在企业级部署方案中,管理员可以配置由非外部企业管理服务器管理的 TMG 防火墙阵列。利用独立阵列,可以指定某个阵列成员为 “阵列管理者”(array manager)。该阵列的其他成员从指定的阵列管理者恢复配置。要创建一个独立阵列,在 TMG 防火墙系统打开管理控制台,导航至左侧的根节点,在右侧任务窗格选择“加入阵列”
6、。图 7如前所述,这时也会出现“加入 Forefront TMG 阵列向导”。选择“加入由指定的阵列管理者管理的独立阵列”(Join a standalone array mamged by a designated array member)。输入 TMG 防火墙的 IP 地址或完全合格域名。图 8完成安装过程。断开阵列成员将 TMG 防火墙从阵列中移除是 TMG 2010 一个非常受欢迎的新功能。借助这个功能,管理员可能有选择性地在企业阵列之间迁移防火墙系统。如同向 EMS 中添加 TMG 防火墙一样,断开阵列同样简便易行:在 TMG 防火墙系统中打开管理控制台,导航至左侧的根节点,在右侧
7、的任务窗格选择“断开阵列”(Disjoin Array)。这时将出现“从阵列中断开服务器”(Disjoin Server From Array)向导。图 9依次完成操作,结束该过程,将阵列成员从阵列中成功分离。使用 TMG 企业管理 TMG 标准版TMG 企业版一项鲜为人知的功能是管理 TMG 标准版防火墙。这将大大简化部署 TMG标准版和企业版防火墙组合环境的管理。把 TMG 标准版防火墙加入到 EMS 中的过程与企业版基于相同,但有一点例外:不能加入现有的阵列。唯一可用的选择是创建一个新的 EMS-managed 阵列。将 TMG 标准版防火墙成功加入 EMS 之后,就可以同管理企业版防火
8、墙一样对标准版防火墙进行管理。唯一的限制就是阵列仅能包含一个标准版防火墙。阵列的选择部署独立阵列还是 EMS 管理的阵列取决于用户的需求。如果用户环境中有多个 网络出口,用 EMS 配置 TMG 是最佳选择。在这种情况下,可以使用 EMS 管理的阵列配置企业级访问规则。由于一个单一的策略适用于整个企业的所有阵列,因此管理成本将大大降低。在只有一个网络出口的环境中,高可用性是主要考虑因素,这时,独立阵列不失为一种方便的选择,而且整个环境中也没有其他 TMG 防火墙需要管理。结语利用微软 Forefront TMG 2010 企业版,能够创建群集化的防火墙阵列,以提供冗余和高可用性。通过向企业阵列中添加成员,大大提高了效率。管理 TMG 标准版防火墙这项新功能,将大大简化大型和复杂环境中 TMG 的管理
