FTMG2010只有加入到域才能上網(wǎng)

2017-03-27

16286

只有加入到域才能上網(wǎng)2011-04-13 20:17:22標(biāo)簽：域 ISA 身份驗證防火墻客戶端 Forefront TMG版權(quán)聲明：原創(chuàng)作品，謝絕轉(zhuǎn)載！否則將追究法律責(zé)任。在以前，我寫過一篇“別

只有加入到域才能上網(wǎng)

2011-04-13 20:17:22

標(biāo)簽：域 ISA 身份驗證防火墻客戶端 Forefront TMG

版權(quán)聲明：原創(chuàng)作品，謝絕轉(zhuǎn)載！否則將追究法律責(zé)任。

在以前，我寫過一篇“別再隨便上網(wǎng)的文章”，介紹了使用ISA Server 2006、Windows Server 2003的Active Directory，主要內(nèi)容是讓網(wǎng)絡(luò)中的計算機(jī)加入到域、然后安裝ISA Server防火墻客戶端、使用ISA Server作“代理服務(wù)器”后，才能讓用戶上網(wǎng)的文章。這是在奧運(yùn)期間，給幾個政府做的網(wǎng)絡(luò)安全中的一部分。這個方案在很長的一段時間應(yīng)用都沒有問題，但隨著用戶水平的提高，有以下問題：

（1）一些用戶發(fā)現(xiàn)，即使不加入到域，而在IE 瀏覽器中指定代理服務(wù)器的地址（ISA Server的地址）與防火墻的端口，也能上網(wǎng)。

（2）在使用代理服務(wù)器后，除了要在IE 中指定代理服務(wù)器的地址、端口外（這個是由ISA Server 防火墻客戶端自動設(shè)置好的），其他的一些軟件，也需要指定代理服務(wù)器與端口，這樣就造成了用戶的負(fù)擔(dān)。雖然可以在ISA Server 中設(shè)置策略（排除對HTTP 之外協(xié)議的身份認(rèn)證－創(chuàng)建策略，允許“所有用戶”從“內(nèi)部”到“外部”使用除HTTP 協(xié)議之外的所有協(xié)議），但這樣一來又與我們的初衷不相符合（只有域用戶或只有認(rèn)證用戶才能上網(wǎng)）

1 實驗拓?fù)?/p>

為了解決這兩個問題，我搭建了圖1的實驗環(huán)境，并實驗成功（由于現(xiàn)在許多單位的網(wǎng)絡(luò)已經(jīng)升級到Windows Server 2008與Forefront TMG 2010，本實驗用TMG 2010，ISA Server 與此配置相同）。現(xiàn)簡單介紹一下。

圖1 實驗拓?fù)?/p>

在圖1中，有兩臺Windows Server 2008，其中一臺作Active Directory 服務(wù)器，計算機(jī)名稱為ad ，域名為msft.com ，IP 地址為192.168.1.2，網(wǎng)關(guān)為192.168.1.1，DNS 為192.168.1.2；另一臺計算機(jī)安裝Windows Server 2008 X64（或Windows Server 2008 R2），加入到msft.com 域，其中內(nèi)網(wǎng)IP 地址為192.168.1.1，外網(wǎng)IP 地址為192.168.88.100（用路由器連接到Internet ，這是路由器的“內(nèi)網(wǎng)”地址），DNS 為192.168.1.2。另外，在ad.msft.com 計算機(jī)中安裝并配置了DHCP 服務(wù)器，為網(wǎng)絡(luò)中的工作站分配IP 地址等參數(shù)。網(wǎng)絡(luò)中有兩臺工作站，分別安裝Windows XP與Windows 7，這兩臺計算機(jī)都加入到域。

2 服務(wù)器配置

實驗的主要步驟如下：

（1）在192.168.1.2的計算機(jī)中，安裝并配置DHCP 服務(wù)器，設(shè)置作用域的地址范圍為192.168.1.100～192.168.1.120，子網(wǎng)掩碼為255.255.255.0，設(shè)置作用域的網(wǎng)關(guān)地址為192.168.1.1，DNS 為192.168.1.2。同時添加“選項名”為“WPAD ”、值為“http://tmg2010.msft.com:80/wpad.dat”的選項，如圖2所示。這是為DHCP 的客戶端自動指派Forefront TMG防火墻服務(wù)器的配置。

圖2 配置DHCP

（2）在Forefront TMG 2010的管理控制臺中，在“網(wǎng)絡(luò)連接”中，雙擊右側(cè)的“內(nèi)部”，在“web 代理”選項卡中，取消“為此網(wǎng)絡(luò)啟用web 代理客戶端連接”的選擇，如圖3所示。

圖3 取消Web 代理客戶端連接

【說明】禁用Web 代理客戶端后，用戶再手動設(shè)置“ISA Server或Forefront TMG做代理”將不起作用，因為Forefront TMG代理服務(wù)器沒有啟用。

（3）在“Forefront TMG客戶端”選項卡中，選中“啟用此網(wǎng)絡(luò)的Forefront TMG客戶端支持”，并且指定Forefront TMG的名稱，在本例中為“tmg2010.msft.com ”，然后取消“自動檢測設(shè)置”、“使用自動配置腳本”、“使用Web 代理服務(wù)器”的選擇，如圖4所示。

圖4 啟用Forefront TMG客戶端支持

（4）然后返回到“防火墻策略”，創(chuàng)建訪問規(guī)則，允許“msft ”用戶以“所有協(xié)議”從“內(nèi)部”訪問“外部”，如圖5所示。

圖5 創(chuàng)建訪問規(guī)則

其中“msft ”是在Forefront TMG中創(chuàng)建的“用戶集”，代表“msft.com 整個域”中的“domain users”用戶組（表示域中所有用戶），如圖6所示。

圖6 添加域用戶集

（5）然后應(yīng)用策略即可。

3 工作站驗證

接下來在Windows XP與Windows 7計算機(jī)上進(jìn)行設(shè)置。主要步驟如下：

（1）在Windows XP 與Windows 7中，分別設(shè)置為“自動獲取IP 地址與DNS 地址”，然后加入到域并以域用戶登錄，安裝Forefront TMG的防火墻客戶端，安裝完成之后，進(jìn)入“Forefront TMG客戶端”配置，在“設(shè)置”選項卡中，選中“啟用Forefront TMG客戶端”并選中“自動檢測到的Forefront TMG”，將會檢測到Forefront TMG服務(wù)器的地址，在本例中為tmg2010.msft.com ，如圖7所示。

圖7 安裝Forefront TMG客戶端并檢查配置