Configuração geral de rede / proxy do Forefront TMG 2010

2

Decidimos testar e implantar um servidor do Forefront TMG em nossa rede de 50 a 75 usuários (Windows 7, XP Clients, servidores Windows Server 2008 R2 e algumas caixas Linux)

Nossa topologia de rede é:

4 andares (4 chaves Lan) > Conectado a um switch principal em nossa sala de servidores > Switch principal conectado ao nosso roteador Cisco no FA 0/1 > Cisco Router FA 0/0 Conectado ao nosso ISP (WAN).

Neste momento, nosso DHCP está sendo executado em nosso roteador cisco e também é o gateway padrão para nossa LAN: Gateway padrão: 192.168.1.1

Minha pergunta é:

O TMG Server possui 2 NICs (uma é conectada ao nosso switch LAN - TMG NIC IP: 192.168.1.200)

Durante a instalação do Forefront TMG, adicionei o intervalo 192.168.1.1 - 192.168.1.254 na seleção do adaptador durante a instalação,

Após a conclusão da instalação, como devo redirecionar meus clientes, para que todo o tráfego de rede e da Internet passe pelo NIC TM.119.168.1.200

Qual IP devo atribuir à segunda NIC no servidor TMG?

Onde essa segunda NIC deve ser conectada?

Devo colocar o TMG Server com DUAL NICS entre o nosso Switch LAN Core e o Roteador ou por trás do Core Switch?

Ficarei muito grato por sua ajuda, usaremos isso para filtragem de conteúdo, bloqueio da Web e outros recursos.

Obrigado pela leitura!

Obrigado pela sua resposta: Eu tenho mais de 3 perguntas agora: -)

Q.1: Se eu tiver 3 conexões ISP e 4NICS em nosso TMG Server, posso conectar todos eles e ter o TMB Load-Balance / Failover?

Q.2: O TMG pode discar uma conexão PPPOE? dizem que todos os 3 ISPs nos exigem para discar um pppoe - é possível configurar isso para cada nic?

Q.3: Nós também temos um roteador Cisco atuando como nosso WAN Router no momento, apenas conectado a 1 ISP, Quando eu configuro o TMG para loadbalance todas as 3 WANs, devo apenas remover o cisco da topologia ou como seria Eu conecto o TMG e o Cisco? Um pouco confuso aqui - será grato se você puder ajudar nisso - se isso for possível.

Q.4: Se eu tivesse APENAS 1 (UM) Nic no nosso TMG Server, ele se conectaria ao nosso LAN Switch e então nós especificaríamos seu endereço nos nossos Clientes W7 / XP para que ele funcionasse como um servidor / web de armazenamento em cache? filtrar?

Q.5: Como roteamos todo o tráfego interno da Internet para que ele passe apenas pelo nosso servidor TMG - se tivéssemos que usá-lo apenas para caching e filtragem da Web?

Mais uma vez obrigado pela sua resposta - Estou apenas testando isso no momento, configurei uma AD 2008R2 Box, a TMG se uniu ao domínio e possui 4 placas de rede instaladas e configuradas. O TMG está atualmente conectado ao nosso switch LAN

    
por rihatum 15.06.2011 / 07:35

1 resposta

2

Você precisará da segunda NIC em uma sub-rede diferente para que o roteamento do Windows seja feliz. Em seguida, TMG NATs entre a sub-rede interna e a sub-rede externa (usando o layout Edge, de qualquer maneira).

Para enviar todo o tráfego pela caixa TMG, aponte os clientes para ele como o gateway padrão. É provável que seja uma grande mudança na forma como a rede funciona no momento, portanto, tenha uma estratégia de reversão.

Para fazer isso mais facilmente (mas com uma mudança significativa), mude a corrente D.G. para uma sub-rede diferente (digamos, uma sub-rede 10.x por isso é interessante e visualmente diferenciada), conecte o outro adaptador TMG a essa sub-rede e permita que essa sub-rede seja considerada externa pela TMG (ou seja, não inclua-a como uma "interna"). rede) - dessa forma, qualquer coisa não na faixa de IP interno definida atualmente será considerada potencialmente hostil. (Ou pelo menos o External; o TMG não confia nas redes internas implicitamente).

A rede 10.x torna-se essencialmente uma DMZ de tipos - seu roteador (suponho que esteja atualmente NAT para o ISP) pode encaminhar solicitações recebidas para a interface externa na caixa TMG, e a diretiva de firewall TMG controlará todo o tráfego para e fora da rede 192.168.1.x.

Para facilitar a migração, se você usar isso, a interface interna do TMG deverá assumir o IP antigo do roteador, ou seja, o gateway padrão já configurado no cliente.

Para uso avançado da Web, ou seja, autenticação, se necessário, configure o WPAD para fornecer aos clientes conhecimento explícito do proxy.

Como alternativa, deixe tudo como está, ignore o segundo NIC e use o TMG como um proxy da Web explícito, configurado como link nos clientes, ou através do WPAD. Ele não fará filtragem de conteúdo de toda a rede, mas pelo menos fará a varredura de tráfego da Web nessa configuração e permitirá que você tenha tempo de se familiarizar com ela antes de embarcar no Massive Outage Path.

Melhor ainda, teste sua configuração pretendida usando um laboratório ou máquinas virtuais.

Apenas um pensamento.

Editar : Mais uma dica muito geral: em algum momento, você será tentado a criar uma regra que diga "Permitir qualquer lugar em qualquer lugar a qualquer momento". Se você sucumbir a essa tentação, certifique-se de excluir a rede Local Host dela, para que pelo menos a TMG ainda esteja realizando alguma filtragem local de pacotes para se defender de clientes internos / externos. (O NAT tende a cuidar da maior parte do tráfego de entrada de fora, mas há sempre uma configuração incorreta externa para se preocupar).

Se você deseja que o TMG possa se conectar a, ou estar conectado por algo, a Diretiva do Sistema é onde fazer isso. E como outra dica, se você não permitir nenhuma conexão de entrada para o TMG além do RDP, você basicamente * poderá ignorar * a maioria das * atualizações de segurança * liberadas *. O que é bom para o tempo de atividade. Mais! O NIS recebe atualizações quando o MSRC libera boletins, então também há um nível adicional de proteção. Apenas não fique complacente.

'* - não faça isso.

    
por 15.06.2011 / 08:43