第七章--黎明--TMG防火墙策略配置 一--2014-01-13.docx

Winsnet习题作业及上机报告 班级 Winsnet-27 姓名： 黎明 章节：防火墙策略配置 （一） 第七章 主要内容：认识TMG防火墙策略 配置TMG防火墙 完成时间： 2014-01-13 防火墙将一个计算机网络分为本地网络、内部网络、外部网络三大部分。 边缘防火墙，双宿主防火墙网络。 3向外围网络，三宿主防火墙网络。 后端防火墙，相当于背靠背防火墙。 单一网络适配器，用于布署TMG缓存代理访问服务器。 实验：配置TMG防火墙网络 第一步：配置TMG防火墙网络的IP地址参数。 第二步，单击TMG管理控制台的服务器节点，选择任务栏中的“入门配置向导”。单击向导中的“配置网络设置”，用于重新定义防火墙体系结构及网络体、网络规则。 第三步：在配置向导中，选择网络模板是边缘防火墙模板。 第四步：选择内部网络接口的IP地址172.16.1.254，防火墙将根据IP、子网掩码计算出相对应的内部网络地址段172.16.1.1—255。 第五步：选择外部网络连接的IP地址192.168.2.254。 第六步：完成定义边缘防火墙模块后，显示当前TMG防火墙包含的网络体有内部、外部、本地主机。 第七步：单击“内部”网络体属性，查看地址，TMG所保护的内部网络段是172.16.0.0/255.255.0.0 上面，简单配置边缘模板TMG防火墙完成！！！ 实验：创建TMG防火墙策略元素。 防火墙策略由防火墙策略元素构成，所以元素是组成防火墙规则的最基本参数。 构成防火墙规则的策略元素包括协议、用户、内容类型、计划、网络对象。 第一步：打开TMG防火墙策略元素管理面板 第二步：在TMG防火墙中，默认微软已经建立了常用的通讯协议，如http、https、dhcp、dns、ping协议。但对于部分不常用的协议，管理员需要手工建立，如腾讯QQ的通讯传输协议。 第三步：定义协议的参数，协议类型“UDP”，方向“发送接受”，端口范围从、到8000 第四步：配置协议的辅助连接。目前的网络协议，除FTP协议，同时使用tcp21、tcp20传输数据及指令，大部分协议都没有辅助连接。 第五步：对TMG防火墙实施的配置更改，需要“应用”更改才能使配置生效。 TMG防火墙可以包括来自任何身份验证方案的用户，通过用户元素限制哪些用户可以通过防火墙，哪些用户不能通过防火墙。如，管理员可以设置只有Windows系统或域用户可以进行某些访问，而其它用户不可以。 注意:如果要实现用户身份验证，必须使用防火墙客户端或、web代理客户端，而不能使用SecureNAT客户端，因为SecureNAT不支持身份验证功能。 在TMG 2010防火墙中预定义了以下策略元素，分别是所有经过认证的用户、所有用户、系统和网络服务。 第一步：建立一个仅包含技术部安全组的防火墙用户元素，运行计算机管理工具选择“用户和计算机”，选择新建组账户。 第二步：在TMG管理控制台中，选择“防火墙策略”工具箱，新建“用户”元素，定义元素名称“技术部元素”。 第三步：配置用户元素包括的Windows用户或组成员，添加“技术部”组账号。 第四步：完成技术部元素创建。 上面用户类型元素创建完成！！！ 实验：新建内容类型元素，TMG可以根据已定义的规则检查数据包的内容，以便限制或过滤某些内容。内容类型元素负责将访问互联网的数据划分为音频、视频、文本、HTML文档等类型。 第一步：新建“工作时间元素”。 第二步：要想限制员工不能访问互联网，那就必须先通过网络对象对“淘宝”网站进行定义 第三步：创建“计算机集”元素，添加淘宝网站ip地址。 实验：认识防火墙策略规则 TMG防火墙的策略规则包括网络规则、访问规则和发布规则。 网络规则，网络规则定义了不同的网络实体之间的关系，网络地址转换NAT关系或路由关系。 NAT：内部到外部ip经过NAT转换 路由：内部到DMZ经过路由 上图是三宿主防火墙的网络拓扑图，从内部网路体到Internet外部定义NAT关系。从网络体到DMZ之间定义为路由关系。DMZ网络体到Internet之间是NAT。 第一步：打开TMG管理控制台，选择“网络连接”网络规则。定义和修改网络体之间的网络关系。 实验：配置简单TMG防火墙策略 要求：要实现内网计算机通过TMG网关访问外网Internet。基于传输协议，需要定义dns域名解析协议、http超文本传输协议、https安全超文本传输协议的访问规则。 第二步：TMG管理控制台，选择“防火墙策略”，新建访问规则。 第三步：“允许”允许数据包从指定目标请求内容，“阻止”阻止数据包 第四步：上图，协议选择，此规则应用到“所选的协议”，选择协议DNS。DNS协议，使用UDP 53端口侦听请求内容，方向“发生接收”。 第五步：访问规则源选择，选择规则应用于数据源是“内部”网络计算机。 第六步：访问规则目标选择，选择规则应用于数据目标是“本地主机” 第七步：用户集选择，选择访问规则针对的请求用户类型“所有用户”。 第八步：访问规则建立完成后，如果要使规则立即生效，还要“应用”防火墙配置。应用完成后，用户还需要等待30秒左右才能生效。 第九步：接下来，建立允许内部到外部Internet的http及https协议通信访问规则。 第十步：规则的操作，“允许”允许数据包从指定目标请求内容，“阻止”阻止数据包从指定目标请求内容。 第十一步：选择协议，该网站规则针对的协议类型http、https，HTTP协议，基于TCP 80传输数据，方向出站。https协议，基于443传输数据，方向出站。 第十二步：恶意软件检查设置，“启用”恶意软件检查。恶意软件检查，可以过滤网页中的木马、钓鱼程序、尝试清除网页中的病毒文件。 第十三步:访问规则源选择，选择规则应用于数据源是“内部”网络计算机。 第十四步：访问规则目标选择，选择规则应用于数据目标是“外部”网络计算机。 第十五步：访问规则针对的请求用户集是“所用用户”。 完成TMG的DNS域名解析规则、网站传输协议规则的创建，接下来在内部工作站上，配置TCP/IP参数，测试与Internet的连通性是否正常。 第一步：将内网计算机的网关IP地址配置为防火墙内接口，DNS服务器指向防火墙内接口的IP地址。 上图在客户端使用nslookup命令测试域名解析。上图显示解析成功！！！ 第二步：在内部网络的工作站中，访问外网中的服务器。运行IE浏览器，输入URL地址http：//，连接正常。 上图，显示内网计算机172.16.2.253正常通过TMG防火墙。 实验：配置TMG防火墙安全筛选策略 公司需要限制内部网络用户仅能在工作日的8:00~18:00之间访问Internet资源，同时限制用户不能通过web网站的方式在线播放音频、视频内容。 第一步：在TMG管理控制台的“防火墙策略”任务栏中，建立时间元素，时间元素范围是8:00~18:00，周日、周六被全天排除。 第二步：在TMG管理控制台中，修改之前建立的“允许内网访问Internet网站服务器”的规则属性，找到“计划”选项卡，将计划选定为“工作时间”。 第三步：在TMG管理控制台中，修改之前建立的“允许内网访问互联网Internet网站服务器”的规则属性，找到“内容类型”选项卡，修改访问规则应用到的内容类型元素，不包括音频、视频内容。 第四步：在TMG管理控制台“疑难解答”节点，TMG防火墙提供一个通讯仿真程序，可以代替客户端测试与TMG防火墙的链接。 上面：第七章的实验主要是策略的创建！！！！完成！！