第七章--黎明--TMG防火墙策略配置 一--2014-01-13.docx

1、Winsnet习题作业及上机报告班级Winsnet-27姓名：黎明章节：防火墙策略配置 （一）第七章主要内容：认识TMG防火墙策略 配置TMG防火墙完成时间：2014-01-13防火墙将一个计算机网络分为本地网络、内部网络、外部网络三大部分。边缘防火墙，双宿主防火墙网络。3向外围网络，三宿主防火墙网络。后端防火墙，相当于背靠背防火墙。单一网络适配器，用于布署TMG缓存代理访问服务器。实验：配置TMG防火墙网络第一步：配置TMG防火墙网络的IP地址参数。第二步，单击TMG管理控制台的服务器节点，选择任务栏中的“入门配置向导”。单击向导中的“配置网络设置”，用于重新定义防火墙体系结构及网络体、网络

2、规则。第三步：在配置向导中，选择网络模板是边缘防火墙模板。第四步：选择内部网络接口的IP地址172.16.1.254，防火墙将根据IP、子网掩码计算出相对应的内部网络地址段172.16.1.1255。第五步：选择外部网络连接的IP地址192.168.2.254。第六步：完成定义边缘防火墙模块后，显示当前TMG防火墙包含的网络体有内部、外部、本地主机。第七步：单击“内部”网络体属性，查看地址，TMG所保护的内部网络段是172.16.0.0/255.255.0.0上面，简单配置边缘模板TMG防火墙完成！实验：创建TMG防火墙策略元素。防火墙策略由防火墙策略元素构成，所以元素是组成防火墙规则的最基本

3、参数。构成防火墙规则的策略元素包括协议、用户、内容类型、计划、网络对象。第一步：打开TMG防火墙策略元素管理面板第二步：在TMG防火墙中，默认微软已经建立了常用的通讯协议，如http、https、dhcp、dns、ping协议。但对于部分不常用的协议，管理员需要手工建立，如腾讯QQ的通讯传输协议。第三步：定义协议的参数，协议类型“UDP”，方向“发送接受”，端口范围从、到8000第四步：配置协议的辅助连接。目前的网络协议，除FTP协议，同时使用tcp21、tcp20传输数据及指令，大部分协议都没有辅助连接。第五步：对TMG防火墙实施的配置更改，需要“应用”更改才能使配置生效。TMG防火墙可以包

4、括来自任何身份验证方案的用户，通过用户元素限制哪些用户可以通过防火墙，哪些用户不能通过防火墙。如，管理员可以设置只有Windows系统或域用户可以进行某些访问，而其它用户不可以。注意:如果要实现用户身份验证，必须使用防火墙客户端或、web代理客户端，而不能使用SecureNAT客户端，因为SecureNAT不支持身份验证功能。在TMG 2010防火墙中预定义了以下策略元素，分别是所有经过认证的用户、所有用户、系统和网络服务。第一步：建立一个仅包含技术部安全组的防火墙用户元素，运行计算机管理工具选择“用户和计算机”，选择新建组账户。第二步：在TMG管理控制台中，选择“防火墙策略”工具箱，新建“用

5、户”元素，定义元素名称“技术部元素”。第三步：配置用户元素包括的Windows用户或组成员，添加“技术部”组账号。第四步：完成技术部元素创建。上面用户类型元素创建完成！实验：新建内容类型元素，TMG可以根据已定义的规则检查数据包的内容，以便限制或过滤某些内容。内容类型元素负责将访问互联网的数据划分为音频、视频、文本、HTML文档等类型。第一步：新建“工作时间元素”。第二步：要想限制员工不能访问互联网，那就必须先通过网络对象对“淘宝”网站进行定义第三步：创建“计算机集”元素，添加淘宝网站ip地址。实验：认识防火墙策略规则TMG防火墙的策略规则包括网络规则、访问规则和发布规则。网络规则，网络规则定

6、义了不同的网络实体之间的关系，网络地址转换NAT关系或路由关系。NAT：内部到外部ip经过NAT转换路由：内部到DMZ经过路由上图是三宿主防火墙的网络拓扑图，从内部网路体到Internet外部定义NAT关系。从网络体到DMZ之间定义为路由关系。DMZ网络体到Internet之间是NAT。第一步：打开TMG管理控制台，选择“网络连接”网络规则。定义和修改网络体之间的网络关系。实验：配置简单TMG防火墙策略要求：要实现内网计算机通过TMG网关访问外网Internet。基于传输协议，需要定义dns域名解析协议、http超文本传输协议、https安全超文本传输协议的访问规则。第二步：TMG管理控制台，

7、选择“防火墙策略”，新建访问规则。第三步：“允许”允许数据包从指定目标请求内容，“阻止”阻止数据包第四步：上图，协议选择，此规则应用到“所选的协议”，选择协议DNS。DNS协议，使用UDP 53端口侦听请求内容，方向“发生接收”。第五步：访问规则源选择，选择规则应用于数据源是“内部”网络计算机。第六步：访问规则目标选择，选择规则应用于数据目标是“本地主机”第七步：用户集选择，选择访问规则针对的请求用户类型“所有用户”。第八步：访问规则建立完成后，如果要使规则立即生效，还要“应用”防火墙配置。应用完成后，用户还需要等待30秒左右才能生效。第九步：接下来，建立允许内部到外部Internet的htt

8、p及https协议通信访问规则。第十步：规则的操作，“允许”允许数据包从指定目标请求内容，“阻止”阻止数据包从指定目标请求内容。第十一步：选择协议，该网站规则针对的协议类型http、https，HTTP协议，基于TCP 80传输数据，方向出站。https协议，基于443传输数据，方向出站。第十二步：恶意软件检查设置，“启用”恶意软件检查。恶意软件检查，可以过滤网页中的木马、钓鱼程序、尝试清除网页中的病毒文件。第十三步:访问规则源选择，选择规则应用于数据源是“内部”网络计算机。第十四步：访问规则目标选择，选择规则应用于数据目标是“外部”网络计算机。第十五步：访问规则针对的请求用户集是“所用用户”

9、。完成TMG的DNS域名解析规则、网站传输协议规则的创建，接下来在内部工作站上，配置TCP/IP参数，测试与Internet的连通性是否正常。第一步：将内网计算机的网关IP地址配置为防火墙内接口，DNS服务器指向防火墙内接口的IP地址。上图在客户端使用nslookup命令测试域名解析。上图显示解析成功！第二步：在内部网络的工作站中，访问外网中的服务器。运行IE浏览器，输入URL地址http：/，连接正常。上图，显示内网计算机172.16.2.253正常通过TMG防火墙。实验：配置TMG防火墙安全筛选策略公司需要限制内部网络用户仅能在工作日的8:0018:00之间访问Internet资源，同时限

10、制用户不能通过web网站的方式在线播放音频、视频内容。第一步：在TMG管理控制台的“防火墙策略”任务栏中，建立时间元素，时间元素范围是8:0018:00，周日、周六被全天排除。第二步：在TMG管理控制台中，修改之前建立的“允许内网访问Internet网站服务器”的规则属性，找到“计划”选项卡，将计划选定为“工作时间”。第三步：在TMG管理控制台中，修改之前建立的“允许内网访问互联网Internet网站服务器”的规则属性，找到“内容类型”选项卡，修改访问规则应用到的内容类型元素，不包括音频、视频内容。第四步：在TMG管理控制台“疑难解答”节点，TMG防火墙提供一个通讯仿真程序，可以代替客户端测试与TMG防火墙的链接。上面：第七章的实验主要是策略的创建！完成！