首页 > 代码库 > LyncServer2013实战之三:TMG防火墙及边缘网络配置
LyncServer2013实战之三:TMG防火墙及边缘网络配置
借助 Forefront Threat Management Gateway 2010防火墙,员工可以安全高效地使用 Internet,而不必担心恶意软件和其他威胁
一、 TMG防火墙的三个网络接口分别用来连接:
外网(Internet)、内网(路由器)、边缘(Lync边缘服务器)
1.1 外网接口IP使用由宽带服务商提共的公网IP
![clip_image002[10]](/d/file/p/2024/07/22/3cdbb2168d5d49623f6bc53b8bf7806e.jpg "clip_image002[10]")
1.2 与边缘服务器接口,IP作为边缘网关
![clip_image004[10]](/d/file/p/2024/07/22/731ac54af469013c89a1b5374c45c5da.jpg "clip_image004[10]")
1.3 与路由器的接口,IP作为由器外网接口网关
![clip_image006[10]](/d/file/p/2024/07/22/83d5d1e66b9489bc7aa11f147568b60e.jpg "clip_image006[10]")
二、 TMG防火墙安装
2.1 首先运行【运行准备工具】
![clip_image008[10]](/d/file/p/2024/07/22/63a60fb658b1b67eea1945368a2f78fb.jpg "clip_image008[10]")
2.2 单击【下一步】
![clip_image010[12]](/d/file/p/2024/07/22/d72d14e1dcd3878bf35bec10ce7d456c.jpg "clip_image010[12]")
2.3 选中【我接受许可协议中的条款】并【下一步】
![clip_image012[10]](/d/file/p/2024/07/22/dc90ce1a8e778585ddcf069e2d9d9c64.jpg "clip_image012[10]")
2.4 选择【Forefront TMG服务和管理】
![clip_image014[10]](/d/file/p/2024/07/22/2c8666e9064301c9e60b10c013031469.jpg "clip_image014[10]")
2.5、勾选【启动Forefront TGM安装向导】并单击【完成】
![clip_image016[9]](/d/file/p/2024/07/22/8255ee5970af8c4671d64cc05ecc6e13.jpg "clip_image016[9]")
2.6 【下一步】,选择【我接受许可协议中的条款】,【下一步】
![clip_image017[7]](/d/file/p/2024/07/22/8b4594ee1a0a37100427792d05beebd8.png "clip_image017[7]")
2.7 根据需情况填入【客户信息】和【产品序列号】
![clip_image018[7]](/d/file/p/2024/07/22/d0f32a6d077d9020bb807e81b576b663.png "clip_image018[7]")
2.8 选择安装路径
![clip_image020[9]](/d/file/p/2024/07/22/577ee5352bd423d62e0d91b0c4957754.jpg "clip_image020[9]")
2.8 添加网关的内网网段,如与路由器连接网段和内网网段
注:一般添加连接内网段即可,添加其它网段好像也没用
![clip_image022[9]](/d/file/p/2024/07/22/c543a96263d3061861910598995e5d48.jpg "clip_image022[9]")
![clip_image024[9]](/d/file/p/2024/07/22/ce1075b1652b43a0fb489592b754847b.jpg "clip_image024[9]")
2.9 单击【下一步】,【下一步】,【安装】
![clip_image026[9]](/d/file/p/2024/07/22/e0c185c3ddd23c9d2503091d9d483a03.jpg "clip_image026[9]")
3.0 半小时左右安装【完成】
注:安装完成后最好重起一下TMG服务器
![clip_image027[7]](/d/file/p/2024/07/22/6f1506425bae1d12014628e6f4a832c2.jpg "clip_image027[7]")
三、TMG服务器的初始配置
3.1 打开【开始】—【程序】—【Microsoft Forefront TMG】—【Forefront TMG 管理】
![clip_image029[7]](/d/file/p/2024/07/22/2a07e0518d8f544b083837eb71845ead.jpg "clip_image029[7]")
3.2 三个步骤配置TMG
3.2.1 点击【配置网络设置】,【下一步】
![clip_image031[7]](/d/file/p/2024/07/22/aa677d5a31370b9fec2be1dad29530e2.jpg "clip_image031[7]")
3.2.2 网络板模选择中【边缘防火墙(E)】或【3向外围网络(P)】
![clip_image033[7]](/d/file/p/2024/07/22/709b2f33ad24e7a0ff85130f76360e55.jpg "clip_image033[7]")
3.2.3 在【连接到LAN的网络适配器(T)】:选择【(Route)】与内网路由器接口网段
![clip_image034[10]](/d/file/p/2024/07/22/0230900c25763cacecf032bb0778ae57.jpg "clip_image034[10]")
3.2.4在【连接到Internet的网络适配器(T)】:选择【Internet】与外网接口网段
![clip_image035[7]](/d/file/p/2024/07/22/808e37b7fc2ed436c683bafb88057148.jpg "clip_image035[7]")
3.2.5 单击【完成】
![clip_image036[9]](/d/file/p/2024/07/22/b396e0e215af0a7f8cdc45a2ffe48014.jpg "clip_image036[9]")
3.3.1 单击【配置系统设置】,【下一步】
![clip_image037[7]](/d/file/p/2024/07/22/f07bf7bcfc444133c3da5a57329a717d.jpg "clip_image037[7]")
3.3.2 在成员选择【工作组】
注:最好不要将TMG服务器加入域
![clip_image039[7]](/d/file/p/2024/07/22/64fbb38b6a89ce1994965c5ac37e9501.jpg "clip_image039[7]")
3.3.3 【完成】
![clip_image040[9]](/d/file/p/2024/07/22/7c03d3a8fd2fedcb6606915b80631c82.jpg "clip_image040[9]")
3.4.1 配置【自定义部署选项】,【下一步】
![clip_image041[7]](/d/file/p/2024/07/22/8bfa25870410c2d8bbadbaf9a447b64f.jpg "clip_image041[7]")
3.4.2 选择【我不想使有Microsoft Update服务】在实际环境中最好选择【使用Microsoft Update服务检查更新】
![clip_image043[7]](/d/file/p/2024/07/22/1052fd8ff9706e2ac1a45fd2d4fcf761.jpg "clip_image043[7]")
3.4.3、选择【是】
![clip_image045[7]](/d/file/p/2024/07/22/57aa8b6d00f4da931be54d9a4dcfc12b.jpg "clip_image045[7]")
3.4.4、TMG许可信息,确定后【下一步】
![clip_image046[9]](/d/file/p/2024/07/22/c0133b708fead8c503d7747abd6d08b7.jpg "clip_image046[9]")
3.4.5 【否,我不愿意参加】
![clip_image047[7]](/d/file/p/2024/07/22/877fea2698e46e64fa11125efb8c0bf0.jpg "clip_image047[7]")
3.4.6 【无,不向Microsoft发送任何信息】
![clip_image048[9]](/d/file/p/2024/07/22/a5809d1356b6af96d884395dcfb1c5e5.jpg "clip_image048[9]")
3.4.7 【完成】配置向导
![clip_image049[7]](/d/file/p/2024/07/22/9d03850a4b6414fae4e90ae57fc7827f.jpg "clip_image049[7]")
四 、TMG网络配置
4.1 新建边缘网络,并且在网络规则中添加新建的边缘网络
4.1.1 右键【网络连接】—【新建】—【网络】
![clip_image051[7]](/d/file/p/2024/07/22/a88931b478212e495e6a509f13b493f1.jpg "clip_image051[7]")
4.1.2 为边缘网络命名如:LyncEdgeNet
![clip_image053[7]](/d/file/p/2024/07/22/30d83b4fd7dfdc2471d710515e22f40b.jpg "clip_image053[7]")
4.1.3 指定网络类型选择【外围网络】
![clip_image054[9]](/d/file/p/2024/07/22/79facee41cceac374191f74206a79afc.jpg "clip_image054[9]")
4.1.4 选择与边缘服务器连接的网络网卡网段,如:DMZ
![clip_image056[9]](/d/file/p/2024/07/22/47a0d0a148f38ba39b4b57f8a9c5f7d2.jpg "clip_image056[9]")
![clip_image058[9]](/d/file/p/2024/07/22/071f009c70495be286d5664dfc765220.jpg "clip_image058[9]")
单击【下一步】
![clip_image060[9]](/d/file/p/2024/07/22/92a0ace3c741a75b108acd5170d6cbc4.jpg "clip_image060[9]")
4.1.5 【完成】确认
![clip_image062[9]](/d/file/p/2024/07/22/e1f7c3f1f642d97fe9d4d06888a2e0ce.jpg "clip_image062[9]")
4.2新建网络后需要把网络规则中添加网段
【网络连接】——这【网络规则】——双击打开【Internet访问】规则
![clip_image064[9]](/d/file/p/2024/07/22/487afe41c6def7fe85eab3027053391c.jpg "clip_image064[9]")
选择【LyncEdgeNet】网段,【添加】后【确认】
![clip_image066[9]](/d/file/p/2024/07/22/d17e80ac2324ceb908f2247c4a1da215.jpg "clip_image066[9]")
4.3 新建从内网、边缘到Internet和TMG主机的出站策略,开始测试时可以永许所有协议和用户
4.3.1 右键【防火墙策略】—【新建】—【访问规则】
![clip_image067[7]](/d/file/p/2024/07/22/f901c07db5ddfce065b22ad50b8597e0.jpg "clip_image067[7]")
4.3.2 为访问策略输入名称
![clip_image068[10]](/d/file/p/2024/07/22/3501bbc96235a99e3f9de44fbbec2a5c.jpg "clip_image068[10]")
4.3.3 选择【允许】—【下一步】
![clip_image070[9]](/d/file/p/2024/07/22/d11bc8cf16bc36846d69a6bb8dbd4538.jpg "clip_image070[9]")
4.3.4 在规则应用中选择【所有出站协议】,【下一步】
![clip_image072[9]](/d/file/p/2024/07/22/bac3603fce8e613e0396fbe8c554c8d5.jpg "clip_image072[9]")
4.3.5 【不对该规则启用恶意软件检查】,【下一步】
![clip_image074[9]](/d/file/p/2024/07/22/f16ebbfbf406fb7cfd68e7d9685232cd.jpg "clip_image074[9]")
4.3.6 在源网络中添加边缘【LyncEdgeNet】和【内部】网络
![clip_image076[9]](/d/file/p/2024/07/22/ca7acdc27b144a4be0685f98a5e0b22f.jpg "clip_image076[9]")
4.3.6 在目标网络中选择Internet【外部】和TMG【本地主机】
![clip_image078[9]](/d/file/p/2024/07/22/abb58f1c88f475496eca59b1530f247a.jpg "clip_image078[9]")
4.3.7 应用到【所有用户】
![clip_image080[9]](/d/file/p/2024/07/22/7697d54d72dd88e79550689a2549ddaa.jpg "clip_image080[9]")
4.3.8 确后【完成】
![clip_image082[9]](/d/file/p/2024/07/22/cdd14d51e03c65352965dade51fdebf3.jpg "clip_image082[9]")
4.3.9 确定【内部】网络是否包含以内网和DMZ网段,如果没有请添加内网段(192.168.10.0—192.168.10.255)到TMG内部网段中:
在【网络连接】—【网络】—双击打开【内部】——在【地址】中【添加范围】,如:
192.168.10.0—192.168.10.255或172.16.0.0—172.16.255.255
![clip_image084[9]](/d/file/p/2024/07/22/35edf32c0ccc3b8ce8de39d1e0adb3a2.jpg "clip_image084[9]")
五、Lync 边缘服务器网络配置
5.1 边缘外网接口与TMG相联,网关指向TMG服务器
![clip_image086[9]](/d/file/p/2024/07/22/3f27bce9fc04942526e385e07f35cce2.jpg "clip_image086[9]")
5.2 边缘内网与路由器相联,首选DNS必须指同内部的DNS服务器
![clip_image088[9]](/d/file/p/2024/07/22/48ee7cd504ec8dad972a1cb5e0a74515.jpg "clip_image088[9]")
六、测试网络的联通性
6.1 增加TMG和边缘到内部的两条路由
6.1.1 TMG服务器上添加一条到内网网段的路由
![clip_image090[9]](/d/file/p/2024/07/22/b586629f89198f3f3210ef9eb5ca02bc.jpg "clip_image090[9]")
6.1.2同样在边缘服务器中增加一条到内网网段的路由:
![clip_image092[9]](/d/file/p/2024/07/22/523877f62b14b51a3d76793e6253f651.jpg "clip_image092[9]")
6.2测试网络联通性:
6.2.1 TMG到外网出站通信
![clip_image094[9]](/d/file/p/2024/07/22/c1e560919ffbb041a13aeb9a8b524f0c.jpg "clip_image094[9]")
6.2.2边缘到外网出站通信
![clip_image096[9]](/d/file/p/2024/07/22/71d720b91a9065dd1a194494c72940e1.jpg "clip_image096[9]")
6.2.3 AD服务器到外网出站通信
![clip_image098[9]](/d/file/p/2024/07/22/8c8f52013f4264c87977b374616680a9.jpg "clip_image098[9]")
本文出自 “飞雪连天” 博客,请务必保留此出处http://pjj1020.blog.51cto.com/468619/1553552
LyncServer2013实战之三:TMG防火墙及边缘网络配置