当前位置:首页 > 电子/通信 > 综合/其它 > FTMG2010只有加入到域才能上网
只有加入到域才能上网2011-04-1320:17:22标签:域ISA身份验证防火墙客户端ForefrontTMG版权声明:原创作品,谢绝转载!否则将追究法律责任。在以前,我写过一篇“别再随便上网的文章”,介绍了使用ISAServer2006、WindowsServer2003的ActiveDirectory,主要内容是让网络中的计算机加入到域、然后安装ISAServer防火墙客户端、使用ISAServer作“代理服务器”后,才能让用户上网的文章。这是在奥运期间,给几个政府做的网络安全中的一部分。这个方案在很长的一段时间应用都没有问题,但随着用户水平的提高,有以下问题:(1)一些用户发现,即使不加入到域,而在IE浏览器中指定代理服务器的地址(ISAServer的地址)与防火墙的端口,也能上网。(2)在使用代理服务器后,除了要在IE中指定代理服务器的地址、端口外(这个是由ISAServer防火墙客户端自动设置好的),其他的一些软件,也需要指定代理服务器与端口,这样就造成了用户的负担。虽然可以在ISAServer中设置策略(排除对HTTP之外协议的身份认证-创建策略,允许“所有用户”从“内部”到“外部”使用除HTTP协议之外的所有协议),但这样一来又与我们的初衷不相符合(只有域用户或只有认证用户才能上网)1实验拓扑为了解决这两个问题,我搭建了图1的实验环境,并实验成功(由于现在许多单位的网络已经升级到WindowsServer2008与ForefrontTMG2010,本实验用TMG2010,ISAServer与此配置相同)。现简单介绍一下。图1实验拓扑在图1中,有两台WindowsServer2008,其中一台作ActiveDirectory服务器,计算机名称为ad,域名为msft.com,IP地址为192.168.1.2,网关为192.168.1.1,DNS为192.168.1.2;另一台计算机安装WindowsServer2008X64(或WindowsServer2008R2),加入到msft.com域,其中内网IP地址为192.168.1.1,外网IP地址为192.168.88.100(用路由器连接到Internet,这是路由器的“内网”地址),DNS为192.168.1.2。另外,在ad.msft.com计算机中安装并配置了DHCP服务器,为网络中的工作站分配IP地址等参数。网络中有两台工作站,分别安装WindowsXP与Windows7,这两台计算机都加入到域。2服务器配置实验的主要步骤如下:(1)在192.168.1.2的计算机中,安装并配置DHCP服务器,设置作用域的地址范围为192.168.1.100~192.168.1.120,子网掩码为255.255.255.0,设置作用域的网关地址为192.168.1.1,DNS为192.168.1.2。同时添加“选项名”为“WPAD”、值为“”的选项,如图2所示。这是为DHCP的客户端自动指派ForefrontTMG防火墙服务器的配置。图2配置DHCP(2)在ForefrontTMG2010的管理控制台中,在“网络连接”中,双击右侧的“内部”,在“web代理”选项卡中,取消“为此网络启用web代理客户端连接”的选择,如图3所示。图3取消Web代理客户端连接【说明】禁用Web代理客户端后,用户再手动设置“ISAServer或ForefrontTMG做代理”将不起作用,因为ForefrontTMG代理服务器没有启用。(3)在“ForefrontTMG客户端”选项卡中,选中“启用此网络的ForefrontTMG客户端支持”,并且指定ForefrontTMG的名称,在本例中为“tmg2010.msft.com”,然后取消“自动检测设置”、“使用自动配置脚本”、“使用Web代理服务器”的选择,如图4所示。图4启用ForefrontTMG客户端支持(4)然后返回到“防火墙策略”,创建访问规则,允许“msft”用户以“所有协议”从“内部”访问“外部”,如图5所示。图5创建访问规则其中“msft”是在ForefrontTMG中创建的“用户集”,代表“msft.com整个域”中的“domainusers”用户组(表示域中所有用户),如图6所示。图6添加域用户集(5)然后应用策略即可。3工作站验证接下来在WindowsXP与Windows7计算机上进行设置。主要步骤如下:(1)在WindowsXP与Windows7中,分别设置为“自动获取IP地址与DNS地址”,然后加入到域并以域用户登录,安装ForefrontTMG的防火墙客户端,安装完成之后,进入“ForefrontTMG客户端”配置,在“设置”选项卡中,选中“启用ForefrontTMG客户端”并选中“自动检测到的ForefrontTMG”,将会检测到ForefrontTMG服务器的地址,在本例中为tmg2010.msft.com,如图7所示。图7安装ForefrontTMG客户端并检查配置(2)然后在客户端中浏览网页、登录QQ、UC、MSN等,使用其他网络软件,这些不用配置都可以使用,如图8所示。图8上网、QQ、UC正常(3)在Windows7客户端测试也正常,如图9所示。图9Windows7测试正常(4)如果以“本地用户”登录到计算机,不能上网,也不能用其他软件(例如QQ),如图10所示。即使设置了代理服务器也不行。图10不加入到域则不能上网4后记下表列出了ForefrontTMG几种客户端的要求与支持身份验证级别、协议支持。功能ForefrontTMG客户端/防火墙客户端Web代理客户端SecureNAT客户端安装详细信息必须在客户端计算机上安装ForefrontTMG客户端或其他防火墙客户端软件不需要安装。不需要安装。操作系统支持Windows操作系统。运行与CERN兼容的应用程序的任何平台。从这类应用程序发出请求的SecureNAT和防火墙客户端还作为Web代理客户端。可以使用支持TCP/IP的任何操作系统。协议支持支持所有Winsock应用程序。支持将HTTP、HTTPS和FTP用于下载请求。支持所有简单协议。需要多个主要连接或辅助连接的复杂协议需要使用ForefrontTMG应用程序筛选器。用户级身份验证向ForefrontTMG服务器自动发送客户端凭据,并根据需要进行身份验证。如果ForefrontTMG请求凭据,则可以进行身份验证。如果启用匿名访问,则不提供任何凭据。无法提供凭据,并且无法通过ForefrontTMG进行身份验证。建议当需要ForefrontTMG中的身份验证规则以改进ForefrontTMG的自动恢复时,用于用户名登录和支持辅助协议。用于通过代理的基于用户的Web访问和发送到上游代理的链Web请求。由于Web请求被直接转发到Web代理筛选器,因此性能良好。用于非Windows客户端。在需要支持非TCP或UDP协议(如ICMP或GRE)时使用。如果要将客户端原始的源IP地址转发到已发布服务器,应将已发布的非Web服务器配置为SecureNAT客户端。ForefrontTMG服务器在TCP的1745端口侦听ForefrontTMG客户端的请求,你可以在防火墙客户端使用netstat–an–ptcp命令,来查看防火墙客户端与服务器端的连接,如图11所示。图11防火墙客户端与服务器端的连接
本文标题:FTMG2010只有加入到域才能上网
链接地址:https://www.777doc.com/doc-2872700 .html