Forefront Threat Management Gateway 2010 (TMG) – 正式安裝 (2/2)

Forefront Threat Management Gateway 2010 (TMG) – 正式安裝 (1/2)

安裝過程(Forefront Threat Management Gateway 2010 (TMG) – 正式安裝 (1/2))

  • 前置作業
  • 準備工具
  • 安裝精靈

ForeFront主控台設定(Forefront Threat Management Gateway 2010 (TMG) – 正式安裝 (2/2))

  • 設定網路設定
  • 設定系統設定
  • 定義部屬選項

設定網路設定

此時如果出現都無法選擇的畫面,如下

代表你的安裝還沒有完成,請檢查你是否有以下畫面
如有請等待數10分鐘

完成以後可以看到下圖,您已經可以選擇,但外圍三向為何還不能點選,這是因為您的網路架構不符合,如本例,您需加裝一網卡才可以點選該項,在這我們選邊緣防火牆(Edge firewall)

設定您對內(LAN)的網卡與對外的(WAN),設定先前規劃的LAN網段

設定先前規劃的WAN網段,這裡我們手動設定IP相關資訊,並要記得下面要選私用,一般的架構內部都是用私用IP,除非你是ISP或是有很多公用IP才有此需求

如果您是選擇DHCP發送的會出現下圖警告,因為您選自動取得的關係,會讓防火牆容易受到DHCP伺服器的牽制造成資安問題,因此系統會警告。順帶一提如果是一般運行的伺服器建議用靜態IP位址,並做好ARP綑綁來確保伺服器不會被中間人攻擊。

這樣就可以完成網路設定精靈

設定系統設定

設定您的工作群組,如果有網域的話請設定網域,本實驗環境為簡易使用環境,因此尚未架設AD,此部分也可在之後修改

定義部屬選項

在授權的部分,我們使用評估模式,企業可以先使用評估在之後買了授權在更換,並啟動惡意程式碼掃描與URL篩選

惡意程式碼防禦

惡意程式防禦多久檢查一次更新,我們這裡用預設即可

之後的相關設定請自行選擇,等到設定完成後,我們就可以準備進入網頁存取精靈的設定部份,這也是TMG2010的新功能

URL篩選

這裡我們選擇是,不然就無法使用新功能的效果

此時我們可以看到內建好的網頁清單,微軟自網頁掃描廠商取得網頁分類,它會透過雲端來更新網頁分類,讓使用者可以即時享受無所不在的安全過濾

當然管理者都希望封鎖一般使用者而自己當然不希望被封鎖的感覺,這時就可以把自己加入例外清單。選擇「系統及網路服務

新增一個不受控制的群組

看你的需求作選擇,如果是要允許Windows系統使用者請選擇「Windows使用者和群組

選擇不受限的用戶,自己當然要先加進來

此時你就自定好一個不受封鎖的群組

設定是否檢查「網頁的內容」網頁可能帶有惡意程式或木馬請選擇檢查,而一些病毒可能會透過加密的壓縮來躲防毒軟體的偵測,因此你可以設定是不是封鎖這類檔案,在這裡我們都封鎖

HTTPS封包檢查

TMG另一個特色就是可以檢查HTTPS封包的東西,它的原理是利用像中間人攻擊的手法,攘您在作HTTPS通訊時都經過TMG而它也可以藉機分析封包的安全性,但HTTPS檢查需要匯入憑證檔,您必續透過AD或是IIS來產生,因此在這裡您還沒有憑證先不用開使這個功能,可以留後再使用

透過AD或是手動的將憑證會出到各個電腦

網頁掃描會使用到較多系統資源,建議可以給它一個獨立的硬碟來當快取磁碟

到此我們以經完成安裝與基本設定,現在一般電腦如果在TMG的環境下要上網,必須安裝TMG客戶端,或是TMG有開啟網頁代理服務透過TMG的伺服器上網

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *


*