Управление доступом в Интернет: краткое руководство по правилам доступа TMG — Часть 4: Сети TMG и сетевые правила

Опубликовано: 8 Апреля, 2023

  • Управление доступом в Интернет: краткий обзор правил доступа TMG (часть 1)
  • Управление доступом в Интернет: краткий обзор правил доступа TMG (часть 2)

Введение

В нашей серии, посвященной основам брандмауэра TMG, мы уже рассмотрели правила доступа и правила веб-публикации. На этот раз мы рассмотрим сети TMG и сетевые правила. В целом, брандмауэр TMG, вероятно, является одним из наиболее интуитивно понятных брандмауэров для работы. Вам не нужно запоминать какой-либо язык командной строки, а пользовательский интерфейс является образцом дизайна интерфейса профессионального программного обеспечения. На самом деле было бы недалеко от истины сказать, что модель проектирования программного интерфейса ISA/TMG, вероятно, является наиболее сложной из всего программного обеспечения, которое Microsoft сегодня имеет в своем портфолио.

Но хватит моего почтения брандмауэрам ISA/TMG. Давайте приступим к сегодняшнему уроку, посвященному теме, которую часто упускают новые администраторы брандмауэра TMG, — сетям TMG и сетевым правилам. Я думаю, причина того, что новые администраторы брандмауэра TMG иногда упускают из виду Сети брандмауэра TMG и Сетевые правила брандмауэра TMG, заключается в том, что в отличие от Политики брандмауэра, которая находится прямо на левой панели консоли брандмауэра TMG, узел Сети находится внизу, и это довольно общий термин, поэтому он не бросается в глаза.

Возможно, еще одна причина, по которой новые администраторы брандмауэра TMG не замечают узел «Сети», заключается в том, что если у вас нет более двух сетевых адаптеров в брандмауэре TMG, у вас, вероятно, не будет причин переходить к узлу «Сети» на левой панели брандмауэра TMG. приставка.

Однако, если вы решите поднять свой брандмауэр TMG на новый уровень и добавить больше сетевых карт, чтобы вы могли контролировать и записывать весь трафик, проходящий через брандмауэр TMG, вам нужно знать о сетях брандмауэра TMG и сетевых правилах брандмауэра TMG.. Знание этих тем позволит вам получить максимальную отдачу от многосетевых возможностей брандмауэра TMG.

Создайте сеть брандмауэра TMG

Сетевая модель брандмауэра TMG основана на концепции брандмауэра TMG «Сеть» с заглавной «N». Сеть брандмауэра TMG представляет собой набор IPv4-адресов, не принадлежащих ни к какой другой сети брандмауэра TMG. Сетевая карта, которая соединяет сам брандмауэр TMG с этими IP-адресами, считается «корнем» сети брандмауэра TMG.

Предположим, у вас есть простой брандмауэр TMG с двумя сетевыми картами. Один интерфейс подключен к Интернету, и это внешний интерфейс по умолчанию, и он подключен к внешней сети по умолчанию. Другая сетевая карта подключена к простой сети с одной подсетью, которая является внутренней сетью по умолчанию. Если ваша единственная подсеть 10.0.0.0.-10.0.0.255, то ваша внутренняя сеть по умолчанию определяется этими адресами, а сетевая карта, которая подключается к этой подсети, является «корнем» внутренней сети по умолчанию.

На рис. 1 ниже вы можете увидеть вкладку «Сети» в узле «Сеть» на левой панели консоли брандмауэра TMG. Существует пять сетей брандмауэра TMG по умолчанию:

  • Внешний. Внешняя сеть по умолчанию включает все IP-адреса, которые не являются частью другой сети брандмауэра TMG.
  • Внутренний. Внутренняя сеть по умолчанию определяется при установке брандмауэра TMG. Внутренняя сеть по умолчанию обычно содержит контроллеры домена или DNS-серверы, необходимые брандмауэру TMG для выполнения основных операций.
  • Локальный хост. Локальная хост-сеть определяется IP-адресами, привязанными ко всем интерфейсам сетевых карт брандмауэра TMG.
  • VPN-клиенты, помещенные в карантин. Сеть VPN-клиентов, помещенных в карантин, — это динамически создаваемая сеть, включающая все IP-адреса VPN-клиентов, которые в данный момент находятся в карантине.
  • VPN-клиенты. Сеть VPN-клиентов — это еще одна динамически создаваемая сеть, включающая IP-адреса всех VPN-клиентов, которые в данный момент не находятся в карантине.

Изображение 23420
фигура 1

Если вы хотите иметь более двух сетевых адаптеров в брандмауэре TMG, вам нужно создать новые сети для поддержки этих сетевых адаптеров.

Примечание:
Вы можете иметь более одной сетевой карты в одной и той же сети брандмауэра TMG, но мы не будем рассматривать этот сценарий в этой статье.

Чтобы создать новую сеть брандмауэра TMG, нажмите ссылку «Создать новую сеть» на правой панели консоли брандмауэра TMG. Откроется окно «Добро пожаловать в мастер создания сети», как показано на рис. 2 ниже. На этой странице вы присвоите имя новой сети. В этом примере мы назовем Network DMZ и нажмем Next.

Изображение 23421
фигура 2

На странице «Тип сети» вы должны указать мастеру, какой тип сети вы хотите создать. Вот ваш выбор:

  • Внутренняя сеть. Внутренняя сеть — это сеть, защищенная TMG. Когда вы создаете внутреннюю сеть, вам будет доступен ряд параметров конфигурации, специфичных для этой сети, таких как параметры веб-прокси, которые должны использовать клиенты в сети. О них мы поговорим позже.
  • Сеть периметра. Сеть периметра аналогична внутренней сети с точки зрения опций, доступных вам после завершения сети. На самом деле, нет никакой практической разницы между сетью периметра и внутренней сетью, кроме обозначения «типа», чтобы было легче увидеть, какие сети вы считаете внутренними, а какие считаете DMZ.
  • Сеть VPN Site-to-Site — это особый тип сети, который TMG использует для соединения двух сетей через Интернет с помощью VPN-маршрутизаторов.
  • Внешняя сеть. Внешняя сеть не имеет параметров, доступных для внутренней сети и сети периметра, и не считается защищенной сетью TMG; он позволяет подключаться к внешним ресурсам за пределами вашей организации, но недоступен через шлюз по умолчанию во внешней сети по умолчанию.

В этом примере мы хотим создать DMZ-сеть, поэтому выберем параметр «Сеть периметра», как показано на рис. 3, и нажмем «Далее».

Изображение 23422
Рисунок 3

На странице «Сетевые адреса» вы настраиваете IP-адреса, используемые для определения сети. Это адреса, которые напрямую доступны сетевому адаптеру, подключенному к сети, которую вы создаете. Есть три способа добавления адресов для определения вашей сети:

  • Добавить адаптер — это лучший способ добавить адреса. Если вы настроили таблицу маршрутизации на брандмауэре TMG перед созданием сети, эта опция автоматически включит все адреса, доступные сетевому адаптеру в сети, которую вы определяете.
  • Добавить приват. Эта опция упрощает добавление набора частных IP-адресов для определения вашей новой сети.
  • Добавить диапазон. Эта опция позволяет указать диапазон IP-адресов для определения вашей сети. Вы будете чаще всего использовать его, если вы еще не настроили таблицу маршрутизации на брандмауэре TMG; в этом случае все адреса, напрямую доступные сетевому адаптеру, могут быть не включены при использовании параметра «Добавить адаптер».

В этом примере мы выберем гостевую сетевую карту (я переименовал сетевые карты, чтобы их было легче идентифицировать) в качестве корня сети DMZ, которую я создаю. Это показано на рисунке 4.

Изображение 23423
Рисунок 4

Проверьте свой выбор на странице Completing the New Network Wizard, которую вы видите на рис. 5, и нажмите Finish.

Изображение 23424
Рисунок 5

На данный момент новая сеть создана. Однако вы мало что можете с ним сделать, пока не создадите сетевое правило.

Создайте сетевое правило брандмауэра TMG

Сети соединяются с другими сетями с помощью сетевых правил. Если нет сетевого правила для подключения сети к другой сети, трафик между сетями не будет перемещаться. Когда вы подключаете сеть к другой сети, вы также определяете отношения маршрутизации между этими сетями. Связью маршрутизации может быть либо NAT, либо Route. Отношения маршрута означают, что пакеты от источника к сети назначения маршрутизируются, как и любое другое маршрутизируемое соединение. Если вы выберете отношение NAT, то соединения из исходной сети будут транслироваться по NAT в целевую сеть, при этом основной IP-адрес на сетевой карте, ближайшей к целевой сети, заменит исходный исходный IP-адрес хоста в исходной сети.

Чтобы создать новое сетевое правило, щелкните вкладку «Сетевые правила» в узле «Сети» в консоли брандмауэра TMG. Затем нажмите ссылку «Создать сетевое правило» на правой панели консоли. Первая страница, которую вы видите, — это страница «Добро пожаловать в мастер создания нового сетевого правила», как показано на рис. 6 ниже. Сначала вам нужно присвоить правилу имя в текстовом поле Имя сетевого правила. В этом примере мы назовем правило Internal to DMZ, которое соединит внутреннюю сеть по умолчанию с новой сетью DMZ. Нажмите «Далее».

Изображение 23425
Рисунок 6

В диалоговом окне «Источники сетевого трафика » вы задаете исходную сеть для сетевого правила. В этом примере мы выберем внутреннюю сеть по умолчанию в качестве исходной сети. Нажмите «Добавить», а затем в диалоговом окне « Добавить сетевые объекты» дважды щелкните « Внутренние », как показано на рис. 7. Нажмите «Закрыть », а затем нажмите «Далее».

Изображение 23426
Рисунок 7

На странице «Назначения сетевого трафика» вы устанавливаете сторону назначения сетевого правила. В этом примере мы выберем гостевую сеть (которая является сетью DMZ) в качестве стороны назначения сетевого правила. Нажмите кнопку «Добавить» и выберите сеть DMZ из списка «Сети» в диалоговом окне «Добавить сетевые объекты», показанном на рис. 8, а затем нажмите «Далее».

Изображение 23427
Рисунок 8

На странице Network Relationship, показанной на рис. 9, выберите отношение маршрутизации между исходной и целевой сетью. В этом примере мы выберем опцию Route. Нажмите «Далее».

Изображение 23428
Рисунок 9

Последней страницей мастера является завершение мастера создания нового сетевого правила, показанное на рис. 10. Проверьте свои настройки и нажмите «Готово».

Изображение 23429
Рисунок 10

Вы можете увидеть новое сетевое правило в списке сетевых правил на странице «Сетевые правила», как показано на рис. 11. Сетевые правила оцениваются по порядку, поэтому, если вы заметили некоторое совпадение в правилах, вы можете переместить правило, которое вы хотите, чтобы вас оценили первым выше в списке, щелкнув его правой кнопкой мыши и выбрав команду «Вверх». После того, как правило установлено там, где вы хотите, нажмите кнопку «Применить», чтобы сохранить конфигурацию в политике брандмауэра.

Изображение 23430
Рисунок 11

Резюме

В этой статье мы рассмотрели некоторые из основных концепций, используемых в сети брандмауэра TMG — Сети брандмауэра TMG и Сетевые правила брандмауэра TMG. Если вы никогда не подключали к своему брандмауэру TMG более двух сетевых адаптеров, вам, вероятно, никогда не придется задумываться об этом. Но если вы решите поднять свой брандмауэр TMG на новый уровень, вы можете установить несколько сетевых карт в брандмауэре и создать новые сети брандмауэра TMG. Однако важно помнить, что вы не можете использовать эти сети, пока не создадите сетевое правило брандмауэра TMG для подключения этих сетей. После того, как Сети связаны с Сетевым правилом брандмауэра TMG, обмен данными может проходить между этими Сетями. Однако ничего не пройдет, пока вы не создадите правило брандмауэра (либо правило доступа, либо правило публикации), разрешающее трафик, который вы хотите перемещать между ними.

В следующей статье из этой серии «назад к основам» я расскажу о значениях по умолчанию параметров, доступных в конфигурации сети при создании внутренней сети или сети периметра. Надеюсь, вам понравилась эта статья, и если у вас есть какие-либо вопросы по ней, дайте мне знать! Отправьте мне сообщение по адресу [email protected], и ваш вопрос может появиться в информационном бюллетене в следующем месяце. Тогда увидимся! – Деб.