Εισαγωγή

Ο σκοπός αυτού του άρθρου ειναι να παρουσιάσουμε το πως μπορούμε να χρησιμοποιήσουμε τα Microsoft Forefront TMG network templates, καθώς επίσης και τον τρόπο με τον οποίο μπορούμε να δημιουργήσουμε επιπλέον δίκτυα (additional networks). Τέλος θα παρουσιάσουμε και την μεθοδολογία με την οποία μπορούμε να παραμετροποιήσουμε τις ρυθμίσεις δικτύου του Forefront TMG (Customizing TMG network settings).

 

Ας Ξεκινήσουμε

Ο Forefront TMG χρησιμοποιεί το πρότυπο του πολλαπλού δικτύου (concept of multi networking). Για να καθορίσουμε την τοπολογία δικτύου μπορούμε να δημιουργήσουμε δίκτυα μέσα στον Forefront TMG. Εφόσον όλα τα απαραίτητα δίκτυα έχουν δημιουργηθεί, τότε είναι δυνατόν χρησιμοποιώντας δύο τύπων κανόνες δικτύου (Networking Rules) να φέρουμε σε επικοινωνία - συσχετισμό τα δημιουργηθέντα δίκτυα μεταξύ τους. Ο Forefront TMG υποστηρίζει τους παρακάτω δύο τύπους κανόνων δικτύου :

 

• Route – Ο δικτυακός κανόνας του τύπου Route καθορίζει – εφαρμόζει μια δικτυακή σύνδεση διπλής κατεύθυνσης (bidirectional network connection) μεταξύ δύο δικτύων η οποία επιτρέπει την διαμεταγωγή δεδομένων χρησιμοποιώντας τις αυθεντικές διευθύνσεις IP μεταξύ αυτών των δικτύων.
• NAT - Ο δικτυακός κανόνας του τύπου NAT (Network Address Translation) εφαρμόζει μια δικτυακή σύνδεση μονής κατεύθυνσης μεταξύ δύο δικτύων, ο οποίος εφαρμόζει μάσκες στις διευθύνσεις IP από το τμήμα δικτύου με τη διεύθυνση IP του προσαρμογέα δικτύου που αντιστοιχεί Forefront TMG.

Αφότου τα Δίκτυα και οι Κανόνες δικτύου έχει δημιουργηθεί, θα πρέπει να δημιουργήσουμε τους κανόνες Firewall οι οποίοι επιτρέπουν ή δεν επιτρέπουν την κυκλοφορία δεδομένων δικτύου (network traffic) μεταξύ των συνδεδεμένων δικτύων.

Network templates

Για να διευκολυνθεί η διαμόρφωση του Forefront TMG, ο TMG προβλέπει την δημιουργία δικτυακών προτύπων τα οποία επιτρέπουν τη δημιουργία τυπικών σεναρίων Firewall. Βεβαίως είναι δυνατόν να αλλάξει ο σχεδιασμός του δικτύου αναπάσα στιγμή μετά την αρχική εγκατάσταση. Το μόνο που έχετε να κάνετε είναι να ξεκινήσει η Getting Started Wizard στο TMG κονσόλα διαχείρισης. Το παρακάτω screenshot δείχνει την εκκίνηση Ξεκινώντας θέση οδηγού.

 

 

Εικόνα 1: Forefront TMG Getting Started Wizard

 

Διαμορφώσετε τις ρυθμίσεις δικτύου

Με την εκκίνηση του οδηγού - Getting Started Wizard – ο TMG μας επιτρέπει να επιλέξουμε το απαιτούμενο δικτυακό πρότυπο. Ο Forefront TMG έρχεται με 4 templates δικτύου :

 

1.     Edge Firewall
2.     3-Leg perimeter
3.     Back firewall
4.     Single network Adapter

Edge Firewall

Το πρότυπο (Template) δικτύου Edge Firewall είναι ένα κλασικό πρότυπο δικτύου και συνδέει το εσωτερικό δίκτυο με το Διαδίκτυο, τα οποία προστατεύονται από τον Forefront TMG. Χαρακτηριστικό του προτύπου Edge Firewall είναι ότι απαιτεί τουλάχιστον δύο προσαρμογείς δικτύου για την Forefront TMG Server.

3-Leg Perimeter

Το πρότυπο (Template)  δικτύου 3-Leg Perimeter Firewall αποτελεί έναν Forefront TMG Server με τρεις ή περισσότερους προσαρμογείς δικτύου. Ένας προσαρμογέας δικτύου συνδέει το εσωτερικό δίκτυο, ένας προσαρμογέας δικτύου που συνδέεται με το εξωτερικό δίκτυο, και ένας προσαρμογέας δικτύου που συνδέεται με την DMZ (αποστρατικοποιημένη ζώνη), που ονομάζεται επίσης και περιμετρικό δίκτυο. Το Περιμετρικό δίκτυο περιλαμβάνει υπηρεσίες, οι οποίες θα πρέπει να είναι προσβάσιμες από το Internet, αλλά ταυτόχρονα προστατεύεται από τον Forefront TMG. Τυπικές υπηρεσίες στην DMZ είναι Web Servers, DNS Servers ή WLAN δικτύων. Το πρότυπο 3-Leg Perimeter Firewall επίσης συχνά ονομάζεται "Firewall του φτωχού", επειδή δεν είναι μια "πραγματική" DMZ. Μια αληθινή DMZ είναι η ζώνη μεταξύ δύο διαφορετικών εμπορικών σημάτων Firewall (π.χ. Cisco, FortiNet).

Backfirewall

Το πρότυπο (Template)  δικτύου Back Firewall  μπορεί να χρησιμοποιηθεί από τον Administrator  του Forefront TMG, όταν ο ForeFront TMG βρίσκεται πίσω από ένα Front Firewall. Το Back Firewall προστατεύει το εσωτερικό δίκτυο από την πρόσβαση από την DMZ και το εξωτερικό δίκτυο καθώς επίσης ελέγχει την κίνηση στο δίκτυο η οποία επιτρέπεται από τους DMZ hosts και από τον Front Firewall.

Σημείωση :

Ο Forefront TMG δεν περιλαμβάνει κανενός είδους πρότυπο δικτύου (network template) Front Firewall.

Single Network Adapter

Το πρότυπο (Template)  δικτύου Single Network Adapter έχει κάποιους περιορισμούς, επειδή αποτελεί έναν Forefront TMG server με μια και μόνη διεπαφή δικτύου, και δεν μπορεί να χρησιμοποιηθεί ως ένα πραγματικό τείχος προστασίας, με συνέπεια πολλές υπηρεσίες δεν είναι διαθέσιμες. Μόνο τα ακόλουθα χαρακτηριστικά είναι διαθέσιμα:

• Προωθώντας  Web Proxy αιτήματα μεσολάβησης που χρησιμοποιούν HTTP, Secure HTTP (HTTPS), ή File Transfer Protocol (FTP) για downloads
• Cache περιεχόμενο στον Παγκόσμιο Ιστό (Cache Web content) για χρήση από τους πελάτες σχετικά με το εταιρικό δίκτυο
• Web Publishing με σκοπό να συμβάλει στην προστασία δημοσιευμένων Web ή FTP servers
• Microsoft Outlook Web Access, το ActiveSync, και κλήση απομακρυσμένης διαδικασίας (RPC) μέσω HTTP εκδόσεων (που ονομάζεται επίσης Outlook Anywhere στον Exchange Server 2007 και άνω)

 

Εικόνα 2: Επιλογή δικτυακού προτύπου

 

Ως επόμενο βήμα, επιλέξτε το προσαρμογείς δικτύου που θα πρέπει να χρησιμοποιούνται για το δίκτυο αυτό το πρότυπο. Για αυτό το παράδειγμα χρησιμοποιείται το Edge Firewall πρότυπο κι επομένως θα πρέπει να επιλέξετε τον προσαρμογέα δικτύου που συνδέεται με το LAN και τον προσαρμογέα δικτύου που συνδέεται με το εξωτερικό (μη αξιόπιστο) δίκτυο.

 

 

Εικόνα 3: Επιλογή προσαρμογέα δικτύου

 

Στον Forefront TMG είναι πλέον δυνατόν να καθορίσετε πρόσθετες γραμμές του δικτύου με το UI. Δεν χρειάζεται να χρησιμοποιήσετε την εντολή Route add από τη γραμμή εντολών. Το παρακάτω screenshot δείχνει την προεπιλογή των δικτύων που δημιουργούνται από την εγκατάσταση του Microsoft Forefront TMG. Μόνο το εσωτερικό δίκτυο έχει τη δυνατότητα να ρυθμίσει τις περιοχές διευθύνσεων IP.

 

 

Εικόνα 4: Forefront TMG δίκτυα

 

Ο Forefront TMG έρχεται με ενσωματωμένους ορισμένους κανόνες δικτύου που καθορίζουν τις σχέσεις μεταξύ των δικτύων.

 

Εικόνα 5: Forefront TMG – Δικτυακοί κανόνες

 

Επίσης, νέο στοιχείο στον Microsoft Forefront TMG είναι η ενσωματωμένη δυνατότητα να καθορίζει ο χρήστης κάποιες βασικές ρυθμίσεις του προσαρμογέα δικτύου, όπως οι διευθύνσεις IP, Default Gateways και περισσότερο.

 

Εικόνα 6: Forefront TMG – Προσαρμογείς δικτύου

 

Το παρακάτω screenshot δείχνει τις επιλογές διαμόρφωσης για τους προσαρμογείς δικτύου του TMG.

 

Εικόνα 7: Forefront TMG – Ιδιότητες διευθύνσεων IP.

 

Με τον Forefront TMG είναι πλέον δυνατόν να δημιουργηθούν νέες γραμμές δικτύου (new network routes), κάνοντας χρήση της κονσόλα διαχείρισης του TMG.

 

Εικόνα 8: Forefront TMG Network routes

 

Το παρακάτω screenshot δείχνει ένα παράδειγμα δημιουργίας μιας νέας διαδρομής  στην υπάρχουσα τοπολογία δικτύου και η λειτουργία αυτή γίνεται στο παράθυρο διαλόγου με τίτλο : Network Topology Route.

 

Εικόνα 9: Forefront TMG – Δημιουργία νέας διαδρομής  στην υπάρχουσα τοπολογία δικτύου.

 

Νέα δίκτυα στον TMG

Είναι δυνατόν να δημιουργηθούν επιπλέον δίκτυα στον Forefront TMG. Ο Forefront TMG έρχεται με ενσωματωμένο οδηγό για τη δημιουργία νέων δικτύων.

 

Εικόνα 10: Forefront TMG – Νέο όνομα δικτύου

 

Νέα δίκτυα μπορούν να δημιουργηθούν για διάφορους τομείς. Για παράδειγμα, είναι δυνατόν να δημιουργηθεί ένα νέο δίκτυο για επιπλέον DMZ στον Microsoft Forefront TMG.

 

Εικόνα 11: Forefront TMG – Καθορισμός τύπου δικτύου

 

Προσδιορίστε το εύρος διευθύνσεων IP για το νέο δίκτυο.

 

Εικόνα 12: Forefront TMG – Εύρος διευθύνσεων IP

 

Αφότου το νέο δίκτυο έχει δημιουργηθεί, θα πρέπει να συνδέσουμε το νέο δίκτυο με έναν υπάρχον κανόνα δικτύου ή αντίστοιχα είναι δυνατόν να δημιουργήσουμε έναν νέο σχεσιακό κανόνα δικτύου τύπου Route ή NAT.

 

Εξάγωγή και εισαγωγή ρυθμίσεων δικτύου

Είναι δυνατόν να εξάγουμε όλες τις ρυθμίσεις του Forefront TMG (Forefront TMG networks and network settings) σε ένα αρχείο XML με τις ενσωματωμένες δυνατότητες εισαγωγής και εξαγωγής του Forefront TMG.

 

Εικόνα 13: Forefront TMG – Εξαγωγή και εισαγωγή ρυθμίσεων δικτύου

 

Συμπέρασμα

Σε αυτό το άρθρο, προσπάθησα να σας δώσω μια γενική εικόνα σχετικά με τον τρόπο χρήσης των δικτύων, των προτύπων δικτύων και των κανόνων δικτύου του Forefront TMG με σκοπό να δημιουργήσετε την δική σας τοπολογία δικτύου με τον TMG. Όπως έχετε δει σε αυτό το άρθρο είναι πολύ εύκολο να δημιουργήσετε μια τοπολογία του δικτύου με τη βοήθεια των προτύπων δικτύου. Ο Forefront TMG έχει μερικές χρήσιμες βελτιώσεις που σχετίζονται με τη διαμόρφωση του δικτύου. Είναι ένα καλό χαρακτηριστικό γνώρισμα ότι είναι πλέον δυνατόν για τους διαχειριστές του TMG να δημιουργούν διαδρομές δικτύου με την κονσόλα διαχείρισης του TMG και ότι επίσης είναι δυνατόν να ρυθμίσετε μερικές βασικές ρυθμίσεις των διευθύνσεων IP με την κονσόλα του TMG. Οι περισσότερες από τις υπόλοιπες ρυθμίσεις παρέμειναν αμετάβλητες σε σύγκριση με τον Microsoft ISA Server 2006.