none
Грамотное конфигурирование DMZ. RRS feed

  • Вопрос

  • Добрый день Уважаемые господа.

    Решил озадачиться настройкой пограничного транспортного сервера для MS Exchange и столкнулся с небольшой проблемой- никогда прежде не было необходимости настраивать DMZ на TMG, либо ISA.

     Может есть некие статейки для оптимального конфигурирования DMZ зоны (то есть как это сделать,какие схемы существуют...) ?

    Спасибо.


    Век живи, век учись!
    • Изменено rеstless 22 сентября 2011 г. 8:45
    22 сентября 2011 г. 8:45

Ответы

  • TMG может быть членом домена (а может и не быть, тогда нужно будет подымать аутентификацию по LDAP).

    Первый вариант DMZ (классический): Инет - Фаерволл - TMG - LAN. DMZ образуется между внешним фаерволлом (это может быть необязательно TMG - а какой-нить Cisco PIX или ASA или еще что-то), туда и помещаются edge, всякие веб-сервера и прочие фронтенды. В домен они не вводятся, аутентификация осуществляется через те же LDAP или RADIUS или еще какой-то сервис аутентификации, который нужно опубликовать на TMG.

    Второй вариант: TMG с тремя сетевыми адаптерами, один смотрит в инет, третий - в локалку, четвертый в свитч DMZ. Все DMZ втыкаются в этот свитч, и см. выше. Этот вариант еще называют "DMZ для бедных".

    И тот и тот вариант конфигурируется с помощью визарда в TMG, но никто не запрещает сделать все руками.


    MVP: Virtual Machine
    • Помечено в качестве ответа rеstless 7 октября 2011 г. 10:36
    7 октября 2011 г. 6:38

Все ответы

  • лучше конкретизировать вопрос, какого именно результата в вашем случае вы хотите добиться


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    23 сентября 2011 г. 9:24
  • лучше конкретизировать вопрос, какого именно результата в вашем случае вы хотите добиться


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Ок! Конкретизирую:Необходимо поставить Edge Transport вне домена в DMZ, то есть попробовать сделать схему Back-To-Back Firewall.

    Далее настроить на TMG маршрутизацию между DMZ и локальной сетью.Как это сделать ?


    Век живи, век учись!
    23 сентября 2011 г. 10:19
  • Сделать очень просто - с помощью визарда, запускающегося сразу после инсталляции TMG.


    MVP: Virtual Machine
    23 сентября 2011 г. 12:30
  • а кем тмг то будет в back to back? передним или задним?

    26 сентября 2011 г. 9:13
    Отвечающий
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    4 октября 2011 г. 8:48
  • а кем тмг то будет в back to back? передним или задним?

    Ну давайте допустим что у меня два TMG (внешний и внутренний);-)
    Век живи, век учись!
    6 октября 2011 г. 6:00
  • для dmz есть две основные схемы: back-to-back и 3-leg. в первой dmz помещают между фаерами, во второй - на третью сетевуху одного фаера.

    6 октября 2011 г. 7:41
    Отвечающий
  • для dmz есть две основные схемы: во второй - на третью сетевуху одного фаера.

    А вот тут, если можно по подробнее, это-то мне как раз и необходимо! Есть один фаер TMG и есть третья сетевуха. Там то же Wizar-дами ?

    То есть есть у меня допустим EDGE сервер для MS Exchange 2010 и я хочу поместить EDGE в DMZ, но фаер у меня один! 


    Век живи, век учись!
    6 октября 2011 г. 8:50
  • я не в курсе как в tmg, но в исе был такой шаблон с тремя сетевухами - внутренняя, внешняя и dmz. а дальше все ровно также как и для любого файрвола - основные принципы не меняются

    кстати edge можно поместить и на сам tmg

    6 октября 2011 г. 9:53
    Отвечающий
  • кстати edge можно поместить и на сам tmg

    Да естественно можно! Но тут возникает тонкий вопрос, так как TMG вообще то должен быть членом домена. А EDGE рекомендуют понимать на сервере не включенным в домен! Либо есть другие соображения ?

    Спасибо!


    Век живи, век учись!
    6 октября 2011 г. 10:20
  • TMG может быть членом домена (а может и не быть, тогда нужно будет подымать аутентификацию по LDAP).

    Первый вариант DMZ (классический): Инет - Фаерволл - TMG - LAN. DMZ образуется между внешним фаерволлом (это может быть необязательно TMG - а какой-нить Cisco PIX или ASA или еще что-то), туда и помещаются edge, всякие веб-сервера и прочие фронтенды. В домен они не вводятся, аутентификация осуществляется через те же LDAP или RADIUS или еще какой-то сервис аутентификации, который нужно опубликовать на TMG.

    Второй вариант: TMG с тремя сетевыми адаптерами, один смотрит в инет, третий - в локалку, четвертый в свитч DMZ. Все DMZ втыкаются в этот свитч, и см. выше. Этот вариант еще называют "DMZ для бедных".

    И тот и тот вариант конфигурируется с помощью визарда в TMG, но никто не запрещает сделать все руками.


    MVP: Virtual Machine
    • Помечено в качестве ответа rеstless 7 октября 2011 г. 10:36
    7 октября 2011 г. 6:38
  • ( тогда нужно будет подымать аутентификацию по LDAP).

     


    MVP: Virtual Machine
    Спасибо за ответ! А вот аутентификация LDAP   я так понимаю на Самом TMG можно это сделать , там как раз есть в панели для разрешений пользователей-выбор типа аутентификации, либо на самой Windows Server 2008 R2 LDP компоненту поднимать ?
    Век живи, век учись!
    • Изменено rеstless 7 октября 2011 г. 10:39
    7 октября 2011 г. 10:39
  • ЕМНИП для edge (если речь об exchange edge transport) на сервере ставится экземпляр AD LDS, который будет хранить данные по юзерам и периодически синхронизироваться с AD посредством LDAP. Нужно пробросить соответствующий порт от одного из контроллеров домена - в мануале по Exch все написано.


    MVP: Virtual Machine
    7 октября 2011 г. 12:19