关于ISA防火墙，用户经常提出这样的问题：在一个配备了关键网络设备的网络中，为什么没有在防火墙控制台对网络行为采取任何控制?产生这个疑问非常正常。毕竟，ISA防火墙是安装在边界(甚至是网络的任何边界)的网络防火墙，它比任何硬件防火墙设计得更为安全和灵活，在网络边缘承担着大量的工作。由于ISA防火墙是网络设备的关键部分，因此更应该能够在防火墙控制端对网络行为进行控制。

　　TMG防火墙很好地解决了这一难题。从图1中可以看到，“网络”节点即专为此设计。该功能为新添加的功能，下面将对此进行一个概要的介绍。

　　图1

　　进入“网络”节点后，将出现图2所示的面板，面板上有7个选项卡：:

　　•网络(Networks)

　　•网络组合(Networks Sets)

　　•网络规则(Networks Rules)

　　•网络适配器(Networks Adapters)

　　•路由(Routing)

　　•Web链(Web Chaining)

　　•ISP冗余(ISP Redundancy)

　　网络(Networks)

　　在“网络”选项卡中，可以看到一个TMG防火墙创建的默认网络列表。在ISA或TMG环境中，“网络”的概念非常重要。防火墙的每个NIC(网络接口卡)都充当TMG网络的“根”(root)”。网络的范围就是从某个特定NIC可以到达的所有地址。这些地址可以在子网中，也可以不在子网中，但都应从充当TMG网络“根”的NIC可以直接到达。任何非本TMG网络定义的IP地址都被视为是另一个TMG网络的一部分，如果这些IP也不是由其他TMG网络定义的，则默认被认为是外部网络的一部分。

　　图2显示了5个默认的TMG网络：

　　图 2

　　•外部(External) —所有地址均不属于其他任何TMG网络的一部分。

　　•内部(Internal)—定义的所有地址均作为默认内部网络的一部分

　　•本地主机(Local Host) —所有绑定到TMG防火墙NIC的地址。

　　•被隔离的VPN客户端(Quarantined VPN Clients) —属于被隔离的VPN客户端的地址。

　　•VPN客户端(VPN Clients) —属于非隔离的VPN客户端的地址。

　　需要说明的是，与网络有关的VPN是动态构建的。也就是说，当VPN客户端连接到TMG防火墙、VPN服务器和网关时，可以添加或删除地址。

　　如果在TMG防火墙安装了新的NIC，就需要为该网卡创建一个新网络，并且这个新网络应包括所有通过该网卡可以直接到达的所有地址。这是一个导致隔离区(DMZ)连接失败的常见原因，请务必牢记这一点。

　　图5

　　网络组合(Network Sets)

　　在“网络组合”选项卡中，有一个默认的网络组合列表。网络组合即在“网络”选项卡中定义的网络的集合。列表中有三种默认的网络组合：

　　•All Networks (and Local Host) —所有网络(及本地主机)。顾名思义，这包括所有网络，其中也包含默认的外部网络。创建外部网络准许规则时稍有不慎，就有可能会降低防火墙的防护标准。因此使用外部网络时，应多加注意。

　　•All Protected Networks—所有受保护的网络。它包括除默认外部网络之外的所有网络。

　　•Forefront Protection Manager Monitored Networks— Forefront保护管理监测网络。由于微软并未着力发展Forefront保护管理产品，因此该选项用处不大。

　　利用创建新网络组合向导，用户可自行创建网络组合。

　　图6

　　网络规则(Networks Rules)

　　在“网络规则”选项卡中，可以看到一个默认的网络规则列表。网络之间的互连需要用到网络规则。用户创建防火墙规则用来准许任意两台主机进行通信时，在主机间产生流量之前，必须首先创建一个网络规则用于连接源网络和目标网络。网络规则定义了网络之间的连接类型，连接类型有两种：路由(Route)或网络地址转换(NAT)。

　　默认的网络规则包括：

　　•Local Host Access—本地主机访问。该规则定义本地主机网络与所有其他网络之间的连接类型为Route。

　　•VPN Clients to Internal Network—VPN客户端到内部网络。该规则定义VPN客户端、被隔离的VPN客户端网络及默认内部网络之间的连接类型为Route。注意：网络规则不允许VPN客户端连接到互联网。

　　•Internet Access—互联网访问。该规则定义默认的互联网网络、被隔离的VPN客户端网络及VPN客户端网络与互联网之间的连接类型为NAT。

　　源计算机和目标计算机互连时，网络规则提供了很大的灵活性。比如，用户可以在TMG防火墙前端终止VPN客户端连接，并可在TMG防火墙前端重新定义一个网络，然后在新网络与默认内部网络之间创建一个路由网络规则。

　　图7

　　网络适配器(Network Adapters)

　　在“网络适配器”选项卡中，可以看到一个安装在TMG防火墙中的网卡的列表。右键点击其中一个网卡，选择“属性”，将出现网卡属性对话框。用户可在TMG控制台更改网卡的IP地址等配置。

　　图 8

　　路由(Routing)

　　在“路由”选项卡中，可以看到TMG防火墙路由列表的内容，也可添加“网络拓扑路由”(Network Topology Routes)，并对其进行配置。

　　图9

　　Web链(Web Chaining)

　　在“Web链”选项卡中，可以创建新的Web链规则。Web链规则是一种将Web代理客户端连接到Web代理服务器的方式。Web代理服务器也可彼此连接起来，在这种情况下，近端Web代理服务器充当远端Web代理服务器的Web代理客户端。图7为默认Web链规则的“属性”对话框。注意，创建Web链规则后，用户可重定向连接到一个特定的Web代理服务器，并配置一个备份路由。Web代理链是Proxy 2.0产品的保留功能。

　　图10

　　ISP冗余(ISP Redundancy)

　　最后一个选项卡是“ISP冗余”。在这里，可以使用两个ISP来配置TMG防火墙。用户可同时使用两个ISP，也可在两个ISP之间进行负载均衡，或者始终使用一个ISP(主ISP)，将另一个配置为备用ISP，仅当主ISP发生故障转移时才启用备用ISP。

　　图11

　　其他

　　下面介绍ISA防火墙其他方面的一些设置。在下图的“任务”选项卡中，可以看到一个“设定拨号选项”(Specify Dial-up Preferences)链接。

　　图3

　　点击“设定拨号选项”链接后，将弹出“拨号配置”(Dialing Configuration)对话框。数年之前，ISA 2000防火墙通常使用拨号连接，在当时ISDN是用户唯一负担得起的“高速”互联网选择，如今这一功能在新版本中得到了保留。今天，拨号网络已经基本上没有生存空间，因此，很少会用到该对话框。

　　图4

　　需要说明的是，ISA早期版本的防火墙客户端在这里已更名为TMG客户端。点击该选项卡中的“设置Forefront TMG客户端”链接可对TMG客户端进行配置。

　　结语

　　本文介绍了TMG防火墙控制台的“网络”节点。“网络”节点汇集了一系列与TMG防火墙相关的配置选项。“网络”节点推出的新功能包括在控制台配置NIC、路由表条目及使用多ISP。