博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

修改Forefront TMG的默认的访问规则:

在配置Froefront TMG的最初的阶段,为了测试网络的连通性,我创建的默认的web访问是允许所有的出站通讯通过。为了限制用户访问Internet,我需要修改默认的策略,使默认的计算机只能够访问我指定的网站。于是修改默认的web访问策略,在协议中指定了Http协议,目标网络指定了我允许访问的URL集。首先这样的配置是任何用户都不能访问互联网,原因是所有的DNS的流量都被禁止了,所以需要创建一个允许DNS流量通过的访问规则,并且要放在默认的允许访问的规则之下。这样一来,Internet的访问是没有问题了,可是原来能够访问的OWA却依然无法打开。基于以上的经验,我知道有一个协议必须被允许通过防火墙,才能够使OWA正常访问,但是却不知道这个OWA能与哪个协议有关。于是采用了比较笨的方法,仔细地测试所有的协议,一遍一遍反复的测试,功夫不负有心人,终于让我在邮件的协议组中,找到了Exehange RPC server这个协议,添加到允许DNS流量通过的那个策略中后,终于能够正常访问OWA了。

通过同样的方法,我找到了能够使TSGW正常工作的那个协议,竟然是Https,将它添加到允许通过的策略中后,在局域网内部也可以使用我发布在公网上的内部的远程应用了。

其实我做过测试,在内网无法访问OWA时,并不影响外部用户使用邮件系统,因为OWA已经对外发布了,包括TS Gateway,所以以上的问题,只是修改了默认的Web访问策略后,内部用户收到了影响,不过TS Gateway我并没有测试内部无法使用时外部能否使用,随后再进行测试。