В этом разделе описывается порядок планирования и выбора топологии сети Forefront TMG, наиболее соответствующей существующей топологии и требованиям к безопасности сети. Здесь описываются топологии, доступные для выбора при настройке сети Forefront TMG, а также рекомендации по реализации для каждой топологии.
 Примечание. |
|---|
| Сеть Forefront TMG представляет собой физическую или логическую сеть, которой принадлежат компьютеры с установленным Forefront TMG. Дополнительные сведения о создании виртуальных частных сетей с использованием Forefront TMG см. в разделе Подготовка к использованию виртуальных частных сетей. |
Доступны следующие топологии сети Forefront TMG:
- Пограничный межсетевой экран — в этой
топологии сервер Forefront TMG размещается на границе сети, где он
выступает в качестве межсетевого экрана организации, и подключен к
двум сетям: внутренней и внешней (обычно к Интернету).
- Трехзонная конфигурация сервера — в
этой топологии реализуется демилитаризованная зона. Forefront TMG
подключается как минимум к трем физическим сетям: к внутренней
сети, к одной или нескольким демилитаризованным зонам и к внешней
сети (обычно к Интернету).
- Внутренний межсетевой экран — в этой
топологии Forefront TMG размещается во внутренней части сети. Эта
топология используется в тех случаях, когда между Forefront TMG и
внешней сетью располагается другой элемент сети, например
демилитаризованная зона или пограничное предохраняющее устройство.
Forefront TMG подключается к внутренней сети и к элементу сети
(перед ним).
- Одна сетевая плата — в этой топологии
реализуются ограниченные функциональные возможности Forefront TMG.
В этой топологии Forefront TMG подключается только к одной сети:
внешней сети или демилитаризованной зоне. Как правило, такая
конфигурация используется, когда Forefront TMG находится во
внутренней корпоративной сети или в демилитаризованной зоне, а
другой межсетевой экран расположен на границе, защищая
корпоративные ресурсы от несанкционированного доступа из Интернета.
Дополнительные сведения см. в разделе Использование
конфигурации с одной сетевой платой.
Forefront TMG может подключаться к локальной сети непосредственно, а также через маршрутизатор или другой межсетевой экран. При подключении Forefront TMG через межсетевой экран для удаленного управления или в качестве защищенного клиента Forefront TMG обратите внимание на следующие моменты:
- Для удаленного управления, например с
компьютера сервера Enterprise Management Server (EMS), требуется
использование удаленного вызова процедур (RPC) для отслеживания
состояния удаленного сервера и службы.
- На пути между клиентами Forefront TMG и
Forefront TMG не должна применяться фильтрация портов.
- Порты, которые используются на промежуточном
межсетевом экране, описываются в статье Обзор служб и требований, относящихся к сетевым портам,
для Microsoft Windows Server System
(http://go.microsoft.com/fwlink/?LinkId=156514)