工作群組與網域考量

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

在安裝期間,您可以選擇在網域環境中或是在工作群組環境中部署 Forefront TMG Enterprise。本主題的設計是為了協助您根據下列考量選取部署環境:

note附註:
這些考量也適用於安裝 Forefront TMG Standard 且加入企業管理伺服器 (EMS) 的電腦。

一般考量

選取網域或工作群組部署時,應該考慮下列各點:

  • 在工作群組環境中的企業部署與陣列部署需要額外的準備步驟,但在網域環境中則不需要,而且基於管理考量,需要在 Forefront TMG 電腦上維護鏡像帳戶。

  • 在工作群組環境中不支援 EMS 複寫。

  • 在工作群組環境中不支援自動網頁 Proxy 偵測。如需相關資訊,請參閱規劃自動網頁 Proxy 偵測

  • 在工作群組環境中,必須將伺服器憑證安裝在 Forefront TMG 電腦上。如需相關資訊,請參閱規劃伺服器憑證

  • 您可以設定 VPN 用戶端使用者對應,將非 Microsoft Windows 作業系統的使用者對應至網域使用者帳戶。只有在網域中安裝 Forefront TMG 時,才支援使用者對應。

  • 在網域中,您可以使用群組原則來鎖定 Forefront TMG 伺服器,而不只是設定本機原則。

  • 在網域環境中,因為具有網域系統管理員權限的使用者可以管理每個網域成員 (包含執行 Forefront TMG 的伺服器),所以只要危及 Active Directory (例如內部攻擊),就會一併危及防火牆。同樣地,如果危及防火牆,則 Forefront TMG 所在的網域也會有風險。Domain Admins 群組預設是在 Forefront TMG 伺服器的 Administrators 群組中。

  • 如果您打算要啟用 HTTPS 檢查,工作群組環境就不支援將 HTTPS 檢查受信任的根憑證授權單位 (CA) 憑證自動部署至用戶端電腦。

網路拓撲考量

Forefront TMG 一般是用於下列網路拓撲設定:

  • 邊緣設定

    • 保護邊緣的 Forefront TMG,具有一張連線至內部網路的介面卡,以及另一張連線至外部網路的介面卡。

    • 背對背式設定,Forefront TMG 做為保護邊緣的前端防火牆,具有一張連線至外部網路的介面卡,以及一張連線至周邊網路的介面卡。後端防火牆 (可以是 Forefront TMG 或協力廠商產品) 是設定為介於周邊網路與內部網路之間。

    • 三向設定,Forefront TMG 設定為具有三張網路介面卡,分別連線至內部網路、外部網路及周邊網路。

    在邊緣中,您可以將 Forefront TMG 安裝為網域成員,或以工作群組模式進行安裝。若為網域成員,建議您將 Forefront TMG 安裝於與企業樹系具有單向信任的不同樹系 (非企業網路的內部樹系)。如果 Forefront TMG 電腦的樹系遭受攻擊,如此可防止內部樹系受到危及。然而,這種部署有一些限制。例如,您只可以針對 Forefront TMG 網域中定義的使用者設定用戶端憑證驗證,而無法針對企業內部網域或樹系中的使用者。

  • 內部設定

    • 在背對背式實例中,位於後端的 Forefront TMG。在 Forefront TMG 伺服器安裝在邊緣,而第二部 Forefront TMG 伺服器安裝在後端的典型實例中,是以工作群組模式安裝前端 Forefront TMG 伺服器,而將後端伺服器安裝為網域成員。將後端伺服器安裝為網域成員,可讓您針對 AD DS 驗證要求。此外,還可以使用群組原則來強化內部 Forefront TMG 電腦,以簡化管理。

    • 設定單一網路介面卡的 Forefront TMG。在這個實例中,Forefront TMG 的作用如同網頁 Proxy 或快取伺服器。在這個實例中,將 Forefront TMG 電腦安裝為網域成員的主要優點,即是容易讓 AD DS 驗證使用者。

驗證考量

選取網域或工作群組部署時,應該考慮下列驗證問題:

  • 存取規則需要內部用戶端驗證輸出存取時,Forefront TMG 可以針對 AD DS 來驗證網域使用者帳戶。工作群組環境中的網頁 Proxy 要求可由 RADIUS 伺服器進行驗證。

  • 防火牆用戶端要求會自動包含使用者認證。若要驗證這些要求,Forefront TMG 應該屬於網域。在工作群組環境中,您可以驗證要求的使用者帳戶,在 Forefront TMG 伺服器之本機 Security Accounts Manager (SAM) 中儲存了這些使用者帳戶的鏡像帳戶,但是驗證需要某些系統管理工作以進行安全管理。

  • 若要使用網域帳戶認證或憑證驗證來驗證對於內部網頁伺服器的輸入要求,Forefront TMG 必須屬於網域。在工作群組環境中,RADIUS 或 SecurID 伺服器可以用於進行驗證。

  • 若要使用網域帳戶認證或憑證來驗證虛擬私人網路 (VPN) 要求,Forefront TMG 必須屬於網域。在工作群組環境中,RADIUS 伺服器可以用於進行驗證。

相關主題

顯示: