Compartilhar via

Entendendo e criando Redes no Forefront TMG 2010 (pt-BR)

  • Artigo

Introdução

    Neste artigo demonstraremos como criar Redes (Networks) no Forefront Threat Management (TMG) 2010. Muitos novos administradores do TMG possuem um pouco de dificuldade para entender como o Forefront TMG trata os objetos de Rede.

Entendendo Redes no TMG

    Existem 4 tipos de Rede que podem ser criadas no Forefront TMG, são elas: Rede Interna (Internal Network), Rede Perímetro (Perimeter Network), Rede VPN Site-To-Site (VPN Site-To-Site Network) e Rede Externa (External Network).
    A Rede Interna é pré-configurada para quando criada habilitar as opções de Web Proxy, Forefront TMG Client e outras opções que são mais comunmente utilizadas por clientes internos do Forefront TMG.
    A Rede de Perímetro, também conhecida como DMZ (Demilitarized Zone), é pré-configurada para não ativar os recursos utilizados pela Rede Interna, como Web Proxy, Forefront TMG Client, etc. Pois, supõe-se que nesta rede não seja necessário utilizar esses recursos. No entanto, caso seja necessário a utilização de alguns destes recursos, é possível habilitá-los.
    A Rede VPN Site-To-Site é utilizada para fazer a interconexão entre redes criando um túnel virtual privado utilizando redes públicas.
    A Rede Externa é considerada uma rede não confiável. Também é pré-configurada para não ativar os recursos utilizados pela Rede Interna, como Web Proxy, Forefront TMG Client.
    
IMPORTANTE: Todos os ranges de endereços IPs não definidos nas propriedades das Redes citadas acima são considerados partes da Rede Externa padrão utilizada pelo TMG.

    Conforme citei acima, muitos administradores do Forefront TMG que não possuem experiência com o produto, quando desejam criar uma nova regra de acesso para permitir acesso a uma rede específica criam uma nova Rede do TMG e utilizam na regra de acesso. Porém, essa regra de acesso não funciona e muitos não entendem o porquê.
    Monitorando no log em tempo real do TMG pode ser vista a seguinte mensagem: "A packet was dropped because its destination IP address is unreachable.", e, na coluna Result Code o código é logado: 0xc004002d FWX_E_UNREACHABLE_ADDRESS.
    Neste momento, geralmente, o administador TMG imagina que há algum problema de roteamento entre o TMG firewall e a rede de destino, porém o TMG trata os objetos de Rede de forma diferenciada de outros firewalls do mercado.
    Quando uma nova Rede é criada no TMG, essa rede DEVE ser associada a uma interface física de rede. Caso contrário, os erros acimas serão mostrados. Para permitir acesso à uma rede pelo TMG deve-se utilizar outro objeto de rede, como por exemplo, Subnets. Dessa forma será possível permitir o acesso a rede desejada.

Criando objetos de Rede no TMG

    Depois de entender como e quando utilizar a Rede no Forefront TMG, vamos agora criar uma Rede e associar com um adaptador de rede físico (assumindo que já existe um instalado e configurado na máquina utilizada pelo TMG firewall).

  • Abra o console do Forefront TMG. Vá em Iniciar - Todos os Programas - Microsoft Forefront TMG - Forefront TMG Management;
  • Clique em Redes (Networking) - clique na guia Redes (Networks), e, em seguida, no painel de tarefas clique em Criar uma Nova Rede (Create a New Network);
  • Preencha um nome, preferencialmente significativo para uma identificação fácil, para a nova rede e clique em Avançar (Next);
  • Selecione o tipo de rede que será criado e clique em Avançar (Next);
  • Clique no botão Adicionar Adaptador... (Add Adapter...) e selecione o adaptador de rede físico que será utilizado nessa nova rede;
  • Na tela seguinte clique em Concluir (Finish).

    Antes de criar a regra de acesso para permitir tráfego entre redes, você deve criar uma Regra de Rede (Network Rules). Caso esse passo seja pulado, nos logs de acesso em tempo real do TMG será mostrada as seguintes mensagens: "The network rules do not allow the connection requested." e "0xc0040012 FWX_E_NETWORK_RULES_DENIED".

Conclusão

    Neste artigo foram descritas os tipos de redes que podem ser criadas e uma visão geral de como o Forefront TMG trata as Redes. Também foi demonstrado como criar e utilizar esses objetos da forma correta que o TMG entenda.

Este artigo foi originalmente escrito por:
Paulo Roberto Oliveira da Silva
Microsoft MVP e MCP
Blog: http://poliveirasilva.wordpress.com/
twitter: https://twitter.com/poliveirasilva