В этом разделе приведена информация о том, как Шлюз Microsoft Forefront Threat Management оценивает и разрешает передачу трафика между сетями. Forefront TMG использует три набора правил.

Как работает политика межсетевого экрана

При поступлении запроса Forefront TMG действует следующим образом.

  1. Проверяет сетевые правила, чтобы убедиться в наличии сетевых отношений между источником и запрашиваемым пунктом назначения. Единственное исключение делается для трафика, передаваемого фильтром веб-прокси. Сетевые правила в отношении этого трафика не действуют. Предопределенный протокол HTTP привязан к этому фильтру, а сетевые правила не проверяются для HTTP-запросов от внутренних клиентов, использующих этот протокол.

  2. Проверяет правила системной политики на наличие среди них пункта, который разрешает или запрещает этот запрос.

  3. Проверяет правила политики межсетевого экрана в порядке, в котором они появляются в списке.

  4. После сопоставления запроса с правилом Forefront TMG вновь проверяет сетевые правила (исключая трафик, передаваемый фильтром веб-прокси), чтобы определить, следует применять к трафику маршрутизацию или преобразование адресов.

  5. Если запрос исходит от клиента веб-прокси, Forefront TMG проверяет правила веб-цепочки, чтобы определить, следует ли запрос маршрутизировать в сеть назначения (как правило, это Интернет) или к вышестоящему серверу. Если запрос исходит от клиента SecureNAT или клиента межсетевого экрана, Forefront TMG проверяет правила последовательного соединения межсетевых экранов, чтобы определить, следует запрос маршрутизировать в пункт назначения или к вышестоящему серверу. Дополнительные сведения см. в разделах Формирование цепочки веб-прокси и Сведения о последовательном соединении межсетевых экранов.

Правила системной политики и правила межсетевого экрана оцениваются в особом порядке. Дополнительные сведения см. в разделе Рекомендации по политике межсетевого экрана.

Исходящие запросы от внутренних клиентов

В основном запросы от внутренних клиентов обрабатываются согласно правилам доступа. Правила доступа настраиваются только определениями исходящего протокола. При получении запроса Forefront TMG сопоставляет правило доступа с запросом, проверяя элементы правила в следующем порядке.

  • Протокол. Правило определяет один или несколько протоколов с исходящим направлением.

  • Откуда. Правило имеет определенный адрес источника. Источником может быть вся сеть, набор сетей, один или несколько компьютеров, диапазон IP-адресов или подсеть.

  • Расписание. Расписание правила определяет его применение.

  • Куда. Правило имеет определенный пункт назначения. Пунктом назначения может быть вся сеть, набор сетей, компьютер или набор компьютеров, диапазон IP-адресов, подсеть, набор доменных имен или набор URL-адресов. В некоторых случаях может потребоваться поиск DNS для проверки соответствия запроса. Дополнительные сведения см. в разделе Обработка наборов доменных имен и URL-адресов.

  • Пользователи. Это правило применяется ко всем пользователям (для анонимного доступа), к пользователям, прошедшим проверку подлинности (к любому пользователю, успешно прошедшему проверку), или группе пользователей.

  • Группы содержимого. Это правило применяется к особым типам содержимого.

Если запрос соответствует разрешающему правилу, он разрешается. После обнаружения соответствующего правила Forefront TMG не оценивает последующие правила. Правила доступа, которые запрещают трафик, обрабатываются раньше правил публикации. Если запрос соответствует правилу доступа, то запрос будет отклонен, даже если правило публикации разрешило этот запрос.

Входящие запросы

Forefront TMG использует правила веб-публикации, чтобы сделать веб-серверы доступными для другой сети, и правила публикации сервера, чтобы разрешить доступ к не веб-серверам. Forefront TMG обрабатывает запросы следующим образом.

  • Для HTTP- или HTTPS-запросов к веб-прослушивателю Forefront TMG проверяет правила публикации, а затем правила веб-цепочки, чтобы определить, разрешен запрос или нет, и как его надо обрабатывать.

  • Для не HTTP-запросов Forefront TMG проверяет сетевые правила, а затем правила публикации, чтобы определить, разрешены запросы или нет.

Оценка имени

Когда клиент инициирует HTTP-запрос, это может быть имя, полное доменное имя (FQDN) или IP-адрес. Forefront TMG обрабатывает эти запросы по-разному.

  • Если HTTP-запрос содержит имя узла, например http://www.fabrikam.com, Forefront TMG выполняет прямое разрешение имен для DNS-сервера, чтобы получить сопоставленное имя FQDN, псевдонимы и IP-адреса. Затем Forefront TMG попробует сопоставить эти элементы с правилом.

  • Если HTTP-запрос содержит IP-адрес, Forefront TMG сначала проверяет соответствие правила этому адресу. Во время этого процесса, если Forefront TMG обнаруживает правило, требующее это имя, то выполняет обратное разрешение имени, чтобы получить имя FQDN для этого IP-адреса. Затем Forefront TMG может сравнить имя FQDN с определениями правил доступа.

  • Если выполнить обратное разрешение имени не удается, то исходный IP-адрес в запросе используется при сравнении с определениями правил.

Обратите внимание: когда клиент SecureNAT запрашивает узел по имени, Forefront TMG сначала проверяет, чтобы содержимое заголовка узла не маскировало не относящийся к нему IP-адрес, запрошенный клиентом. В случае успешного завершения проверки процесс продолжается так же, как и в отношении клиента веб-прокси.

Проверка подлинности

При обработке правил, требующих проверки подлинности, Forefront TMG требует, чтобы клиент представил учетные данные. Если клиент не может представить учетные данные, то запрос отклоняется еще до оценки правила. Клиенты SecureNAT не могут представить учетные данные, и, если запрос от клиента SecureNAT соответствует правилу, которое требует проверки подлинности, запрос отклоняется.