Шлюз Microsoft Forefront Threat Management можно установить на компьютер с одной сетевой платой. Как правило, такая конфигурация используется, когда Forefront TMG находится во внутренней корпоративной сети или в демилитаризованной зоне, а другой межсетевой экран расположен на границе, защищая корпоративные ресурсы от несанкционированного доступа из Интернета.

При установке Forefront TMG на компьютер с одной сетевой платой Forefront TMG «знает» только о двух сетях.

В этой конфигурации, когда внутренний клиент просматривает Интернет, Forefront TMG видит адреса источника и пункта назначения веб-запроса как принадлежащие внутренней сети. Представление внешней сети отсутствует. Служба межсетевого экрана Microsoft и фильтры приложений работают только в контексте локальной сети. (Forefront TMG защищает себя во всех сценариях.) Поскольку служба межсетевого экрана и фильтры приложений работают в контексте локальной сети, можно использовать правила доступа для разрешения не веб-протоколов через сервер Forefront TMG.

Установка и настройка

В процессе установки с одной сетевой платой все диапазоны IP-адресов можно настроить для внутренней сети, кроме следующих.

  • 0.0.0.0

  • 255.255.255.255

  • 127.0.0.0-127.255.255.255 (локальный компьютер)

  • 127.0.0.0-254.255.255.255 (многоадресный)

После установки запустите мастер для начала работы и выберите шаблон с одной сетевой платой.

Обратите внимание, настройка сетевой платы на использование двух IP-адресов или использование второй сетевой платы, которая отключена, не поддерживается.

Поддерживаемые сценарии

При работе Forefront TMG с одной сетевой платой поддерживаются следующие сценарии.

  • Пересылка запросов веб-прокси с помощью HTTP, HTTPS или FTP для загрузок.

  • Кэширование веб-содержимого для использования клиентами в корпоративной сети.

  • Веб-публикация для защиты опубликованных веб- или FTP-серверов.

  • Веб-клиент Microsoft Office Outlook 2007, ActiveSync® и удаленный вызов процедур (RPC) через HTTP-публикацию.

  • VPN-доступ удаленного клиента.

Пересылка веб-прокси и кэширование

Forefront TMG можно развернуть как сервер кэширования и прокси-пересылки. В этой конфигурации Forefront TMG представляет запросы от внутренних клиентов к удаленным сетям, например Интернету. Если включено кэширование, Forefront TMG поддерживает кэш часто запрашиваемых объектов Интернета, чтобы предоставить клиентам веб-обозревателей оптимизированный доступ. В этом сценарии обратите внимание на следующее.

  • Поддерживаются только запросы веб-прокси.

  • Правила доступа, разрешающие клиентский доступ через компьютер Forefront TMG, следует настраивать с адресами источников, которые используют только фактические внутренние IP-адреса. Это необходимо, так как каждый IP-адрес рассматривается как часть внутренней сети, кроме адреса замыкания на себя. Пунктом назначения должна являться внутренняя сеть или отдельный адрес.

  • Клиенты веб-прокси имеют доступ только к протоколам HTTP и FTP для загрузки.

  • Для предоставления доступа к Интернету на компьютере Forefront TMG необходимо либо изменить правила системной политики либо создать правила доступа из локальной сети к внутренней. Даже в конфигурации с одной сетевой платой Forefront TMG защищает себя от внутренней сети, и требуются правила для управления трафиком между этими двумя сетями.

  • Когда Forefront TMG имеет одну сетевую плату и находится за другим пограничным межсетевым экраном, кэширование работает следующим образом. Клиенты веб-прокси отправляют URL-запросы серверу Forefront TMG. Forefront TMG проверяет, можно ли извлечь веб-объект из кэша. Если страница отсутствует в кэше или истек срок ее хранения, Forefront TMG отправляет Интернет-запрос через пограничный межсетевой экран. Пограничный межсетевой экран обрабатывает запрос Forefront TMG в соответствии со своими параметрами доступа. Если запрос разрешен, то объект возвращается Forefront TMG через пограничный межсетевой экран, и Forefront TMG помещает объект в свой кэш в соответствии с параметрами кэша и направляет кэшированный объект клиенту веб-прокси.

Веб-публикация и публикация веб-клиента Outlook

Веб-серверы и серверы веб-клиента Outlook можно публиковать через HTTP или HTTPS. Можно проверять подлинность входящих и передаваемых по цепочке запросов к вышестоящим прокси. При публикации веб-клиента Outlook на компьютере с одной сетевой платой доступны следующие функции веб-клиента Outlook.

  • Стандартные функции веб-клиента Outlook - это отправка и получение электронной почты, календарей и другие

  • Exchange Outlook Mobile Access, ActiveSync и Outlook RPC через HTTP

  • Проверка подлинности на основе форм

Неподдерживаемые сценарии

Существует целый ряд функциональных ограничений в конфигурации с одной сетевой платой.

  • Проверка на уровне приложения - Фильтрация на уровне приложения не работает, кроме фильтра веб-прокси для HTTP-, HTTPS- и FTP через HTTP-трафик.

  • Публикация сервера - Публикация сервера не поддерживается. Поскольку нет разделения между внутренней и внешней сетями, Forefront TMG не может обеспечить функционирование преобразования NAT, необходимого в сценарии публикации сервера.

  • Клиенты межсетевого экрана - Приложение клиента межсетевого экрана обрабатывает запросы от приложений Winsock, которые используют службу межсетевого экрана. В среде с одной сетевой платой эта служба доступна только в контексте локальной сети (защищен компьютер Forefront TMG), а запросы клиента межсетевого экрана не поддерживаются.

  • Клиенты SecureNAT - Клиенты SecureNAT используют Forefront TMG в качестве маршрутизатора к Интернету, а запросы обрабатываются службой межсетевого экрана. В среде с одной сетевой платой эта служба доступна только в контексте локальной сети (защищен компьютер Forefront TMG), а запросы клиента SecureNAT не поддерживаются.

  • Виртуальная частная сеть (VPN) - VPN типа сеть-сеть в сценарии с одной сетевой платой не поддерживается.