Шлюз Microsoft Forefront Threat Management использует правила публикации сервера для сопоставления запросов на не веб-серверы, расположенные в сети Forefront TMG, для клиентов, находящихся в других сетях. Клиеты могут быть внешними, находящимися в Интернете, или внутренними, находящимися во внутренней сети.
При наличии отношения преобразования адресов (NAT) между сетью, в которой находится опубликованный сервер, и сетью, из которой осуществляются запросы клиента, публикация выполняется следующим образом.
- IP-адрес, опубликованный с помощью правила публикации сервера,
принадлежит Forefront TMG. Клиенты обращаются с запросом на
опубликованный ресурс к клиентскому адаптеру на сервере Forefront
TMG, а не напрямую к внутреннему серверу.
- По умолчанию исходный адрес клиента, отправленный на
опубликованный сервер, является адресом клиента. Чтобы указать, что
исходный адрес, отправленный на опубликованный сервер, является
адресом сервера Forefront TMG, этот параметр можно изменить.
При наличии маршрутизации между сетью, в которой находится опубликованный сервер, и сетью, из которой осуществляются запросы клиента, публикация выполняется следующим образом.
- Forefront TMG прослушивает запросы IP-адресов опубликованного
сервера.
- Клиенты обращаются с запросом на IP-адрес внутреннего
сервера.
- Правила публикации сервера отображают следующие
характеристики.
- Публикация сервера может использоваться для публикации большей
части протоколов TCP и UDP.
- Опубликованный сервер можно настроить в качестве клиента
SecureNAT с шлюзом по умолчанию, указывающим на Forefront TMG.
- Выполнить проверку подлинности запросов пользователей для
правил публикации сервера нельзя.
- Указать пользователей, имеющих права доступа к опубликованным
ресурсам, можно с помощью элемента управления IP-адресами.
- Правило публикации сервера позволяет опубликовать только один
сервер и протокол.
- Публикация сервера может использоваться для публикации большей
части протоколов TCP и UDP.
В некоторых случаях правила доступа для внутренних запросов клиентов можно заменить правилами публикации сервера. Например, это справедливо в случае, если внутренним клиентам нужно предоставить доступ к не веб-серверу, расположенному в демилитаризованной зоне. Возможности использования правил публикации сервера или правил доступа сравниваются в разделе Отношения сетей и политика межсетевого экрана.
Переопределение портов по
умолчанию
Публикация сервера выполняет настройку Forefront TMG на прослушивание на определенном порте и передачу запросов на опубликованный сервер. Можно настроить следующие свойства порта.
- Указание порта, на котором будет выполняться прослушивание
запросов на запрос. При публикации на порте, отличающемся от порта
по умолчанию, Forefront TMG получает запросы клиентов на
опубликованную службу на нестандартном порте, после чего направляет
запросы на порт назначения опубликованного сервера. Например,
правило публикации сервера может определять, что перед
перенаправлением на заданный по умолчанию 21-й порт опубликованного
сервера запросы клиентов на службы FTP подключаются через 22-й порт
компьютера Forefront TMG.
- Указание порта опубликованного сервера, на который следует
отправлять запросы. Это может быть порт по умолчанию или
альтернативный порт.
- Ограничение исходных портов, с которых можно получать запросы
клиентов.