Для настройки внутренних клиентов в качестве клиентов SecureNAT не требуется программное обеспечение. Клиенты SecureNAT зависят от организационной структуры маршрутизации для передачи запросов Шлюз Microsoft Forefront Threat Management. Перенаправление всего Интернет-трафика через Forefront TMG осуществляется следующим образом.
- При работе в простой сети маршрутизаторов между клиентом и
сервером Forefront TMG клиентскому шлюзу, установленному по
умолчанию, необходимо задать IP-адрес сети Forefront TMG, в которой
находится клиент (обычно это внутренняя сеть).
- В сложной сети, где для соединения подсетей между клиентом
SecureNAT и сервером Forefront TMG используются маршрутизаторы,
параметры шлюза по умолчанию на последнем маршрутизаторе цепочки
должны указывать на Forefront TMG. Оптимальным является вариант,
при котором маршрутизатор использует шлюз по умолчанию,
осуществляющий передачу по кратчайшему пути на компьютер Forefront
TMG. Нет необходимости настраивать маршрутизатор на отброс пакетов,
адреса назначения которых находятся вне корпоративной сети. Способ
маршрутизации пакетов определяется Forefront TMG.
Обработка запросов клиентов SecureNAT
В Forefront TMG отсутствуют сведения о клиентах SecureNAT за исключением их упоминания в IP-адресах и протоколах, используемых в запросах. Обработка запросов выполняется следующим образом.
- Запрос направляется на диск преобразования сетевых адресов
(NAT), котрый заменяет глобальный IP-адрес, котрый действителен для
Интернета, на внутренний IP-адрес клиента.
- После этого запрос перенаправляется в службу межсетевого экрана
для определения возможности доступа. Служба межсетевого экрана
может выполнить кэширование запрошенного объекта или предоставить
объект из кэша.
Для работы с запросами клиентов SecureNAT можно использовать функции безопасности службы межсетевого экрана. К клиентам SecureNAT могут быть применены все правила Forefront TMG, а также политики использования протоколов, мест назначения и типов содержимого. Фильтрация запроса возможна с помощью фильтров приложений и других расширений.
Для обработки комплексных протоколов (требующих несколько основных или дополнительных подключений) фильтры приложений Forefront TMG изменяют их передачу. Обратите внимание на следующие ограничения.
- Клиенты SecureNAT могут использовать комплексные протоколы для
доступа к ресурсам, если на компьютере Forefront TMG имеется фильтр
приложений.
- Клиенты SecureNAT могут использовать только те протоколы,
которые определены в Forefront TMG.
Разрешение имен
Клиенты SecureNAT могут запросить объекты как с компьютеров в локальной сети, так и в Интернете; они должны разрешить имена для обоих вариантов. Рекомендации.
- Только для доступа к веб-узлам необходимо настроить параметры
TCP/IP клиента на использование серверов DNS в Интернете. Следует
создать правило доступа, позволяющее клиентам SecureNAT работать с
протоколом DNS.
- Для доступа к ресурсам Интернета и внутренней сети клиентам
необходимо использовать сервер DNS, находящийся во внутренней сети.
Сервер DNS должен быть настроен на разрешение как внутренних, так и
Интернет-адресов.
При запросах клиентов SecureNAT на внутренние ресурсы очень важно исключить обратный переход через Forefront TMG. Например, если клиент SecureNAT осуществляет запрос на внутренний ресурс, опубликованный Forefront TMG во внешней сети, разрешение имени не должно разрешать запрос на общий IP-адрес во внешней сети. Если это происходит и клиент SecureNAT отправляет запрос на внешний IP-адрес, сервер публикаций может самостоятельно ответить клиенту SecureNAT, в результате чего запрос отбрасывается. Исходный IP-адрес клиента заменяется IP-адресом адаптера внутренней сети Forefront TMG, который сервер публикации распознает как внутренний и поэтому может ответить клиенту SecureNAT. При этом создается сценарий, при котором пакеты, передаваемые в одном направлении, следуют по маршруту без обращения к Forefront TMG, а пакеты, передаваемые в другом направлении, проходят через Forefront TMG. По этому сценарию Forefront TMG отбрасывает ответ как недействительный.
Проверка подлинности
Клиенты SecureNAT не могут отправлять учетные данные на Forefront TMG. В основе единственного элемента управления, доступного для проверки подлинности исходящих запросов для клиентов SecureNAT, лежат IP-адреса. Если требуется выполнить проверку подлинности правила доступа либо в сети клиента выбран параметр Требовать проверки подлинности всех пользователей , для клиентов SecureNAT может отображаться сообщение о проверке подлинности или сообщение об ошибке.