Шлюз Microsoft Forefront Threat Management помогает создавать комплексную политику веб-доступа для организации. Политика веб-доступа определяет следующее.
- Компьютеры, имеющие подключение к Интернету. Например, можно
указать компьютеры, которые запрещено подключать к Интернету.
- Пользователей, которым разрешен доступ к Интернету. Например,
одна группа пользователей может использовать доступ к Интернету, а
другая - нет.
- Узлы Интернета, к которым разрешен или, наоборот, блокирован
доступ. Например, можно каждому пользователю заблокировать доступ к
отдельному узлу. Либо можно разрешить доступ ко всем узлам только
менеджерам, а другим пользователям - только к узлам, имеющим
отношение к работе.
- Периоды, когда разрешен доступ к отдельным веб-пунктам
назначения.
- Способ фильтрации и сканирования Интернет-трафика. Forefront
TMG фильтрует и проверяет пропускаемый HTTP-трафик. Можно задать
проверку HTTP-трафика на содержание вредоносных программ и
настроить на уровне приложения HTTP-фильтрацию, которая проверяет
HTTP-команды и данные.
Политика веб-доступа Forefront TMG включает следующее.
- Набор правил доступа, которые определяют запрос клиентом
веб-ресурсов, находящихся в других сетях, и их передачу.
- Набор глобальных параметров конфигурации, которые определяют
передачу веб-трафика.
Инструкции по настройке политики веб-доступа см. в разделе Настройка веб-доступа.
Управление подключением компьютеров к Интернету
Каждое правило доступа определяет источник и пункт назначения. Компьютеры, которым разрешено подключение к Интернету, указываются с помощью параметра источника. Например, если в правиле указана внутренняя сеть по умолчанию в качестве источника, то все пользователи этой сети могут создавать веб-запросы. Либо в качестве источника в правиле можно указать компьютер или несколько компьютеров, диапазон IP-адресов или подсеть. Запросы для правила принимаются только из указанного источника.
Управление доступом пользователей к Интернету
Можно разрешить всем пользователям из указанного источника подключаться к Интернету или ограничить отдельным пользователям доступ к нему. Дифференцированный доступ обеспечивает точечное управление подключением к Интернету и позволяет отслеживать доступ пользователей к Интернету в журналах. Управление доступом пользователей осуществляется посредством проверки подлинности пользователей. Можно потребовать выполнение проверки подлинности всех запросов веб-прокси, получаемых в конкретной сети, или настроить особые правила доступа, требующие проверки подлинности пользователей. Дополнительные сведения см. в разделе Проверка подлинности веб-доступа.
Клиенты веб-прокси могут предоставлять учетные данные для проверки их подлинности несколькими способами, в том числе Basic, Digest, WDigest и Integrated NTLM. Дополнительные сведения см. в разделе Методы проверки подлинности. Внутренние клиенты, использующие такие методы проверки подлинности, как Basic, Digest, WDigest или Integrated, могут проходить проверку подлинности контроллера домена Active Directory. Помимо этого клиенты, пользующиеся способом проверки подлинности Basic, могут проходить проверку подлинности сервера RADIUS. Дополнительные сведения см. в разделе Обзор проверки подлинности клиента.
При настройке исходной политики веб-доступа с помощью мастера политики веб-доступа требования проверки подлинности пользователей можно настроить, только если сервер Forefront TMG является членом домена Active Directory. Если Forefront TMG установлен в рабочей группе, а требуется проверка подлинности сервера RADIUS, необходимо настроить проверку подлинности пользователей по правилам мастера. Дополнительные сведения см. в разделе Настройка проверки подлинности RADIUS для веб-запросов.
Управление пунктами назначения Интернета
Каждое правило доступа разрешает или запрещает доступ к конкретным пунктам назначения. Пунктом назначения может быть вся сеть, отдельные компьютеры, диапазоны IP-адресов, имена доменов и URL-адреса. При создании политики веб-доступа с помощью мастера политики веб-доступа можно разрешить или ограничить доступ к конкретным веб-пунктам назначения.
Управление периодами разрешенного доступа
Каждое правило доступа определяет расписание, которое указывает, когда это правило применяется. Например, можно создать правило, позволяющее некоторым пользователям подключаться к Интернету в любое время и ограничивающее доступ других пользователей в вечернее время и выходные дни. При создании политики веб-доступа с помощью мастера политики веб-доступа автоматически созданные правила не налагают ограничения по времени. После выполнения мастера необходимо изменить эти правила, чтобы управлять веб-доступом в определенные промежуткм времени.
Фильтрация и сканирование
По умолчанию веб-запросы обрабатываются фильтром веб-прокси Forefront TMG, который обеспечивает кэширование и проверку на уровне приложения. Кроме того, для веб-запросов можно настроить сканирование на наличие вредоносных программ и HTTP-фильтрацию. HTTP-фильтрация предоставляет HTTP-фильтр на уровне приложения, который проверяет HTTP-команды и данные. Проверка наличия вредоносных программ сканирует HTTP-трафик для обнаружения червей, вирусов и шпионских программ. При настройке политики веб-доступа с помощью мастера политики веб-доступа можно включить функцию проверки наличия вредоносных программ и указать, что она должна применяться к правилам, автоматически созданным мастером. Мастер не настраивает HTTP-фильтрацию. После выполнения мастера можно изменить свойства HTTP-фильтрации для каждого правила. Дополнительные сведения см. в разделе Обзор проверки на наличие вредоносных программ и Настройка фильтрации HTTP.
Упорядочение правил доступа
Порядок появления правил доступа в списке правил влияет на оценку политики веб-доступа. Правила оцениваются по порядку, от первого до последнего. Например, если создано правило, разрешающее неограниченный доступ к Интернету, и оно расположено в списке выше правила, которое запрещает доступ к узлу www.contoso.com, второе правило выполняться не будет, и запросы всегда будут разрешаться. Дополнительные сведения об упорядочении правил см. в разделе Рекомендации по политике межсетевого экрана.