Последовательное соединение веб-прокси осуществляется в
соответствии с правилами веб-цепочек на вкладке Веб-цепочка
узла Сети в консоли управления Forefront TMG.
При установке Шлюз Microsoft Forefront Threat Management
настраивается правило веб-цепочки по умолчанию. Это правило
изначально настраивается таким образом, чтобы все запрашиваемые
объекты извлекались из Интернета и не перенаправлялись на
вышестоящий сервер. Свойства этого правила можно изменить, но
удалить его нельзя.
Правила веб-цепочек создаются с помощью мастера создания правила
веб-цепочки. После завершения создания правила можно изменить его и
определить дополнительные свойства. В приведенной ниже таблице
собраны параметры, которые задаются при создании правила
веб-цепочки.
Страница мастера |
Значение |
Добро пожаловать!
|
Указывается уникальное имя правила.
|
Пункт назначения правила веб-цепочки
|
Указывается сеть, IP-адреса, URL-адреса или другие объекты сети
Forefront TMG, для которых отправляются запросы. Например, чтобы
указать, что все Интернет-запросы направляются на вышестоящий
сервер, укажите в качестве пункта назначения внешнюю сеть.
|
Действие по запросу
|
Указывается способ отправки запросов:
- Получать запросы напрямую из указанного места
назначения. Указывает, что запросы пересылаются напрямую в
место назначения. Вышестоящий прокси-сервер не используется.
- Перенаправлять запросы на указанный вышестоящий сервер.
Указывает, что запросы пересылаются на вышестоящий сервер. Выберите
вариант Разрешить делегирование основных учетных данных
пользователей, если параметры веб-прокси и правил доступа к
вышестоящему серверу настроены на авторизацию определенных
пользователей для веб-доступа. Если этот параметр активен, клиент
выполняет обычную проверку подлинности для нижестоящего
прокси-сервера, после чего основные учетные данные пользователей
делегируются на вышестоящий сервер.
- Перенаправлять запросы на. Указывает, что запросы
пересылаются на другой узел. Этот параметр можно использовать,
например, для перенаправления всех запросов неавторизованных
ресурсов на определенный веб-узел. Следует указать конкретный узел
и порт для подключения. Выберите вариант SSL, если требуется
безопасное соединение между нижестоящим компьютером Forefront TMG и
узлом.
- Использовать автоматическое подключение. Указывает, что
для подключения используется запись автоматического удаленного
доступа. Этот параметр доступен только в том случае, если на
компьютере настроена запись удаленного доступа. Используется запись
удаленного доступа по умолчанию.
|
Основной маршрут
|
Указывает следующие параметры основного маршрута.
- Сервер. Указывает полное доменное имя (FQDN)
вышестоящего сервера или IP-адрес.
- Порт. Указывает порт, используемый при подключении к
вышестоящему серверу.
- SSL-порт. Указывает SSL-порт для настройки безопасного
подключения к вышестоящему серверу.
- Использовать эту учетную запись. Указывает учетную
запись, используемую для проверки подлинности нижестоящего сервера
как клиента веб-прокси для вышестоящего сервера. Проверка
подлинности требуется в том случае, если для веб-прокси в сети
вышестоящего сервера включен параметр Потребовать проверку
подлинности всех пользователей либо правила доступа на
вышестоящем сервере требуют авторизации клиента. В разделе
Проверка подлинности выберите «Встроенная проверка
подлинности Windows (NTLM)» либо «Обычная проверка подлинности».
Если выбрана обычная проверка подлинности, рекомендуется
использовать SSL-подключение для трафика.
|
Резервное действие
|
Если выбран вариант, при котором запросы обрабатываются правилом
и отправляются на вышестоящий сервер, и имеется альтернативный
маршрут выхода в Интернет, можно указать резервный маршрут на
случай недоступности основного вышестоящего сервера. Forefront TMG
опрашивает вышестоящий сервер через определенные интервалы времени,
проверяя доступность маршрута. Доступны следующие варианты действий
при условии недоступности вышестоящего сервера.
- Игнорировать запросы. Если вышестоящий сервер
недоступен, запросы игнорируются и пропускаются.
- Получать запросы напрямую из указанного места
назначения. Если вышестоящий сервер недоступен, запросы
пересылаются напрямую в указанное место назначения.
- Маршрутизировать запросы на вышестоящий сервер. Если
основной вышестоящий сервер недоступен, запросы перенаправляются на
альтернативный вышестоящий сервер.
- Использовать автоматическое подключение. Указывает, что
для резервного маршрута используется запись автоматического
удаленного доступа.
|
Резервная маршрутизация
|
Если вторичный вышестоящий сервер настроен как резервный
маршрут, необходимо указать свойства резервного сервера. Это те же
свойства, что указываются на странице Основной маршрут.
|
После создания правила веб-цепочки можно настроить
дополнительные параметры на страницах свойств правила.
Страница свойств |
Значение |
Общие
|
Включить. Установите или снимите этот флажок, чтобы
включить или отключить правило.
|
Важно. |
После настройки правил веб-цепочек необходимо настроить правила
доступа к нижестоящему серверу, разрешив доступ трафика на узлы,
указанные в правилах веб-цепочек. |