Обработка наборов доменных имен и URL-адресов

Наборы доменных имен и URL-адресов относятся к элементам инструментария, создаваемым и используемым при настройке правил политики межсетевого экрана Шлюз Microsoft Forefront Threat Management.

  • Набор URL-адресов включает один или несколько URL-адресов, объединенных в группу.

  • Набор доменных имен - это одно или несколько доменных имен, определяемых как единый набор.

Обработка наборов URL-адресов

  • Наборы URL-адресов учитываются только при обработке веб-запросов, включая протоколы HTTP, HTTPS и FTP через HTTP. При использовании иных протоколов наборы URL-адресов, указанные в правиле, игнорируются

  • Для задания набора URL-адресов нельзя использовать IP-адрес.

  • В запросе учитываются только имя узла и путь.

  • В имени узла можно использовать подстановочный знак (*), чтобы задать совокупность компьютеров. Пример: *.microsoft.com.

  • Путь URL-адреса также допускает использование подстановочного знака, но только в самом конце. Пример: www.microsoft.com/*. Такая запись будет ошибочной: www.microsoft.com/*/sales.

  • Протокол или порт, указанный в URL-адресе, автоматически отбрасывается. Например, задан следующий набор URL-адресов: ftp://a.com:25/apath. Тогда запрос по адресу http://a.com будет признан соответствующим правилу. Запросы на другие порты, например http://a.com:5, также будут соответствовать правилу, поскольку номер порта и название протокола отбрасываются.

  • Если в запросе содержится вопросительный знак (?), следующие за ним символы перед сопоставлением отбрасываются. URL-адреса с вопросительным знаком, входящие в набор URL-адресов, не учитываются. Пример.

  • Если в правиле отклонения указан набор URL-адресов http://www.a.com/apath?next=news и производится запрос по адресу http://www.a.com/apath?next=news , адрес запроса будет усечен до http://www.a.com/apath , а сам запрос будет разрешен, поскольку он не удовлетворяет условиям правила. Для блокировки подобного запроса необходимо определить следующий набор URL-адресов: http://www.a.com/apath .

  • При сопоставлении имен узлов и путей регистр не учитывается.

  • Если при использовании протокола HTTP (или FTP через HTTP) в запрашиваемом URL-адресе не указан путь, то при сопоставлении будет учитываться только имя узла - адрес http://a.comили a.com равносилен http:. Пример.

  • Набор URL-адресов задан адресом http://a.com. Тогда запрос по адресу http://a.com/abc будет соответствовать правилу, как и запрос по адресу http://a.com/abc/def . Если набор URL-адресов задан адресом http://a.com/a, запрос по адресу http://a.com/a будет соответствовать правилу, однако запрос по адресу http://a.com/a/b будет признан несоответствующим , поскольку часть, следующая за именем каталога «a», не совпадает.

  • HTTPS-запросы не сопоставляются при указании пути. Пример.

  • Если набор URL-адресов задан адресом a.com, HTTPS-запросы будут сопоставляться, поскольку путь не указан. Если в наборе URL-адресов задан адрес a.com/, HTTPS-запросы сопоставляться не будут.

Обработка наборов доменных имен

  • Если правило применяется к набору доменных имен, Forefront TMG проверяет запросы на точное соответствие набору доменных имен, включая номера портов. Пример.

  • Если задан набор доменных имен, включающий имя fabrikam.put:1111, запрос к fabrikam.put будет отклонен.

  • Для задания набора доменных имен нельзя использовать IP-адрес.

  • При задании доменного имени в качестве элемента набора доменных имен можно использовать подстановочный знак (*), чтобы задать совокупность компьютеров в домене. К примеру, чтобы указать все компьютеры в домене microsoft.com, необходимо ввести доменное имя *.microsoft.com.

  • Подстановочный знак можно использовать только в начале доменного имени и только один раз.

  • Для указания имени компьютера необходимо использовать полное доменное имя, например, имя_компьютера.microsoft.com, а не \\имя_компьютера.

  • При указании домена с помощью подстановочного знака, например *.microsoft.com, будут включены только узловые компьютеры домена, например www.microsoft.com и ftp.microsoft.com. Если доменное имя указывает на узловой компьютер, запись *.microsoft.com будет равносильна записи htt.

  • Рекомендуется вводить доменное имя в том виде, в котором оно возвращено сервером DNS. Указание точки в конце доменного имени может привести к некорректному сопоставлению запросов на доменное имя без точки.

  • При сопоставлении доменных имен регистр не учитывается.

Разрешение имен в адреса

Для наборов доменных имен и URL-адресов, включенных в правила, должно производиться разрешение имен в адреса. Разрешение имен должно производиться в том случае, если нет критериев, запрещающих сопоставление для данного правила, и при разрешении имен сопоставление запросов с данным правилом возможно. Например, если правило включает набор URL-адресов, но сопоставление невозможно вследствие ограничений, заданных расписанием, разрешение имен для данного правила производиться не будет. Разрешение имен может производиться в следующих случаях.

  • Веб-запрос с указанием имени сопоставляется с правилом, для которого в качестве критерия задан диапазон адресов (прямой просмотр)

  • Веб-запрос с указанием IP-адреса сопоставляется с правилом, для которого в качестве критерия задан набор URL-адресов (обратный просмотр)

Служба межсетевого экрана Microsoft имеет собственный кэш DNS. Если запрошенный IP-адрес или имя узла были найдены в кэше, DNS-запрос не производится. В противном случае DNS-запрос необходим. Запись имени узла, полученная в результате разрешения имен, далее сопоставляется с критериями, содержащимися в правиле. Модуль обработки правил производит сопоставление с элементами наборов URL-адресов и доменных имен путем сравнения строк.

Обратите внимание, что решение о необходимости использования разрешения имен для данного правила и его применение зависит от сведений, предоставленных службой DNS. Неправильная или небезопасная настройка этой службы может привести к некорректной обработке правил.