Шлюз Microsoft Forefront Threat Management разработан для обеспечения связи между сетями. Как правило, клиенты сети не должны просматривать Forefront TMG для соединения с узлами, расположенными в одной сети. Напротив, используется прямой доступ.
Прямой доступ позволяет компьютерам клиентов межсетевого экрана выполнять следующие задачи.
- Обходить настройку клиента межсетевого экрана Microsoft и
напрямую подключаться к ресурсам.
- Направлять запросы веб-прокси в обход фильтра веб-прокси.
Это позволяет клиентам межсетевого экрана получать доступ к ресурсам, расположенным в локальной сети, в обход Forefront TMG, а также позволяет клиентам направлять веб-запросы, не используя Forefront TMG в качестве прокси.
Настройка прямого доступа для локальных запросов
Когда приложение Winsock, запущенное на компьютере клиента межсетевого экрана, пытается направить запрос, программное обеспечение клиента межсетевого экрана определяет, является ли место назначения локальным. Локальные запросы напрямую направляются в место назначения. Запросы в удаленное место назначения направляются в службу межсетевого экрана на сервере Forefront TMG и обрабатываются в соответствии с правилами доступа. По умолчанию для клиента межсетевого экрана локальными являются следующие адреса.
- Все суффиксы домена, указанные на вкладке Домены в
свойствах клиентской сети. Данный список включает таблицу локальных
доменов.
- Все адреса клиентской сети. Forefront TMG предоставляет
диапазон сетевых адресов всем клиентам межсетевого экрана в
соответствии с адресами, указанными на вкладке Адреса в
свойствах сети. Эти диапазоны IP-адресов сохраняются в памяти
агентом клиента межсетевого экрана.
- Все адреса, указанные в локальной таблице маршрутизации на
компьютере клиента межсетевого экрана.
- Все IP-адреса, хранящиеся в файле таблицы локальных адресов -
Locallat.txt - на компьютере клиента межсетевого экрана.
Таблица локальных адресов, а также настройки клиента межсетевого экрана на Forefront TMG передаются клиентам во время установки клиента межсетевого экрана при обновлении вручную или каждые шесть часов.
Создание таблицы локальных доменов
- В дереве консоли управления Forefront TMG щелкните
Сеть.
- В области сведений перейдите на вкладку Сети.
- Щелкните значок нужной сети правой кнопкой мыши и выберите
Свойства.
- На вкладке Домены выполните следующие действия.
- Нажмите Добавить, чтобы указать домен, к которому
клиенты межсетевого экрана сети должны иметь прямой доступ. В
диалоговом окне Свойства домена введите полное доменное имя.
Нажмите кнопку OK , чтобы закрыть диалоговое окно.
- Чтобы запретить прямой доступ к домену, выберите домен в списке
Доменные имена и нажмите кнопку «Удалить».
- Чтобы изменить существующее имя домена, выберите домен в списке
Доменные имена и нажмите Изменить.
- Нажмите Добавить, чтобы указать домен, к которому
клиенты межсетевого экрана сети должны иметь прямой доступ. В
диалоговом окне Свойства домена введите полное доменное имя.
Нажмите кнопку OK , чтобы закрыть диалоговое окно.
Создание файла LocalLAT.txt
- На компьютере клиента межсетевого экрана перейдите к следующим
папкам.
- В Windows XP создайте файл в папке \Documents and Settings\All
Users\Application Data\Microsoft\Firewall Client 2004.
- В Windows Vista создайте файл в папке
\ProgramData\Microsoft\Firewall Client 2004.
- В Windows XP создайте файл в папке \Documents and Settings\All
Users\Application Data\Microsoft\Firewall Client 2004.
- Создайте новый текстовый файл с именем LocalLAT.txt.
- В файле введите пары IP-адресов для прямого доступа. Каждая
пара адресов определяет диапазон IP-адресов или один IP-адрес. В
следующем примере приведен файл Locallat.txt с двумя парами
адресов. Первая пара представляет диапазон IP-адресов, а вторая -
один IP-адрес.
- 10.51.5.110.51.5.255
- 10.52.144.10310.52.144.103
- 10.51.5.110.51.5.255
- Сохраните и закройте файл.
- Откройте оснастку «Управление компьютером». Для этого в Windows
Vista выполните следующие действия.
- Нажмите кнопку Пуск, правой кнопкой мыши щелкните
Компьютер и выберите Управление.
- Дважды щелкните Службы и приложения. Затем щелкните
Службы.
- Правой кнопкой мыши щелкните службу Агент клиента
межсетевого экрана и нажмите Перезапустить.
- Нажмите кнопку Пуск, правой кнопкой мыши щелкните
Компьютер и выберите Управление.
Для доставки файла LocalLAT.txt клиентам межсетевого экрана может использоваться любой метод развертывания программного обеспечения, например «Групповая политика».
Настройка прямого доступа для запросов веб-прокси
Приложения веб-прокси, запущенные на компьютере клиента межсетевого экрана, могут обходить фильтр веб-прокси и получать прямой доступ к ресурсам. Для приложений веб-прокси с автоматическим определением прокси можно указать настройки прямого доступа в консоли управления Forefront TMG и передать их клиентам. Для приложений веб-прокси, не использующих автоматическое определение прокси, необходимо указать параметры прямого доступа в приложении. Запросы, обходящие фильтр и не являющиеся локальными, перенаправляются Forefront TMG в качестве запросов клиента межсетевого экрана; затем осуществляется анализ и фильтрация трафика. Инструкции по настройке прямого доступа для приложений веб-прокси, запущенных на компьютере клиента межсетевого экрана, см. в разделе Настройка прямого доступа для клиентов веб-прокси.