При создании правила веб-публикации с ним связывается определенный веб-прослушиватель. Свойства веб-прослушивателя определяют:
- IP-адреса и порты в указанных сетях, которые будут принимать
веб-запросы;
- используемый при необходимости метод проверки подлинности;
- число разрешенных клиентских подключений.
Веб-прослушиватель используется в следующих целях.
- Для указания IP-адреса и порта, к которому подключается
клиент.
- Включение предварительной проверки подлинности сервером Шлюз
Microsoft Forefront Threat Management при установлении
соединения.
Веб-прослушиватель может быть связан с несколькими правилами веб-публикации.
Выбор сети (IP-адреса) для веб-прослушивателя
Выбор сети или сетей веб-прослушивателя зависит от того, из какой сети клиенты будут подключаться к публикуемому веб-серверу. Например, если к публикуемому веб-узлу допускаются клиентские запросы из Интернета (внешней сети), в параметрах веб-прослушивателя следует указать Внешняя сеть. Это приводит к выбору IP-адресов на сервере Forefront TMG, назначенных сетевой плате внешней сети. Если выбор IP-адресов не ограничивается, в конфигурацию прослушивателя будут включены все IP-адреса, назначенные выбранной сетевой плате.
Веб-прослушиватели используются правилом веб-публикации. Кроме указания веб-прослушивателя правилом определяются сетевые объекты источника. Сетевые объекты, определенные в правиле веб-публикации в качестве источника, должны включать сети, выбранные для веб-прослушивателя.
Публикация нескольких веб-узлов SSL по определенным IP-адресам
Веб-прослушиватель можно настроить на прослушивание запросов от одного или нескольких определенных IP-адресов. При этом для веб-прослушивателя HTTPS можно назначить общий сертификат для всех IP-адресов или отдельные сертификаты для каждого их них. Назначая отдельные сертификаты каждому IP-адресу, можно публиковать несколько веб-узлов по HTTPS с помощью одного веб-прослушивателя, не используя при этом групповой сертификат. Например, можно опубликовать веб-узел mail.contoso.com с помощью одноименного сертификата по одному IP-адресу и веб-узел team.contoso.com с помощью одноименного сертификата по другому IP-адресу.
Кроме того, можно опубликовать несколько веб-узлов SSL с использованием одного веб-прослушивателя и группового сертификата. Инструкции по реализации этого сценария см. в разделе Использование групповых сертификатов.
Использование одного веб-прослушивателя для нескольких веб-узлов делает возможным применение функции единого входа Forefront TMG, требующей общего веб-прослушивателя для всех веб-узлов единого входа.
Проверка подлинности
С помощью правил веб-публикации можно разрешать или запрещать доступ набору компьютеров или группе пользователей. Если правило применяется к пользователям, Forefront TMG проверяет параметры входящих веб-запросов и определяет способ проверки подлинности пользователей. Так, правило веб-публикации может разрешать доступ только определенным пользователям. Forefront TMG будет проводить проверку подлинности пользователя, запрашивающего объект, чтобы определить, разрешен ли доступ этому пользователю правилом веб-публикации. Пользователь должен пройти проверку подлинности с помощью одного из методов, определенных для входящих веб-запросов.
Forefront TMG обеспечивает среду безопасного шифрованного подключения для веб-обозревателей, поддерживающих проверку подлинности с запросом и подтверждением Microsoft Windows NT, а также для других веб-обозревателей, в которых применяется обычная проверка подлинности. Методы проверки подлинности можно определить для всех IP-адресов сервера или отдельно для каждого IP-адреса.
Функция единого входа позволяет пользователям безопасно переключаться с одного приложения на другое, не проходя повторную проверку подлинности. Функция единого входа настраивается на странице Параметры единого входа мастера создания веб-прослушивателя и применяется при использовании проверки подлинности на основе HTML-форм.
Дополнительные сведения о проверке подлинности в Forefront TMG см. в разделе Обзор проверки подлинности клиента.
Ограничение числа одновременных подключений
Путем ограничения числа одновременных клиентских подключений к серверу Forefront TMG можно предотвратить атаки, направленные на исчерпание ресурсов системы. Это особенно полезно при публикации серверов.
Инструкции по настройке максимального разрешенного числа одновременных подключений см. в процедуре изменения параметров веб-прослушивателя, приведенной в разделе Изменение сетевых объектов.