Вы создаете Шлюз Microsoft Forefront Threat Management сетевые правила для явного разрешения взаимодействия сетей. Forefront TMG создает целый ряд определенных сетевых правил в соответствии с установкой.
- Доступ к локальному компьютеру - Это правило определяет
отношение маршрутизации между локальной сетью (сервер Forefront
TMG) и другими сетями, подключенными к серверу Forefront TMG.
- VPN-клиенты к внутренней сети - Это правило определяет
отношение маршрутизации между внутренней сетью и VPN-клиентами,
помещенными в карантин, а также сетями VPN-клиентов.
- Доступ к Интернету - Это правило определяет отношение
преобразования сетевых адресов между всеми предопределенными сетями
и внешней сетью.
Можно изменить свойства предопределенных сетевых правил или создать новые сетевые правила. Инструкции см. в разделе Настройка сетевых правил.
Отношения сетевых правил
Каждое сетевое правило имеет отношение, определенное для указания способа обработки трафика, передаваемого между сетями. При создании сетевого правила можно настроить отношение маршрутизации или преобразования сетевых адресов (NAT).
Отношение маршрутизации
Отношения маршрутизации являются двунаправленными. Например, если сетевое правило определяет отношение маршрутизации из сети А в сеть В, то также существует подразумеваемое отношение маршрутизации из сети В в сеть А. Запросы клиентов из сети источника или пункта назначения перенаправляются в другую сеть без изменения IP-адресов источника и пункта назначения. Используйте отношение маршрутизации, когда не требуется скрывать IP-адреса между сетями. Это общая конфигурация между двумя сетями с общими IP-адресами или между двумя сетями с частными адресами. и в том, и в другом случае узлы в каждой сети должны определять IP-адрес Forefront TMG в своей локальной сети как маршрут к другой сети. Во многих случаях достаточно определения IP-адреса Forefront TMG как шлюза по умолчанию. При создании правил доступа или правил публикации сервера отношение маршрутизации влияет на трафик следующим образом.
- При использовании правил доступа Forefront TMG пересылает
трафик, сохраняя IP-адреса источника и пункта назначения.
- При использовании правил публикации сервера Forefront TMG
пересылает трафик, как и в случае правил доступа, но
непосредственно использует фильтры приложения. Например, фильтр
протокола SMTP не используется для SMTP-трафика, обрабатываемого
правилом доступа, а используется с трафиком, обрабатываемым
правилом публикации сервера. Дополнительные сведения см. в разделе
Отношения сетей
и политика межсетевого экрана.
Отношение NAT
Отношения NAT между сетями являются однонаправленными. Трафик передается согласно источнику или пункту назначения трафика. Forefront TMG выполняет преобразование сетевых адресов следующим образом.
- В правилах доступа Forefront TMG заменяет клиентский IP-адрес в
сети источника на IP-адрес Forefront TMG по умолчанию для сети
назначения. Например, если создается отношение NAT в сетевом
правиле между Внутренней сетью и Внешней сетью,
IP-адрес источника запроса из Внутренней сети будет заменен
IP-адресом по умолчанию сетевого адаптера Forefront TMG,
подключенного к Внешней сети. Правила доступа, которые
управляют передачей трафика между сетями, определенные с отношением
NAT, могут использовать только сеть источника, указанную на вкладке
Откуда, и сеть назначения, указанную на вкладке Куда
правила.
- В правилах публикации сервера клиент в сети назначения создает
подключение к IP-адресу Forefront TMG, на котором правило
публикации прослушивает запросы. Когда Forefront TMG пересылает
трафик опубликованному серверу, он заменяет IP-адрес Forefront TMG
на IP-адрес внутреннего сервера, который публикует, но не изменяет
IP-адрес источника. Обратите внимание: в отношении NAT правила
публикации сервера могут только получать доступ к сети, указанной
как сеть назначения. Кроме того, поскольку публикация сервера через
сети с NAT оставляет IP-адрес источника нетронутым при
перенаправлении трафика опубликованному серверу, опубликованный
сервер должен использовать компьютер Forefront TMG на последнем
этапе в схеме маршрутизации к сети назначения. Если это невозможно,
настройте правила публикации сервера для использования параметра
Запросы поступили от компьютера Forefront™ TMG. Это
приведет к тому, что Forefront TMG выполняет полное преобразование
NAT для трафика, обрабатываемого по этому правилу. Дополнительные
сведения см. в разделе Отношения сетей и
политика межсетевого экрана.