Настройка IP

Шлюз Microsoft Forefront Threat Management может отбрасывать все IP-пакеты, в заголовке которых содержится любой параметр IP, все IP-пакеты, в заголовке которых содержатся выбранные параметры IP, или все IP-пакеты, заголовки которых содержат параметр IP, отсутствующий в списке выбранных параметров. Кроме того, Forefront TMG может отбрасывать все фрагменты IP. Дополнительные сведения о фильтрации параметров IP и фильтрации фрагмента IP см. в разделе Обзор обнаружения вторжений.

В этом разделе описаны процедуры включения фильтрации параметров IP и фильтрации фрагмента IP.

Включение фильтрации параметров IP

В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
На вкладке Задачи нажмите кнопку Настройка IP.
На вкладке Параметры IP выберите Включить фильтрацию параметров IP.
Выберите один из следующих параметров.
- Отклонить все пакеты с любыми параметрами IP
- Отклонить пакеты с выбранными параметрами IP
- Отклонить все пакеты за исключением выбранных параметров IP
При выборе вариантов Отклонить пакеты с выбранными параметрами IP или Отклонить все пакеты за исключением выбранных параметров IP выберите соответствующие параметры IP.
Нажмите кнопку ОК для закрытия диалогового окна.

Включение фильтрации фрагмента IP

В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
На вкладке Задачи нажмите кнопку Настройка IP.
На вкладке Фрагменты IP выберите Блокировать фрагменты IP.

Нажмите кнопку ОК для закрытия диалогового окна.

Примечание.
Проверка подлинности Kerberos зависит от UDP-пакетов, которые обычно фрагментированы. Если компьютер Forefront TMG входит в домен и блокирование фрагментов IP включено, проверка подлинности Kerberos выполнена не будет. Например, если для проверки подлинности при входе пользователя в систему используется Kerberos, произойдет ошибка входа. При использовании проверки подлинности Kerberos не рекомендуется включать функцию блокирования пакетов, содержащих фрагменты IP.

Примечание.

Проверка подлинности Kerberos зависит от UDP-пакетов, которые обычно фрагментированы. Если компьютер Forefront TMG входит в домен и блокирование фрагментов IP включено, проверка подлинности Kerberos выполнена не будет. Например, если для проверки подлинности при входе пользователя в систему используется Kerberos, произойдет ошибка входа. При использовании проверки подлинности Kerberos не рекомендуется включать функцию блокирования пакетов, содержащих фрагменты IP.

Важно.
По завершении настройки IP в области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем нажмите кнопку ОК.