Фильтры приложений Шлюз Microsoft Forefront Threat Management обеспечивают дополнительный уровень безопасности в службе межсетевого экрана Майкрософт. Фильтры приложений могут получить доступ к потоку данных или датаграммам, связанным с сеансом в службе межсетевого экрана. Фильтры приложений зарегистрированы в службе межсетевого экрана и функционируют с некоторыми или всеми датаграммами или потоками протоколов уровня приложений. Фильтр приложения может выполнять задачи, относящиеся к протоколу или системе, такие как проверка подлинности и проверка наличия вирусов. В этом разделе описаны некоторые фильтры приложений, поставляемые вместе с Forefront TMG.

Фильтр DNS

Фильтр DNS перехватывает и анализирует весь входящий трафик DNS, предназначенный для внутренней сети и других защищенных сетей. Если включена функция обнаружения DNS-атак, фильтр DNS можно настроить на проверку определенных видов подозрительных действий. Дополнительные сведения см. в разделе Обзор обнаружения вторжений.

Фильтр FTP-доступа

Фильтр FTP-доступа, доступный в Forefront TMG, перенаправляет запросы FTP от клиентов SecureNAT в службу межсетевого экрана Microsoft. Фильтр динамически открывает дополнительные порты, необходимые для FTP, и выполняет преобразование адресов для клиентов SecureNAT.

Можно создать пользовательский протокол FTP, однако такой протокол не сможет поддерживать полный спектр возможностей, предоставляемых фильтром FTP-доступа.

Фильтр FTP-доступа динамически открывает конкретные порты для дополнительного соединения (для компьютеров с установленным клиентом межсетевого экрана), а определение протокола открывает ряд дополнительных портов. Этот фильтр обеспечивает защиту клиентов за счет преобразования адресов для дополнительного соединения.

Фильтр FTP-доступа различает права на чтение и запись, что позволяет более точно установить разрешения на доступ.

Этот фильтр использует следующие определения протоколов, которые устанавливаются вместе с фильтром во время установки Forefront TMG.

  • FTP

  • FTP-сервер

Фильтр H.323

Forefront TMG содержит фильтр H.323, позволяющий приложениям, совместимым с H.323 (например Microsoft Windows NetMeeting® 3), проходить через Forefront TMG. Благодаря этому предприятия, использующие Интернет, могут воспользоваться разнообразными мультимедийными возможностями и средствами для совместной работы в режиме реального времени. Компании, развертывающие межсетевые экраны между отделами, также могут применить эту технологию для улучшения взаимодействия сотрудников через интрасети.

Кроме того, фильтр H.323 защищает подключения внутренних клиентов к Интернету, при необходимости скрывая IP-адреса клиентов и ограничивая доступ.

Протокол H.323

Протокол H.323 представляет собой набор стандартов, поддерживающих мультимедийные конференции и взаимодействие в реальном времени по сетям с коммутацией пакетов, в которых невозможно гарантировать качество обслуживания. Эти стандарты были разработаны для различных типов сетей. Из-за недостаточного качества передачи голосовых данных через Интернет было предложено внести улучшения, если взаимодействие осуществлялось частично с использованием Интернета и частично через коммутируемую телефонную сеть общего пользования (PSTN). Стандарты H.323 также предназначены для установления связи между обычным телефоном PSTN и клиентом, установленным на компьютере.

H.323 определяет, каким образом совместимые компоненты (терминалы, шлюзы, привратники, устройства управления многоточечными конференциями) задействованы в аудио- и видеосвязи, а также в многоточечных конференциях. Стандарты H.323 определяют обязательные и дополнительные службы, предоставляемые привратником. Стандарт протокола H.323 борется за управление вызовами как для конференций типа «точка-точка», так и для многоточечных конференций. Стандарт также определяет работоспособность шлюза, позволяющего устанавливать соединение между терминалами H.323, а также между устройствами локальных сетей и коммутируемых сетей общего пользования.

По умолчанию фильтр H.323 применяется к протоколу H.323.

Ограничение доступа к протоколу H.323

Можно создать правила доступа, ограничивающие доступ к протоколу H.323. Например, может потребоваться запретить клиентский H.323-доступ к видеоданным, совместному использованию данных T120 и исходящим вызовам. Можно создать правило доступа, разрешающее клиентский доступ H.323 только к протоколу входящих вызовов. Поскольку Forefront TMG разрешает только явно указанный доступ, будет разрешен лишь этот протокол.

Фильтры обнаружения вторжений

Фильтры обнаружения вторжений, представленные с Forefront TMG, включают фильтр обнаружения DNS и фильтр обнаружения вторжений POP. Они описаны в документе «Forefront TMG Network Protection: Protecting Against Floods and Attacks» на веб-узле Майкрософт Forefront TMG.

Фильтр RPC

Forefront TMG обрабатывает трафик для всех удаленных вызовов процедур (RPC) между клиентами, находящимися за пределами сети, и RPC-серверами, расположенными внутри сети. С помощью RPC-фильтра Forefront TMG можно определить один или несколько интерфейсов UUID в качестве определения протокола RPC. Это определение протокола используется в правилах публикации Forefront TMG для сервера, поэтому внешние клиенты могут получить доступ к интерфейсам UUID на внутреннем RPC-сервере.

Фильтр RPC применяется только к трафику RPC (включая определенные пользователями протоколы RPC). Он не применяется к трафику RPC, которые передается по туннелю с помощью другого протокола. Например, этот фильтр не затрагивает трафик RPC через HTTP или RPC через XML.

Фильтр RPC работает как с входящим, так и с исходящим трафиком. При публикации (входящие запросы) можно ограничить количество разрешенных UUID. При работе с правилами доступа (исходящие запросы) фильтр обрабатывает автоматическое открытие дополнительных соединений.

Публикация Exchange Server и фильтр RPC

Распространенным способом доступа к серверам Microsoft Exchange Server с удаленных узлов является использование полного клиента Microsoft Outlook MAPI. Пользователи предпочитают пользоваться все тем же полным клиентом Outlook MAPI для электронной почты, с которым они работают при прямом подключении к корпоративной сети. Проблема, стоящая перед администраторами системы безопасности и межсетевых экранов, заключается в определении способа обеспечения безопасности подключений удаленного доступа к полному клиенту Outlook MAPI. Для удаленного доступа к службам Microsoft Exchange RPC (который необходим для клиентского доступа Outlook MAPI) может потребоваться большое количество статически открытых портов на пограничном межсетевом экране для Интернета. Количество статически открытых портов, необходимых для получения удаленного доступа к службам Exchange RPC, было препятствием для применения улучшенных средств работы с почтой Outlook из удаленных расположений.

При использовании стандартного межсетевого экрана для обеспечения этого типа доступа большое количество открытых портов в традиционном межсетевом экране было причиной, по которой возможность удаленного доступа для клиента Outlook MAPI ставилась под сомнение. Еще одной важной проблемой является вероятность вирусных атак на службы RPC и DCOM. При использовании стандартного межсетевого экрана, не поддерживающего RPC на уровне приложений, черви RPC могут атаковать сеть через порт с этим номером. Подобная атака может перейти на сервер Exchange и впоследствии заразить вирусами другие компьютеры корпоративной сети.

Фильтр RPC Forefront TMG позволяет использовать защищенные подключения Outlook MAPI к корпоративному серверу Exchange. Фильтр RPC блокирует зараженные червями соединения RPC, исходящие из корпоративной сети. Фильтр может помочь предотвратить выход зараженных соединений RPC из корпоративной сети и избежать вредоносных программ компьютерами внутренней сети компьютеров в Интернете.

Кроме того, фильтр RPC может использоваться для установки безопасных соединений RPC из клиентов Outlook MAPI. Если эта функция включена, запросы на подключение от удаленных клиентов Outlook MAPI могут передаваться по безопасному зашифрованному каналу. Если подключение небезопасно, Forefront TMG отменяет клиентский запрос. Таким образом, управление уровнем безопасности может осуществляться непосредственно Forefront TMG, а не пользователями. Поскольку протокол RPC Exchange является предопределенным, фильтр RPC открывает только необходимые интерфейсы, вместо использования полного RPC на сервере Exchange.

Фильтрация RPC для клиентов Outlook

Далее представлено описание установки первоначального соединения сопоставителя конечных точек RPC между клиентом Outlook MAPI и Forefront TMG.

  1. Клиент Outlook MAPI устанавливает соединение с TCP-портом 135 во внешнем интерфейсе Forefront TMG.

  2. Фильтр RPC проверяет пакеты с отслеживанием состояния соединений. При обнаружении недопустимых RPC-подключений соединение разрывается.

  3. Действительные подключения RPC от клиентов Outlook MAPI перенаправляются на сервер Exchange. Сервер Exchange отвечает на запрос, предоставляя номер порта, который клиент использует для последующих подключений к данным.

  4. Forefront TMG перехватывает ответ и изменяет номер порта на действительный порт, который клиент Outlook MAPI может использовать во внешнем интерфейсе Forefront TMG.

  5. Forefront TMG перенаправляет клиенту Outlook MAPI номер порта, который тот будет использовать для последующих подключений к серверу Exchange.

Далее представлена последовательность взаимодействия клиента Outlook MAPI и сервера Exchange после того, как установлено соединение сопоставителя конечных точек.

  1. Клиент Outlook MAPI подключается к порту MAPI, на использование которого получено указание от Forefront TMG. Forefront TMG проверяет команды RPC, чтобы убедиться в отсутствии средств использования уязвимостей в канале.

  2. Сведения, отправленные клиентом Outlook MAPI, перенаправляются Forefront TMG службам RPC сервера Exchange.

  3. Сервер Exchange отвечает клиенту Outlook MAPI, а Forefront TMG перехватывает ответы. Фильтр RPC проверяет эти ответы и изменяет исходный номер порта.

  4. Forefront TMG перенаправляет ответы клиенту Outlook MAPI.

Строгое соответствие RPC

Для соблюдения строгого соответствия RPC исходящие протоколы RPC можно настроить на основе правил. По умолчанию для протоколов RPC требуется строгое соответствие. Если требуется строгое соответствие, передача протоколов RPC-типа, например DCOM, через Forefront TMG будет запрещена.

Фильтр SMTP

Forefront TMG перехватывает весь трафик SMTP, поступающий на порт 25 компьютера Forefront TMG. Фильтр SMTP принимает трафик, проверяет его и передает далее, только если это разрешено правилами.

По умолчанию фильтр SMTP применяется к протоколам SMTP и SMTP-сервера для входящего трафика.

Forefront TMG поддерживает взаимодействие нескольких лесов компьютеров Exchange Server, только если соединение выполняется через безопасный канал (с использованием TLS).

Регистрация заблокированных сообщений электронной почты

Если команда SMTP блокируется из-за несоответствия одному из условий фильтра SMTP, заблокированное сообщение будет зарегистрировано только при включении предупреждений о событиях фильтра SMTP. По умолчанию предупреждения отключены.

Обработка команд

Фильтр SMTP проверяет команды SMTP, отправленные Интернет-серверами и клиентами SMTP. Фильтр может перехватить команды SMTP и проверить, являются ли они действительными и соответствует ли их длина максимально разрешенному значению, чтобы обеспечить защиту от атак, связанных с переполнением буфера. Команды SMTP, не соответствующие ограничениям политики, считаются атаками, направленными на сервер SMTP, и могут быть остановлены фильтром SMTP.

Каждая команда SMTP имеет соответствующую максимальную длину. Эта длина выражается в количестве байтов, разрешенных для каждой команды. Если злоумышленник отправляет команду, длина которой превышает разрешенное число байтов, Forefront TMG возвращает отправителю код ошибки и разрывает соединение.

Если клиент использует команду, которая определена, но отключена, фильтр закрывает соединение. Если клиент использует команду, нераспознаваемую фильтром SMTP, то такое сообщение не фильтруется.

В документе RFC команда AUTH рассматривается как часть команды MAIL FROM. Поэтому фильтр SMTP блокирует команды MAIL FROM, только если их длина превышает длину существующих команд MAIL FROM и AUTH (если команда AUTH включена). Например, если для команды MAIL FROM задана максимальная длина, составляющая 266 байтов, а для команды AUTH — 1024 байта, сообщение будет заблокировано, когда длина команды MAIL FROM превысит 1290 байтов.

Фильтр SMTP не проверяет трафик SMTP, зашифрованный с помощью SSL. Если серверу Forefront TMG необходимо предотвращать подобный трафик, следует настроить фильтр SMTP таким образом, чтобы он блокировал команды START/TLS/TLS.

Фильтр SOCKS

Фильтр SOCKS, поставляемый вместе с Forefront TMG, перенаправляет запросы из приложений SOCKS в службу межсетевого экрана Microsoft. Forefront TMG проверяет правила политики доступа для определения возможности подключения клиентского приложения SOCKS к Интернету.

При установке Forefront TMG фильтр SOCKS отключен для всех сетей. Forefront TMG можно настроить для прослушивания запросов SOCKS на любом порте (обычно запросы приложений SOCKS отправляются на порт 1080). Заданный по умолчанию порт можно изменить.

Фильтр TFTP-доступа

Этот фильтр позволяет Forefront TMG принимать запрос от клиента по протоколу TFTP, перенаправлять его на TFTP-сервер на порт 69, после чего TFTP-сервер отвечает клиенту, причем ответ возвращается с другого порта.

Фильтры приложений потоков мультимедиа

Фильтры приложений потоков мультимедиа позволяют клиентам межсетевых экранов и клиентам SecureNAT использовать протоколы потокового мультимедиа для доступа к серверам потоков мультимедиа, таким как сервер технологий Microsoft Windows Media.

Forefront TMG включает три фильтра приложений, обеспечивающих клиентский доступ к основным протоколам потоков мультимедиа.

  • Фильтр RTSP. Применяется к протоколу RTSP, который используется для правил доступа, и RTSP-серверу, применяемому для правил публикации сервера. Включенный фильтр приложений может использоваться для разрешения клиентского доступа и публикации сервера таким приложениям, как Windows Media Player 11, Windows Media Player 10, Windows Media Player 9, Real Networks RealPlayer Plus, RealPlayer G2, QuickTime 7, QuickTime 6, QuickTime 5 и QuickTime 4.

  • Фильтр MMS. Применяется к Microsoft Windows Media, известному как Microsoft Media Server (MMS), который используется для правил доступа, а также к протоколу MMS-сервера, применяемому для правил публикации сервера. Включенный фильтр приложений может использоваться для разрешения клиентского доступа Windows Media Player 8 (клиент по умолчанию в Microsoft Windows XP) и публикации сервера.

  • Фильтр PNM. Применяется к протоколу PNM, который используется для правил доступа, и PNM-серверу, используемому для правил публикации сервера. Включенный фильтр приложений может использоваться для разрешения клиентского доступа RealPlayer и публикации сервера.

Можно создать правила доступа, ограничивающие доступ к определениям протоколов. Например, может потребоваться разрешить клиентский доступ только для Windows Media. Можно создать правило протокола, разрешающее использование Client MMS, протокола Windows Media, и другое правило протокола, запрещающее использование Client PNM, протокола PNM.

При отключении фильтра потоков мультимедиа также отключаются все его определения протоколов. Трафик, использующий определения протоколов Windows Media Technologies, PNM и RTSP, блокируется.

По умолчанию фильтры потокового мультимедиа применяются к следующим протоколам: RTSP, RTSP-сервер, MMS, MMS-сервер, PNM и PNM-сервер.

Forefront TMG не кэширует потоковое содержимое. Это означает, что содержимое MMS и RTSP не кэшируется. Однако, если содержимое доставляется с помощью протокола HTTP в качестве файлового ресурса (а не потокового HTTP), Forefront TMG может выполнить кэширование содержимого в зависимости от настройки этого процесса.

Фильтр веб-прокси

Фильтр веб-прокси функционирует на уровне приложения от имени клиента, запрашивающего веб-трафик. Этот фильтр нельзя отключить, однако можно указать возможность его применения к определенным протоколам. По умолчанию он применяется к протоколу HTTP, настроенному следующим образом.

  • Направление - исходящий.

  • Тип протокола - TCP.

  • Номер порта - 80.

Если для протокола включен фильтр веб-прокси, этот протокол может использовать следующие функции (если применимы).

  • Проверка подлинности.

  • Фильтрация HTTP.

Когда фильтр веб-прокси для протокола отключен, Forefront TMG не перехватывает запросы от клиентов, подключенных к веб-серверам. При этом отключаются все службы кэширования и другие службы прокси для клиентских запросов. Можно создать настраиваемый протокол, прослушивающий порт, отличный от порта 80, и применить к этому протоколу фильтр веб-прокси. Функциональность фильтра веб-прокси будет распространена на настраиваемый протокол.