Клиент SecureNAT Шлюз Microsoft Forefront Threat Management - это компьютер, на котором установлена любая операционная система, использующая доступ к сети по протоколу TCP/IP. У Forefront TMG нет сведений о клиентах SecureNAT, за исключением IP-адреса и протокола, используемого в запросах клиента. Клиенты SecureNAT обладают следующими характеристиками:
- В сценарии простой сети (без маршрутизаторов между клиентом и
Forefront TMG) клиентский шлюз по умолчанию указывает IP-адрес сети
Forefront TMG, в которой расположен клиент (обычно внутренняя
сеть). В сложных сетях с маршрутизаторами, создающими мосты,
объединяющие подсети между клиентом и Forefront TMG, настройки
шлюза по умолчанию на последнем маршрутизаторе в цепочке должны
указывать на Forefront TMG. Для нормальной работы маршрутизатор
должен использовать шлюз по умолчанию, который указывает кратчайший
путь к серверу Forefront TMG.
- Клиенты SecureNAT могут использовать любой простой протокол,
определенный в Forefront TMG. Клиенты SecureNAT могут использовать
сложные протоколы, требующие установления дополнительных
подключений, если настроен фильтр приложений Forefront TMG для
протокола.
- Проверка подлинности клиентов SecureNAT не может быть выполнена
на Forefront TMG. Если для запроса необходима проверка подлинности,
клиент либо увидит всплывающее окно с запросом проверки
подлинности, либо запрос будет отклонен.
- Приложения веб-прокси, которые выполняются на компьютерах
клиентов SecureNAT, могут использовать автоматическое обнаружение
настроек прокси. Дополнительные сведения см. в разделе Автоматическое
обнаружение.
Чтобы настроить клиенты SecureNAT, укажите значение, чтобы шлюз по умолчанию указывал на Forefront TMG или маршрутизатор. Убедитесь, что сервер Forefront TMG установлен в качестве маршрута в Интернет по умолчанию для клиента.
Настройка разрешения имен
Клиенты SecureNAT могут запросить объекты как с компьютеров в локальной сети, так и из Интернета и должны разрешать имена как для внешних, так и для внутренних компьютеров. Forefront TMG не выполняет разрешение имен от имени клиентов SecureNAT. Рекомендуется выполнить следующее:
- Только для доступа к Интернету настройте TCP/IP-параметры
клиента на использование DNS-серверов в сети Интернет. Создайте
правило доступа, разрешающее клиентам SecureNAT использовать
протокол DNS, и настройте DNS-фильтр для клиентов SecureNAT.
- Если клиенты SecureNAT запрашивают данные из Интернета и
внутренних ресурсов, клиенты должны использовать DNS-сервер,
расположенный во внутренней сети. Следует настроить DNS-сервер на
разрешение как внутренних адресов, так и адресов сети Интернет.
Избегайте возвратной петли через Forefront TMG для запросов клиентов SecureNAT на внутренние ресурсы. Например, если клиент делает запрос на внутренний ресурс, опубликованный Forefront TMG во внешней сети, разрешение имен не должно разрешать запрос на внешний IP-адрес во внешней сети. Если это происходит и клиент SecureNAT отправляет запрос на внешний IP-адрес, сервер публикации может ответить напрямую клиенту SecureNAT и запрос будет отклонен. Исходный IP-адрес клиента замещается IP-адресом внутренней сетевой платы Forefront TMG, который распознается опубликованным сервером как внутренний. Поэтому сервер может ответить напрямую клиенту SecureNAT. Это может привести к тому, что пакеты будут направляться в одну сторону по одному маршруту, без участия Forefront TMG, а другие пакеты будут направляться в другую сторону через Forefront TMG. Поэтому Forefront TMG отбросит запрос как недействительный.