Настройка сети на запросы веб-прокси

В этой статье содержатся инструкции по настройке внутренней или демилитаризованной сети на прослушивание запросов веб-прокси. Клиент веб-прокси - это приложение или компьютер, отправляющий запросы на порт TCP, на котором сеть Forefront TMG прослушивает исходящие веб-запросы. По умолчанию Forefront TMG прослушивает такие запросы на порте 8080 внутренней сети. Клиентами чаще всего являются веб-обозреватели. Дополнительные сведения см. в статьях Свойства внутренней сети и демилитаризованной зоны и Планирование работы с внутренними клиентами.

Настройка сети на получение запросов веб-прокси включает в себя следующие этапы.

  1. Включение запросов веб-прокси в сети и определение порта, на котором они будут прослушиваться.

  2. Установка настраиваемого ограничения для одновременных подключений веб-прокси в данной сети (необязательно). По умолчанию установлено значение «без ограничения».

  3. Если все клиенты в сети требуют проверки подлинности для доступа к веб-прокси, необходимо настроить метод проверки подлинности.

    С чего начать. Чтобы просмотреть свойства сети, в консоли управления Forefront TMG щелкните узел Сеть. На вкладке Сети щелкните правой кнопкой нужную сеть и выберите Свойства.

Включение запросов веб-прокси в сети

  1. На вкладке Веб-прокси окна свойств выберите вариант Включить HTTP.

  2. В разделе HTTP-порт укажите порт, на котором будут прослушиваться HTTP-запросы. По умолчанию Forefront TMG прослушивает такие запросы на порте 8080. Настроить запросы веб-прокси на подключение к Forefront TMG через SSL невозможно. Параметр Включить SSL используется только для безопасного последовательного соединения запросов с вышестоящим веб-сервером через протокол HTTPS.

Ограничение одновременных подключений веб-прокси в сети

  1. На вкладке Веб-прокси окна свойств сети выберите Дополнительно.

  2. В диалоговом окне Дополнительные параметры выполните следующие действия.

    1. Выберите параметр Без ограничений, чтобы устранить все ограничения на одновременные подключения веб-прокси.

    2. В поле Макс. количество на один сервер введите ограничение для одновременных подключений веб-прокси, разрешенных в данной сети. Затем введите значение в поле Тайм-аут подключения, которое показывает, через сколько секунд будут разъединяться неактивные подключения.

Включение требования проверки подлинности для всех запросов веб-прокси

  1. На вкладке Веб-прокси окна свойств выберите Проверка подлинности.

  2. В списке методов проверки подлинности выберите подходящий метод. Обратите внимание: использование методов проверки подлинности «Дайджест», «Интегрированная» и «Обычная» требует, чтобы Forefront TMG и клиенты, отправляющие запрос, являлись членами домена. Дополнительные сведения см. в статье Проверка подлинности веб-доступа.

  3. Выберите параметр Потребовать проверку подлинности всех пользователей, чтобы установить требование проверки подлинности для всех запросов, обрабатываемых фильтром веб-прокси. Если этот параметр выбран, все анонимные запросы запрещаются, а перед оценкой правил веб-доступа запрашиваются и проверяются учетные данные пользователя.

  4. Щелкните Выбор домена, чтобы указать домен, к которому принадлежат пользователи, прошедшие проверку подлинности.

  5. Щелкните RADIUS-серверы, если хотите использовать RADIUS-сервер для отправки исходящих запросов пользователями, прошедшими проверку подлинности. В диалоговом окне «RADIUS-сервер» введите сведения о сервере. Дополнительные сведения см. в статье Настройка проверки подлинности RADIUS для веб-запросов.

Примечания

  • Проверка подлинности на основе SSL-сертификата используется только при последовательном соединении запросов веб-прокси с вышестоящим прокси-сервером. Клиенты, отправляющие запросы веб-прокси в Forefront TMG, не могут представлять SSL-сертификат.

  • При выборе параметра Потребовать проверку подлинности всех пользователей следует учитывать следующее.

  • Клиентам, которые не смогут предоставить учетные данные или не пройдут проверку, будет отказано в доступе.

  • Выбор этого параметра может заблокировать трафик на таких узлах, как Microsoft Updates, которые не поддерживают проверку подлинности пользователей.

  • Необходимо выбрать метод проверки подлинности, в противном случае клиентские запросы не будут обработаны.