Использование протоколов в правилах доступа и правилах публикации серверов Шлюз Microsoft Forefront Threat Management позволяет устанавливать разрешение или запрет на входящий или исходящий трафик по определенным протоколам.
Предопределенные протоколы
Forefront TMG поставляется с большим числом предустановленных определений общеизвестных протоколов, доступных на вкладке «Инструментарий» диспетчера Forefront TMG. Обратите внимание на то, что предопределенные протоколы не подлежат изменению или удалению. Предопределенные протоколы разделены на функциональные категории. Такое разделение призвано облегчить выбор необходимого протокола для конкретной ситуации. Обратите внимание: некоторые протоколы входят в несколько категорий.
Категория | Описание |
---|---|
Общие протоколы |
К данной категории относятся протоколы общего назначения - HTTP и HTTPS. |
Инфраструктура |
К данной категории относятся протоколы, используемые для организации сетевой инфраструктуры, такие как DHCP, LDAP и DNS. |
Почта |
К данной категории относятся протоколы, используемые почтовыми серверами, - SMTP, IMAP4, POP3 и др. |
Обмен мгновенными сообщениями |
К данной категории относятся протоколы, используемые службами обмена мгновенными сообщениями, такие как MSN Messenger, ICQ, H.323 и др. |
Удаленный терминал |
К данной категории относятся протоколы, необходимые для обеспечения удаленного управления, такие как RDP, Telnet и др. |
Поток мультимедиа |
К данной категории относятся протоколы, необходимые для потоковой передачи мультимедийных данных, - MMS, RTSP и др. |
VPN и IPsec |
К данной категории относятся протоколы, необходимые для обеспечения VPN-соединений, - это IKE-клиент, IKE-сервер, L2TP и др. |
Веб |
К данной категории относятся протоколы, используемые для доступа к веб-узлам, такие как HTTP, HTTPS, FTP и др. При создании правил веб-публикации выбор протоколов можно осуществлять только в этой категории. |
Пользовательские |
К данной категории относятся протоколы, определенные пользователем. |
Проверка подлинности |
К данной категории относятся протоколы, используемые в целях проверки подлинности, такие как RADIUS, RSA SecurID и Kerberos. |
Протоколы сервера |
К данной категории относятся серверные протоколы, используемые в правилах публикации серверов, такие как RPC-сервер, Microsoft SQL Server, FTP-сервер и др. В имени протокола, используемого для публикации сервера, должно содержаться слово «сервер» или «Server». Такие протоколы могут быть только протоколами входящего трафика. Так, протокол FTP-сервер является протоколом входящего трафика, используемым для публикации серверов, в то время как протокол FTP считается исходящим. |
Все протоколы |
К данной категории относятся все протоколы инструментария (как предопределенные, так и пользовательские). |
Свойства протоколов
Предопределенные и пользовательские протоколы имеют ряд свойств, которые рассматриваются в следующих разделах.
Тип протокола
Низкоуровневый протокол, используемый данным протоколом: TCP, UDP, ICMP или IP-уровень.
Направление
В Forefront TMG данное свойство используется для определения, является ли трафик входящим или исходящим. Для протокола TCP используются значения «Входящий» и «Исходящий». Для протокола UDP - «Отправить», «Получить», «Отправить Получить» или «Получить Отправить». Для протоколов ICMP и IP-уровня - «Отправить» и «Отправить Получить».
- Для правил доступа направление протокола обычно определяется
как исходящее. Благодаря этому обеспечивается передача данных от
источника (указанного в свойстве «Откуда» данного правила) к
назначению (указанного в свойстве «Куда» данного правила). В именах
предопределенных протоколов исходящего трафика не содержится слово
«сервер» или «Server».
- Для правил публикации сервера протокол должен быть определен
как протокол входящего трафика. Благодаря этому обеспечивается
передача данных от источника к опубликованной на сервере службе. В
имени предопределенного протокола входящего трафика, используемого
для публикации сервера, должно содержаться слово «сервер» или
«Server». При определении пользовательских протоколов для
публикации серверов это слово добавлять не нужно. Однако протокол
необходимо определить как протокол входящего трафика.
Диапазон портов
Для начального подключения по протоколам TCP и UDP используются порты с номерами в диапазоне от 1 до 65 535. К одному порту может быть привязано несколько протоколов.
При создании правила, запрещающего доступ к определенному протоколу, в список исключений необходимо включить все протоколы, использующие тот же порт. Существует и другой способ. Можно создать правило, которое запрещает применение какого-либо протокола, использующего данный порт, и поместить его перед правилом доступа. Например, если необходимо создать протокол, который будет использоваться в правиле, запрещающем доступ к вирусу, не следует создавать правило доступа, разрешающее доступ ко всем элементам, кроме нового протокола. Вместо этого можно создать правило, запрещающее доступ к этому протоколу. Далее следует поместить это правило перед любым другим правилом, разрешающим использование протоколов по тому же порту, к которому привязан новый протокол.
Номер протокола
Для протоколов IP-уровня принимает значение от 0 до 254.
Свойства ICMP
- Для протокола ICMP указывается код и тип ICMP.
Дополнительные соединения
- Указываются диапазон портов, типы протоколов и направление,
используемое для установления дополнительных соединений и передачи
дополнительных пакетов после первоначального подключения. По мере
необходимости можно настроить одно или несколько дополнительных
соединений. Для основных протоколов IP-уровня дополнительные
соединения создать невозможно.