При определении правил в Шлюз Microsoft Forefront Threat Management используются следующие типы сетевых объектов.
- Сеть
- Набор сетей
- Компьютер
- Диапазон адресов
- Подсеть
- Набор компьютеров
- Набор URL-адресов
- Набор доменных имен
- Веб-прослушиватель
- Ферма серверов
Создав объект в Forefront TMG, можно изменить его свойства и использовать его при определении правила. Если сетевой объект уже используется для определения правила, новая политика с внесенными изменениями будет применена только к новым подключениям.
Инструкции по изменению сетей см. в разделе Изменение внутренних сетей и демилитаризованных зон. В этом разделе описаны процедуры изменения других сетевых объектов.
Изменение набора сетей
-
В дереве консоли управления Forefront TMG щелкните элемент Сеть.
-
В области сведений откройте вкладку Сети.
-
Выберите набор сетей для изменения.
-
На вкладке Задачи нажмите кнопку Изменить выбранный набор сетей.
-
На вкладкеСети установите или снимите флажки тех сетей, которые нужно включить в набор сетей или исключить из него.
Примечание. Предварительно определенные наборы сетей изменять нельзя. -
Нажмите кнопку ОК для закрытия диалогового окна.
Изменение объекта компьютера
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Компьютеры и выберите необходимый объект компьютера.
-
На панели инструментов под разделом Сетевые объекты нажмите кнопку Изменить.
-
В поле Имя введите имя для компьютера.
-
В поле IP-адрес компьютера введите новый IP-адрес для компьютера. Чтобы найти IP-адрес на основе имени компьютера, можно нажать кнопку Обзор.
-
Нажмите кнопку ОК для закрытия диалогового окна.
Изменение диапазона адресов
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Диапазоны адресов и выберите необходимый диапазон адресов.
-
На панели инструментов под разделом Сетевые объекты нажмите кнопку Изменить.
-
В поле Имя введите имя для диапазона адресов.
-
В поле Начальный адрес введите новый IP-адрес для первого адреса диапазона.
-
В поле Конечный адрес введите новый IP-адрес для последнего адреса диапазона.
-
Нажмите кнопку ОК для закрытия диалогового окна.
Изменение подсети
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Подсети и выберите необходимую подсеть.
-
На панели инструментов под разделом Сетевые объекты нажмите кнопку Изменить.
-
В поле Имя введите новое имя для подсети.
-
В поле Сетевой адрес ведите новый IP-адрес для первого адреса диапазона адресов, включающего подсеть.
-
Можно выполнить одно из следующих действий.
- В поле счетчика введите или выберите значение от 0 до 32,
которое задает количество следующих друг за другом единиц в
двоичном значении маски сети.
- В поле «Маска сети» введите новую маску сети. Чтобы определить
диапазон IP адресов, находящихся в подсети, нужно применить
операцию «логическое И» к маске подсети и первому IP адресу подсети
(указан в поле «Сетевой адрес»).
Маска подсети обычно состоит из нуля, одного, двух или трех двоичных октетов, содержащих серию единиц (которая может быть пустой) следующих за серией нулей. В десятичном виде октеты представляются в виде чисел от 0 до 255, разделенных точками, например:
254
252
248
240
224
192
128
0
- В поле счетчика введите или выберите значение от 0 до 32,
которое задает количество следующих друг за другом единиц в
двоичном значении маски сети.
-
Нажмите кнопку ОК для закрытия диалогового окна.
Изменение набора компьютеров
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Набор компьютеров и выберите необходимый набор компьютеров.
-
На панели инструментов под разделом Сетевые объекты нажмите кнопку Изменить.
-
Чтобы добавить новый компьютер, диапазон адресов или подсеть в набор компьютеров, нажмите кнопку Добавить и, в зависимости от объекта, добавляемого в набор, выберите Компьютер, Диапазон адресов или Подсеть Укажите все необходимые сведения для выбранного объекта.
-
Чтобы изменить или удалить компьютер, диапазон адресов или подсеть в наборе компьютеров, выберите соответствующее имя, а затем нажмите нужную кнопку - Изменить или Удалить.
-
Нажмите кнопку ОК для закрытия диалогового окна.
Изменение набора URL-адресов
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Набор URL-адресов и выберите необходимый набор URL-адресов.
-
На панели инструментов под разделом Сетевые объекты нажмите кнопку Изменить.
-
В поле Имя введите новое имя для набора URL-адресов.
-
Чтобы добавить новый URL-адрес, нажмите кнопку Добавить, а затем введите URL-адрес, включаемый в набор URL-адресов.
Каждый URL-адрес может содержать имя узла и путь. Допускается использование подстановочных знаков. Однако, URL-адреса, содержащие строку запроса и входящие в набор URL-адресов, не учитываются. В адрес могут быть включены протокол (HTTP, HTTPS или FTP) и номер порта, которые также не учитываются.
Форматы, в которых могут быть определены узлы:
- FQDN (например, www.northwindtraders.com).
- Суффикс DNS (например, *.net).
- IP-адрес.
- Подстановочный знак (*).
Форматы, в которых могут быть определены пути:
- Полный путь (например, default.htm).
- Префикс (например, /pictures/travel/* или /*).
Forefront TMG не поддерживает использование URL-адресов многоязычных доменных имен (IDN).
- FQDN (например, www.northwindtraders.com).
-
Чтобы изменить или удалить URL-адрес, выберите его, а затем нажмите нужную кнопку - Переименовать или Удалить.
-
Нажмите кнопку ОК для закрытия диалогового окна.
Изменение набора доменных имен
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Наборы доменных имен и выберите необходимый набор доменных имен.
-
На панели инструментов под разделом Сетевые объекты нажмите кнопку Изменить.
-
Чтобы добавить доменное имя, нажмите кнопку Добавить, а затем введите доменное имя, включаемое в набор доменных имен.
Указывая доменное имя, можно использовать звездочку (*), которая будет определять набор компьютеров. Например, чтобы указать все компьютеры в домене fabrikam.com, введите имя домена как «*.fabrikam.com». Следует учесть, что звездочка может отображаться только в начале имени домена и использоваться в нем один раз.
Указывая имя одного компьютера, необходимо использовать полное доменное имя (FQDN). Например, нужно ввести «имя_компьютера.fabrikam.com», а не «//имя_компьютера».
-
Чтобы изменить или удалить доменное имя, выберите его, а затем нажмите нужную кнопку - Переименовать или Удалить.
-
Нажмите кнопку ОК для закрытия диалогового окна.
Изменение веб-прослушивателя
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Веб-прослушиватели и выберите необходимый веб-прослушиватель.
-
На панели инструментов под разделом Сетевые объекты нажмите кнопку Изменить.
-
Чтобы настроить веб-прослушиватель на прослушивание HTTP- или SSL-запросов, выполните следующие действия.
- На вкладке Подключения выберите Включить подключения
HTTP для данного порта, если Forefront TMG должен прослушивать
HTTP-запросы. Введите номер порта, на котором Forefront TMG будет
прослушивать HTTP-запросы.
- ВыберитеВключить подключения SSL (HTTPS) для данного
порта, если Forefront TMG должен прослушивать SSL-запросы.
Введите номер порта, на котором Forefront TMG будет прослушивать
SSL-запросы.
- Если выбран параметр Включить подключения SSL (HTTPS) для
данного порта, нажмите кнопку Выбрать, чтобы выбрать
сертификат для использования с SSL-запросами.
Для SSL-запросов большинство веб-обозревателей может использовать только порт 443.
На вкладке Подключения можно контролировать перенаправление пользователей, которые с помощью HTTP пытаются подключиться к опубликованным SSL-узлам. Как правило, в сценарии защищенной веб-публикации выбирается параметр Перенаправлять весь трафик с HTTP на HTTPS. В этом случае все HTTP-запросы автоматически перенаправляются на HTTPS.
Если при публикации узлов HTTP и SSL используется один веб-прослушиватель, может потребоваться выбрать параметр Не перенаправлять трафик с HTTP на HTTPS, а затем в каждом правиле публикации для узлов HTTP и SSL настроить перенаправление с HTTP на HTTPS. Учтите, что при выборе этого параметра автоматическое перенаправление выполняться не будет, однако пользователю будет необходимо заново ввести URL-адрес с протоколом HTTPS. Для конфигурации каждого правила на вкладке Трафик каждого правила веб-публикации выберите параметр Уведомлять пользователей HTTP о необходимости использования HTTPS.
Третьим параметром на вкладке Подключения веб-прослушивателя является Перенаправлять весь трафик, прошедший проверку подлинности, с HTTP на HTTPS, который перенаправляет запросы, только если требуется проверка подлинности пользователя. Если выбран данный параметр, параметр перенаправления для каждого правила будет доступен при применении правила к набору учетных записей Все пользователи, поскольку все пользователи, прошедшие проверку подлинности, уже автоматически перенаправлены с помощью веб-прослушивателя.
- На вкладке Подключения выберите Включить подключения
HTTP для данного порта, если Forefront TMG должен прослушивать
HTTP-запросы. Введите номер порта, на котором Forefront TMG будет
прослушивать HTTP-запросы.
-
Чтобы настроить максимальное количество разрешенных одновременных подключений, выполните следующие действия.
- На вкладке Подключения нажмите кнопку
Дополнительно.
- В группе Дополнительные параметры выберите Без
ограничений, чтобы разрешить неограниченному количеству
клиентов в любое время подключаться к серверу, либо выберите
Максимально для сервера, чтобы ограничить максимальное
количество клиентов, которые в любое время могут подключиться к
серверу, и укажите максимальное количество подключений.
- В группе Дополнительные параметры в поле Тайм-аут
подключения введите количество секунд, прежде чем сервер
отключит неактивное использование.
- На вкладке Подключения нажмите кнопку
Дополнительно.
-
Чтобы настроить параметры для проверки подлинности на основе форм веб-обозревателя, который настроен для проверки подлинности с помощью HTML-форм, выполните следующие действия.
- На вкладке Формы нажмите кнопку
Дополнительно.
- В группе Параметры файла cookie можно выбрать имя для
файла cookie, который Forefront TMG предоставляет клиенту после
успешного завершения проверки подлинности на основе форм. В
раскрывающемся списке можно выбрать один из вариантов: файлы cookie
постоянно находятся (продолжают существовать в клиенте по
завершении сеанса) на всех компьютерах, только на частных
компьютерах или отсутствуют.
- Чтобы разрешить клиентам использовать один и тот же файл cookie
с различных IP-адресов, нужно выбрать параметр Игнорировать
IP-адрес веб-обозревателя при проверке файла cookie. Например,
запросы от одного клиента могут восприниматься как поступающие с
разных IP-адресов так, как если бы между клиентом и компьютером
Forefront TMG находилась система балансировки нагрузки.
- В разделе Параметры безопасности клиента выберите
параметр Отслеживать максимальное время бездействия, чтобы
задать период ожидания на основе времени бездействия клиента, либо
выберите Отслеживать максимальную продолжительность сеанса,
чтобы задать период ожидания на основе продолжительности сеанса.
Затем укажите время ожидания для общедоступных и личных
компьютеров, которое будет использоваться для установки
максимального периода бездействия или максимальной
продолжительности сеанса. Выберите параметр Применить тайм-аут
сеанса к клиентам, не являющимся обозревателями, чтобы
применить тайм-аут сеанса к клиентам, не являющимися обозревателями
(например, Outlook RPC/HTTP и ActiveSync).
Когда сеанс достигает тайм-аута, клиентам требуется выполнить вход в сеанс с использованием учетных данных.
При настройке тайм-аута для проверки подлинности на основе форм рекомендуется, чтобы значение этого периода было меньше, чем установлено опубликованным сервером. Если опубликованный сервер прекращает работу раньше компьютера Forefront TMG, пользователь может ошибочно предположить, что сеанс завершен. Этим могут воспользоваться злоумышленники и в своих целях использовать сеанс, который остается открытым до тех пор, пока не будет закрыт пользователем или Forefront TMG в соответствии с параметрами формы.
Используйте постоянные файлы cookie, позволяющие открывать документы с узлов SharePoint повторной проверки подлинности.
Обратите внимание на следующие проблемы безопасности, связанные с постоянными файлами cookie.
- Злоумышленник, получивший постоянные файлы cookie, может
осуществить атаку методом подбора, чтобы извлечь учетные данные
пользователя из файла cookie.
- Если, работая на общедоступном компьютере, пользователь не
выходит из системы, файл cookie сеанса может использоваться
следующим пользователем для доступа к опубликованным узлам. Эта
угроза может быть устранена за счет отключения функции
использования постоянных файлов cookie на общедоступных
компьютерах.
- К файлам cookie могут получить доступ программы-шпионы.
- На вкладке Формы нажмите кнопку
Дополнительно.
-
Нажмите кнопку ОК для закрытия диалогового окна.
Изменение фермы серверов
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Фермы серверов и выберите необходимую ферму серверов.
-
На панели инструментов под разделом Сетевые объекты нажмите кнопку Изменить.
-
В поле Имя введите новое имя для фермы серверов.
-
Чтобы добавить сервер, на вкладке Серверы нажмите кнопку Добавить, а затем введите имя или IP-адрес сервера, включаемого в ферму серверов.
-
На вкладке Серверы можно выбрать сервер и выполнить одно или несколько из следующих действий.
- Нажмите кнопку Завершить, чтобы сервер перестал
принимать новые подключения. Следует учесть, что сервер перестанет
принимать новые подключения только после применения данного
изменения конфигурации.
- Нажмите кнопку Продолжить, чтобы сервер начал принимать
новые подключения. Следует учесть, что сервер начнет принимать
новые подключения только после применения данного изменения
конфигурации.
- Чтобы изменить имя или IP-адрес сервера, нажмите кнопку
Изменить.
- Чтобы удалить сервер из фермы серверов, нажмите кнопку
Удалить. Прежде чем удалить сервер из фермы серверов,
рекомендуется постепенно завершить его работу.
- Нажмите кнопку Завершить, чтобы сервер перестал
принимать новые подключения. Следует учесть, что сервер перестанет
принимать новые подключения только после применения данного
изменения конфигурации.
-
На вкладке Проверка подключения можно изменить метод наблюдения за подключением к ферме серверов и связанным периодом ожидания.
-
Нажмите кнопку ОК для закрытия диалогового окна.
Важно. |
---|
По завершении создания сетевых объектов в области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем - кнопку ОК. |