Протоколы RPC для входящих запросов
При установке Шлюз Microsoft Forefront Threat Management для входящих запросов по умолчанию предусматриваются два определения протокола удаленных вызовов процедур (RPC):
- Сервер Exchange RPC - список интерфейсов UUID,
используемых сервером Microsoft Exchange Server, называется
Определение протокола RPC. Это определение протокола можно
использовать в правилах публикации серверов, чтобы разрешить или
запретить доступ к отдельным функциям Exchange.
- Сервер RPC Server (все интерфейсы) - если это
определение протокола разрешено правилом публикации серверов,
Forefront TMG сопоставляет все входящие запросы RPC с
опубликованным сервером RPC. Доступ к выполнению операции
открывается, если универсальный уникальный идентификатор (UUID)
зарегистрирован на сервере RPC. Если универсальный уникальный
идентификатор (UUID) не зарегистрирован на сервере RPC, запрос
отбрасывается. Этот протокол используется для публикации серверов
ROC, отличных от Exchange.
Для входящих запросов на опубликованные серверы RPC Forefront TMG проверяет поток трафика между источником и местом назначения. С помощью протоколов, используемых сервером и клиентом RPC, Forefront TMG динамически открывает и закрывает порты на внешнем опубликованном прослушивателе.
Протоколы RPC для исходящих запросов
При установке Forefront TMG предусматривается определение протокола RPC для исходящих запросов по умолчанию:
- протокол RPC (все интерфейсы). При установке Forefront
TMG протокол RPC (все интерфейсы) определен для исходящих запросов.
Для этого определения протокола используются все интерфейсы
идентификатора UUID.
Можно создать правила доступа, разрешающие использование этого определения протокола RPC для исходящих запросов. Используя эти правила, Forefront TMG проверяет поток трафика между источником и назначением; это позволяет внешним клиентам использовать протокол RPC для доступа к внешним ресурсам. Например, можно разрешить доступ клиентам из внешней сети к внешнему серверу Exchange. Подобным образом можно создать определения протокола RPC для исходящих запросов и использовать их в правилах доступа, чтобы разрешать внешним клиентам доступ к внешним ресурсам.
Фильтр RPC
По умолчанию все предопределенные протоколы RPC связаны с фильтром RPC. Фильтр RPC отслеживает трафик RPC между компьютерами и устанавливает вторичные соединения, необходимые для трафика RPC. Для исходящих запросов RPC Forefront TMG проверяет поток трафика между источником и местом назначения. Для входящих запросов на опубликованные серверы RPC Forefront TMG проверяет поток трафика между источником и назначением, а также динамически открывает и закрывает порты на внешних опубликованных прослушивателях, основанных на протоколах, используемых сервером и клиентом RPC. Фильтр RPC не может применяться к трафику, передаваемому по другому протоколу, например RPC через HTTP. Когда правило ссылается на протокол, связанный с фильтром RPC, фильтр применяется в отношении трафика, который удовлетворяет правилу.
Создание настраиваемых протоколов RPC
Можно создать дополнительные определения протокола RPC. С помощью мастера создания протокола RPC можно выбрать интерфейсы идентификатора UUID из списка доступных интерфейсов на сервере RPC или задать интерфейсы вручную. Если не указать интерфейс для определения протокола RPC для входящих запросов, правила публикации сервера, разрешающие это определение протокола, запретят весь трафик.
При создании настраиваемого протокола RPC с помощью мастера используются следующие значения по умолчанию:
- Для настраиваемого протокола включен порт TCP 135
- Настраиваемый протокол связан с фильтром RPC
Forefront TMG не работает с трафиком, определенным как исходящий, основанным на специальных идентификаторах UUID; невозможно создать определение настраиваемого протокола для специальных идентификаторов UUID. Для трафика, определяемого как входящий, можно создать настраиваемый протокол со специальными идентификаторами UUID, выбрав их из списка сопоставителя конечных точек либо создав их вручную.
Включение строгого соответствия RPC
По умолчанию для протоколов RPC требуется строгое соответствие. Согласно требованию строгого соответствия протоколы типа RPC, такие как Distributed Component Object Model (DCOM), не разрешаются в Forefront TMG. А именно: любой трафик (такой как DCOM), который не начинает обмен RPC с взаимодействия с сопоставителем конечных точек, блокируется.
Для правил публикации параметр строгого соответствия не может быть изменен. Для правил доступа параметр по умолчанию «Включить строгое соответствие RPC» настраивается для каждого правила RPC. Отключение этого параметра не обязательно означает, что трафик DCOM будет разрешен. Он просто отключает фильтр для этого трафика, если будут выполнены требования сопоставителя конечных точек. Чтобы разрешить трафик DCOM по правилу доступа RPC, необходимо соблюсти одно из следующих условий.
- Правило доступа, разрешающее все протоколы между заданным
источником и местом назначения.
Также можно сделать следующее.
- Создайте настраиваемый протокол для исходящих запросов, который
использует порт, не связанный с другим приложением.
- Настройте приложение RPC или конечную точку DCOM на
использование порта настраиваемого протокола в качестве
статического порта.
- Создайте правило доступа, разрешающее протокол между требуемым
источником и назначением.
Протоколы RPC для исходящих запросов могут настраиваться для каждого правила с целью обеспечения строгого соответствия RPC.