В этом разделе описывается процесс изменения правил веб-доступа. Правила веб-доступа Шлюз Microsoft Forefront Threat Management для разрешения или блокирования трафика на основе анонимного доступа или проверки подлинности пользователя можно создать с помощью мастера веб-доступа. Дополнительные сведения см. в разделе Настройка политики веб-доступа.
Можно изменить любые из следующих свойств правила доступа.
- Включение и отключение правила. Если правило отключено, оно не
оценивается модулем обработки правил.
- Задание действия правила. Укажите, будут ли соответствующие
правилу запросы приняты или отклонены.
- Укажите, нужно ли регистрировать запросы для правила.
- Изменение протоколов для правила. Можно добавить или удалить
предопределенные или настраиваемые протоколы в правиле.
- Укажите сети или наборы сетей, компьютеры или наборы
компьютеров, подсети или диапазоны адресов, с которых клиенты могут
выполнять запросы для этого правила, а также адресатов, которым
отправлены запросы.
- Укажите, применяется ли правило ко всем типам содержимого или
только к файлам определенных типов. От типов содержимого зависят
типы MIME и расширения файлов; они применяются к трафику HTTP и
трафику FTP, который передается через протокол HTTP и
обрабатывается с использованием фильтра веб-прокси. Для HTTP
содержимое определяется типом MIME с использованием значения типа
содержимого. Для ответов, не содержащих заголовка типа содержимого
или для трафика FTP в Forefront TMG используется расширение файла.
Дополнительные сведения о типах содержимого см. в разделе Типы содержимого в
правилах доступа.
- Настройка параметров вредоносных программ для правила.
- Определение способа уведомления пользователей о блокировании
запросов, соответствующих правилу.
- Изменение требований к учетным записям пользователей для
применения правила и определение того, будет ли правило анонимным
или оно должно применяться только для групп пользователей,
прошедших проверку подлинности.
С чего начать. Чтобы изменить правило доступа, в дереве консоли управления Forefront TMG щелкните узел «Политика межсетевого экрана». В области сведений щелкните правой кнопкой правило, которое нужно изменить, и выберите команду «Свойства». Затем выполните соответствующие действия по изменению требуемых значений.
Включение и отключение правила
- Чтобы отключить правило, на вкладке Общие снимите флажок
Включить.
Задание действия правила
- Чтобы указать, что правило разрешает прохождение трафика, на
вкладке Действие щелкните Разрешить.
- Чтобы указать, что правило блокирует прохождение трафика, на
вкладке Действие щелкните Запретить.
Регистрация запросов для правила
- Чтобы настроить регистрацию запросов, соответствующих данному
правилу, на вкладке Действие щелкните Регистрировать в
журнале запросы, подпадающие под данное правило.
Изменение протоколов правил
- На вкладке Протоколы выполните следующие действия.
- Чтобы указать, что правило применяется ко всем протоколам,
выберите параметр Весь исходящий трафик.
- Чтобы добавить в правило конкретные протоколы, выберите
параметр Выбранные протоколы, затем нажмите кнопку
Добавить. В диалоговом окне Добавить протоколы
выберите нужный протокол, нажмите кнопку Добавить, а затем
кнопку Закрыть.
- Чтобы удалить протокол из правила, выберите протокол из списка
Протоколы и нажмите кнопку Удалить.
- Чтобы указать, что правило применяется ко всем протоколам,
выберите параметр Весь исходящий трафик.
Сведения о создании и изменении определений настраиваемых протоколов см. в разделе Настройка протоколов.
Изменение источника в правиле
- На вкладке Откуда выполните следующие действия.
- Чтобы удалить источник из правила, выберите источник и нажмите
кнопку Удалить.
- Чтобы добавить источник, нажмите кнопку Добавить. В
диалоговом окне Добавление сетевых сущностей выберите
сетевой объект, нажмите кнопку Добавить, а затем кнопку
Закрыть.
- Чтобы удалить источник из правила, выберите источник и нажмите
кнопку Удалить.
Сведения о создании и изменении сетевых объектов см. в разделе Настройка элементов правила.
Изменение расписания правила
- На вкладке Расписание выполните следующие действия.
- Чтобы указать, что правило применимо всегда, в списке параметра
«Расписание» выберите значение Всегда.
- Чтобы задать активность правила только в субботу и воскресенье,
выберите в списке значение Выходные дни.
- Чтобы задать активность правила с понедельника по пятницу с
9.00 до 17.00, выберите значение Рабочие часы.
- Чтобы указать, что правило применимо всегда, в списке параметра
«Расписание» выберите значение Всегда.
- Сведения о создании и изменении расписаний см. в разделе
Настройка
расписаний.
Изменение типов содержимого для правила
- На вкладке Типы содержимого выполните следующие
действия.
- Чтобы задать применение правила протокола HTTP ко всем типам
содержимого, выберите значение всем типам содержимого.
- Чтобы задать применение правила протокола HTTP только к
определенным типам содержимого, выберите их в списке Типы
содержимого. Чтобы посмотреть подробную информацию о свойствах
типа содержимого, выберите соответствующий тип содержимого и
нажмите кнопку Сведения. Чтобы определить новый тип
содержимого, щелкните Создать.
- Чтобы задать применение правила протокола HTTP ко всем типам
содержимого, выберите значение всем типам содержимого.
Дополнительные сведения см. в разделе Настройка типов содержимого.
Изменение параметров обнаружения вредоносных программ для правила
- На вкладке Проверка наличия вредоносных программ
выберите параметр Проверять содержимое, загружаемое с
веб-серверов на клиенты, чтобы задать необходимость проверки
содержимого, отправленного клиенту с веб-сервера.
Имейте в виду, что настроить для правила обнаружение вредоносных программ можно только в том случае, если оно глобальное. Дополнительные сведения см. в разделе Настройка параметров глобальной проверки наличия вредоносных программ. Содержимое HTTPS не проверяется на наличие вредоносных программ.
Изменение уведомления пользователей о правиле запрещения
- Если задано действие правила, блокирующее запросы, на вкладке
Уведомление пользователя укажите способ уведомления клиентов
о блокировании запросов.
- Чтобы ввести сообщение, которое будет отображаться для
уведомления пользователей о блокировании запроса, выберите параметр
Показывать пользователям настраиваемое сообщение с уведомлением
о блокировании запросов, соответствующих данному правилу. Затем
введите сообщение.
- Выберите параметр Включать в сообщение категорию URL-адреса
блокированного запроса, чтобы задать отображение в
настраиваемом сообщении об ошибке категории URL-адреса, если
запрошенное назначение относится к предопределенной категории
URL-адреса.
- Чтобы ввести сообщение, которое будет отображаться для
уведомления пользователей о блокировании запроса, выберите параметр
Показывать пользователям настраиваемое сообщение с уведомлением
о блокировании запросов, соответствующих данному правилу. Затем
введите сообщение.
Изменение требований проверки подлинности для правила
На вкладке Пользователи измените требования проверки подлинности следующим образом.
- Чтобы указать, что правило является анонимным и пользователям
не требуется проходить проверку подлинности для правила, в списке
наборов учетных записей должно быть выбрано значение Все
пользователи.
- Чтобы добавить набор учетных записей в правило, нажмите кнопку
Добавить, а затем в диалоговом окне Добавить
пользователей выберите следующие параметры.
- Чтобы доступ предоставлялся только тем пользователям, которые
могут успешно пройти проверку подлинности, выберите параметр Все
прошедшие проверку пользователи.
- Чтобы задать анонимный доступ, выберите параметр Все
пользователи.
- Можно также выбрать настраиваемую группу пользователей, если
таковая создана. Дополнительные сведения см. в разделе Настройка наборов
пользователей.
- Чтобы доступ предоставлялся только тем пользователям, которые
могут успешно пройти проверку подлинности, выберите параметр Все
прошедшие проверку пользователи.
- Чтобы изменить имеющийся набор учетных записей, выберите его и
нажмите кнопку Изменить.
- Чтобы удалить имеющийся набор учетных записей из правила,
выберите этот набор и нажмите кнопку Удалить.
- Чтобы задать исключения для правила, в списке Исключения
нажмите кнопку Добавить, а затем укажите пользователей,
исключаемых из требований проверки подлинности для правила. Чтобы
изменить имеющуюся учетную запись, заданную для исключения,
выберите эту учетную запись и нажмите кнопку Изменить. Чтобы
удалить исключение, выберите его и нажмите кнопку
Удалить.
Обратите внимание на следующее.
- При задании правила, требующего проверки подлинности, эта
проверка осуществляется в соответствии с методом проверки
подлинности веб-прокси для исходной сети, заданной на вкладке
«Откуда» правила.
- Если в свойствах веб-прокси исходной сети задана обязательная
проверка подлинности, то эта настройка будет иметь преимущество над
настройками проверки подлинности указанного правила. Дополнительные
сведения см. в разделе Проверка подлинности
веб-доступа.
- Если в правиле содержится требование проверки подлинности, то
пользователям, которые не могут предоставить учетные данные для
проверки подлинности, в доступе будет отказано, так же как и
пользователям, предоставившим учетные данные, проверка подлинности
которых заканчивается неудачей.