Настройка политики веб-доступа

С помощью мастера веб-доступа Шлюз Microsoft Forefront Threat Management создается основная политика веб-доступа, определяющая, каким пользователям разрешен или запрещен доступ в Интернет и каким образом проверяется трафик из внутренних сетей в Интернет.

Запуск мастера веб-доступа

  1. В дереве консоли управления Forefront TMG щелкните узел Политика веб-доступа.

  2. На вкладке Задачи выберите параметр Настройка политики веб-доступа. Если мастер уже выполняется, появится сообщение с предупреждением о том, что выполненные вручную изменения в параметрах и правилах, настроенных ранее с помощью мастера, будут отменены. Щелкните Да, чтобы подтвердить повторное выполнение мастера.

  3. На странице Веб-защита щелкните Включить функцию проверки на наличие вредоносных программ, если хотите включить эту функцию в качестве глобального параметра. Функция проверки на наличие вредоносных программ предоставляется для оценки и действует в течение года. По прошествии этого периода необходимо приобрести лицензию. Проверка наличия вредоносных программ применяется к содержимому, отправленному с сервера клиенту, и содержимому, предоставленному в соответствии с правилами доступа. Чтобы применить проверку к содержимому, предоставленному в соответствии с правилами доступа, необходимо включить проверку на наличие вредоносных программ в параметрах правил в дополнение к данному глобальному параметру. Это можно сделать во время выполнения мастера.

  4. На странице Тип политики веб-доступа выберите политику веб-доступа, которую следует применить в вашей организации.

    • Выберите элемент Создать простую политику веб-доступа для всех клиентов организации, чтобы разрешить всем пользователям посещение веб-узлов, за исключением тех URL-адресов, которые специально заблокированы. Используя эту политику, можно также включить сканирование на наличие вредоносных программ для трафика HTTP и настроить кэширование.

    • Выберите элемент Создать настраиваемые политики веб-доступа для пользователей, групп и компьютеров, чтобы указать, что политика веб-доступа управляется посредством доступа пользователей с выполнением проверки подлинности, доступа IP-адресов без выполнения проверки подлинности или сочетания этих двух вариантов доступа. Используя эту политику, можно создать правила для проверки подлинности и анонимного доступа, включить сканирование на наличие вредоносных программ, настроить кэширование и указать способ обработки запросов, которые не относятся к пользователям и IP-адресам, указанным в правилах.

  5. Задайте параметры на каждой странице мастера. В приведенных далее таблицах представлена информация о страницах, которые появляются при выборе простой или настраиваемой политики.

Выполнение мастера веб-доступа с параметрами простой политики

Страница Поле или свойство Параметр или действие Правила или глобальные параметры

Ограниченные веб-пункты назначения

Добавить

Этот параметр позволяет создать разрешающее правило, которое разрешает доступ к внешней сети, а также запрещающее правило, которое блокирует доступ к выбранным веб-узлам.

Все пользователи имеют доступ ко всем узлам, не указанным на этой странице.

Создано правило: Правило веб-доступа по умолчанию

  • Тип правила: Разрешить

  • Откуда: Внутренняя

  • Куда: Внешняя

  • Применение: Все пользователи

Правило: Ограничения веб-доступа

  • Тип правила: Запретить

  • Откуда: Внутренняя

  • Куда: Указанные URL-адреса назначения

  • Применение: Все пользователи

  • Исключения: Все пользователи, указанные на странице Исключения из ограничения доступа к адресам назначения.

Исключения из ограничения доступа к адресам назначения

Добавить

Этот параметр позволяет исключить пользователей или группы пользователей из области действия запрещающего правила.

Исключения из:

  • Правило ограничений веб-доступа

Параметры проверки на наличие вредоносных программ

Не проверять веб-содержимое, запрашиваемое из Интернета.

Проверять веб-содержимое, запрашиваемое из Интернета.

Выберите, чтобы настроить антивирусное сканирование веб-трафика.

С помощью этого параметра проверка наличия вредоносных программ применяется к правилам, созданным в мастере.

Настройка веб-кэширования

Включить веб-кэширование

Выберите этот параметр. Затем выберите устройство из списка и щелкните Диски кэша, чтобы включить кэширование и задать диски кэша. Кэширование будет включено только после выполнения обоих этих действий. По завершении мастера настройте параметр кэширования и создайте правила кэширования для загрузки содержимого. Инструкции см. в разделе Настройка кэширования.

Этот глобальный параметр применяется ко всему содержимому, которое предназначено для кэширования заданными правилами кэширования.

Выполнение мастера веб-доступа с параметрами настраиваемой политики

В приведенных далее таблицах представлена информация о страницах в мастере веб-доступа, которые появляются при выборе настраиваемой политики веб-доступа.

Страница Поле или свойство Параметр или действие Правила или глобальные параметры

Группы политики доступа

Только пользователи и группы пользователей

Этот параметр позволяет создать политику на основании проверки подлинности клиента. Доступ разрешается и ограничивается по имени пользователя.

Компьютеры, IP-адреса и подсети

С помощью этого параметра можно разрешить клиентам доступ в Интернет без проверки подлинности пользователя. Доступ разрешается и ограничивается по исходному IP-адресу.

Любое из вышеперечисленного

Этим значением задается сочетание доступа на основании проверки подлинности клиента и анонимного доступа на основании исходного IP-адреса.

Политика веб-доступа по умолчанию

  • Разрешить веб-запрос

Этот параметр позволяет задать правило по умолчанию (обрабатывается последним в списке правил) для осуществления трафика. Если выбрать это параметр, будет происходить следующее.

  • Если политика веб-доступа основана на пользователях и группах и запрос не соответствует правилу доступа с использованием проверки подлинности для запрошенного назначения, запрос будет разрешен.

  • Если политика веб-доступа основана на исходных IP-адресах и запрос не соответствует правилу анонимного доступа для запрошенного назначения, запрос будет разрешен.

Если выбран параметр Разрешить веб-запрос, и политика веб-доступа основана на пользователях и группах, создается следующее правило.

  • Имя правила: Правило веб-доступа по умолчанию

  • Разрешить или запретить: Разрешить

  • Откуда: Внутренняя

  • Куда: Внешняя

  • Применение: Прошедшие проверку пользователи

  • Если выбран параметр Разрешить веб-запрос, и политика веб-доступа основана на исходных IP-адресах, создается следующее правило.

  • Правило

  • Разрешить или запретить: Разрешить

  • Откуда: Внутренняя

  • Куда: Внешняя

  • Применение: Все пользователи



Запретить веб-запрос

С помощью этого параметра можно обеспечить используемую по умолчанию резервную политику блокирования трафика. Если выбрать это параметр, будет происходить следующее.

  • Если политика веб-доступа основана на пользователях и группах, то запрос, который не соответствует правилу доступа с использованием проверки подлинности для запрошенного назначения, будет отклонен.

  • Если политика веб-доступа основана на исходном IP-адресе, то запрос, который не соответствует правилу анонимного доступа для запрошенного назначения, будет отклонен.

Если выбран параметр Запретить веб-запрос, и политика веб-доступа основана на пользователях и группах, создается следующее правило.

  • Имя правила: Правило веб-доступа по умолчанию

  • Разрешить или запретить: Запретить

  • Откуда: Внутренняя

  • Куда: Внешняя

  • Применение: Прошедшие проверку пользователи

  • Если выбран параметр Запретить веб-запрос, и политика веб-доступа основана на исходных IP-адресах, создается следующее правило.

  • Правило

  • Разрешить или запретить: Запретить

  • Откуда: Внутренняя

  • Куда: Внешняя

  • Применение: Все пользователи

Политики анонимного веб-доступа

Добавить

Этот параметр позволяет создать правило анонимного доступа, разрешающее или запрещающее доступ в указанные расположения.

  • Создается следующее правило.

  • Имя правила: Имя правила совпадает с именем политики, указанным в диалоговом окне Добавить политику доступа.

  • Разрешить или запретить

  • Откуда: Указанные исходные IP-адреса

  • Куда: Указанные назначения

  • Применение: Все пользователи

Политики веб-доступа с проверкой подлинности

Добавить

Этот параметр позволяет создать правило доступа, в соответствии с которым пользователи должны пройти проверку подлинности и которое разрешает или запрещает доступ в указанные расположения.

  • Создается следующее правило.

  • Имя правила: Имя правила совпадает с именем политики, указанным в диалоговом окне Добавить политику доступа.

  • Разрешить или запретить

  • Откуда: Указанный набор учетных записей

  • Куда: Указанные назначения

  • Применение: Указанный набор учетных записей

Параметры проверки на наличие вредоносных программ

Проверять веб-содержимое, запрашиваемое из Интернета

Выберите, чтобы настроить антивирусное сканирование веб-трафика.

С помощью этого параметра сканирование применяется ко всем правилам, созданным с помощью мастера.

Разрешить частичную доставку файлов

С помощью этого параметра можно разрешить частичную доставку файлов. Предварительная частичная передача файлов клиентам гораздо удобнее для пользователя. Во время сканирования данных пользователи видят индикатор выполнения и последовательно открывающуюся страницу. Если выбрать этот параметр, предварительная передача будет применяться не ко всем типам содержимого. По умолчанию для определенных типов содержимого вместо предварительной передачи используются уведомления о выполнении. Дополнительные сведения см. в разделе Планирование проверки наличия вредоносных программ.

Блокировать зашифрованные архивы

С помощью этого параметра можно указать, что в Forefront TMG не разрешена загрузка зашифрованных файлов, содержимое которых нельзя проверить.

Настройка веб-кэширования

Включить веб-кэширование

Выберите этот параметр. Затем выберите устройство из списка и щелкните Диски кэша, чтобы включить кэширование и задать диски кэша. Кэширование будет включено только после выполнения обоих этих действий. По завершении мастера настройте параметр кэширования и создайте правила кэширования для загрузки содержимого. Инструкции см. в разделе Настройка кэширования.

Этот глобальный параметр применяется ко всему содержимому, которое предназначено для кэширования заданными правилами кэширования.