Настройка политики веб-доступа

С помощью мастера веб-доступа Шлюз Microsoft Forefront Threat Management создается основная политика веб-доступа, определяющая, каким пользователям разрешен или запрещен доступ в Интернет и каким образом проверяется трафик из внутренних сетей в Интернет.

Запуск мастера веб-доступа

В дереве консоли управления Forefront TMG щелкните узел Политика веб-доступа.
На вкладке Задачи выберите параметр Настройка политики веб-доступа. Если мастер уже выполняется, появится сообщение с предупреждением о том, что выполненные вручную изменения в параметрах и правилах, настроенных ранее с помощью мастера, будут отменены. Щелкните Да, чтобы подтвердить повторное выполнение мастера.
На странице Веб-защита щелкните Включить функцию проверки на наличие вредоносных программ, если хотите включить эту функцию в качестве глобального параметра. Функция проверки на наличие вредоносных программ предоставляется для оценки и действует в течение года. По прошествии этого периода необходимо приобрести лицензию. Проверка наличия вредоносных программ применяется к содержимому, отправленному с сервера клиенту, и содержимому, предоставленному в соответствии с правилами доступа. Чтобы применить проверку к содержимому, предоставленному в соответствии с правилами доступа, необходимо включить проверку на наличие вредоносных программ в параметрах правил в дополнение к данному глобальному параметру. Это можно сделать во время выполнения мастера.
На странице Тип политики веб-доступа выберите политику веб-доступа, которую следует применить в вашей организации.
- Выберите элемент Создать простую политику веб-доступа для всех клиентов организации, чтобы разрешить всем пользователям посещение веб-узлов, за исключением тех URL-адресов, которые специально заблокированы. Используя эту политику, можно также включить сканирование на наличие вредоносных программ для трафика HTTP и настроить кэширование.
- Выберите элемент Создать настраиваемые политики веб-доступа для пользователей, групп и компьютеров, чтобы указать, что политика веб-доступа управляется посредством доступа пользователей с выполнением проверки подлинности, доступа IP-адресов без выполнения проверки подлинности или сочетания этих двух вариантов доступа. Используя эту политику, можно создать правила для проверки подлинности и анонимного доступа, включить сканирование на наличие вредоносных программ, настроить кэширование и указать способ обработки запросов, которые не относятся к пользователям и IP-адресам, указанным в правилах.
Задайте параметры на каждой странице мастера. В приведенных далее таблицах представлена информация о страницах, которые появляются при выборе простой или настраиваемой политики.

Выполнение мастера веб-доступа с параметрами простой политики

Страница	Поле или свойство	Параметр или действие	Правила или глобальные параметры
Ограниченные веб-пункты назначения	Добавить	Этот параметр позволяет создать разрешающее правило, которое разрешает доступ к внешней сети, а также запрещающее правило, которое блокирует доступ к выбранным веб-узлам. Все пользователи имеют доступ ко всем узлам, не указанным на этой странице.	Создано правило: Правило веб-доступа по умолчанию Тип правила: Разрешить Откуда: Внутренняя Куда: Внешняя Применение: Все пользователи Правило: Ограничения веб-доступа Тип правила: Запретить Откуда: Внутренняя Куда: Указанные URL-адреса назначения Применение: Все пользователи Исключения: Все пользователи, указанные на странице Исключения из ограничения доступа к адресам назначения.
Исключения из ограничения доступа к адресам назначения	Добавить	Этот параметр позволяет исключить пользователей или группы пользователей из области действия запрещающего правила.	Исключения из: Правило ограничений веб-доступа
Параметры проверки на наличие вредоносных программ	Не проверять веб-содержимое, запрашиваемое из Интернета. Проверять веб-содержимое, запрашиваемое из Интернета.	Выберите, чтобы настроить антивирусное сканирование веб-трафика.	С помощью этого параметра проверка наличия вредоносных программ применяется к правилам, созданным в мастере.
Настройка веб-кэширования	Включить веб-кэширование	Выберите этот параметр. Затем выберите устройство из списка и щелкните Диски кэша, чтобы включить кэширование и задать диски кэша. Кэширование будет включено только после выполнения обоих этих действий. По завершении мастера настройте параметр кэширования и создайте правила кэширования для загрузки содержимого. Инструкции см. в разделе Настройка кэширования.	Этот глобальный параметр применяется ко всему содержимому, которое предназначено для кэширования заданными правилами кэширования.

Выполнение мастера веб-доступа с параметрами настраиваемой политики

В приведенных далее таблицах представлена информация о страницах в мастере веб-доступа, которые появляются при выборе настраиваемой политики веб-доступа.

Страница	Поле или свойство	Параметр или действие	Правила или глобальные параметры
Группы политики доступа	Только пользователи и группы пользователей	Этот параметр позволяет создать политику на основании проверки подлинности клиента. Доступ разрешается и ограничивается по имени пользователя.
	Компьютеры, IP-адреса и подсети	С помощью этого параметра можно разрешить клиентам доступ в Интернет без проверки подлинности пользователя. Доступ разрешается и ограничивается по исходному IP-адресу.
	Любое из вышеперечисленного	Этим значением задается сочетание доступа на основании проверки подлинности клиента и анонимного доступа на основании исходного IP-адреса.
Политика веб-доступа по умолчанию	Разрешить веб-запрос	Этот параметр позволяет задать правило по умолчанию (обрабатывается последним в списке правил) для осуществления трафика. Если выбрать это параметр, будет происходить следующее. Если политика веб-доступа основана на пользователях и группах и запрос не соответствует правилу доступа с использованием проверки подлинности для запрошенного назначения, запрос будет разрешен. Если политика веб-доступа основана на исходных IP-адресах и запрос не соответствует правилу анонимного доступа для запрошенного назначения, запрос будет разрешен.	Если выбран параметр Разрешить веб-запрос, и политика веб-доступа основана на пользователях и группах, создается следующее правило. Имя правила: Правило веб-доступа по умолчанию Разрешить или запретить: Разрешить Откуда: Внутренняя Куда: Внешняя Применение: Прошедшие проверку пользователи Если выбран параметр Разрешить веб-запрос, и политика веб-доступа основана на исходных IP-адресах, создается следующее правило. Правило Разрешить или запретить: Разрешить Откуда: Внутренняя Куда: Внешняя Применение: Все пользователи
	Запретить веб-запрос	С помощью этого параметра можно обеспечить используемую по умолчанию резервную политику блокирования трафика. Если выбрать это параметр, будет происходить следующее. Если политика веб-доступа основана на пользователях и группах, то запрос, который не соответствует правилу доступа с использованием проверки подлинности для запрошенного назначения, будет отклонен. Если политика веб-доступа основана на исходном IP-адресе, то запрос, который не соответствует правилу анонимного доступа для запрошенного назначения, будет отклонен.	Если выбран параметр Запретить веб-запрос, и политика веб-доступа основана на пользователях и группах, создается следующее правило. Имя правила: Правило веб-доступа по умолчанию Разрешить или запретить: Запретить Откуда: Внутренняя Куда: Внешняя Применение: Прошедшие проверку пользователи Если выбран параметр Запретить веб-запрос, и политика веб-доступа основана на исходных IP-адресах, создается следующее правило. Правило Разрешить или запретить: Запретить Откуда: Внутренняя Куда: Внешняя Применение: Все пользователи
Политики анонимного веб-доступа	Добавить	Этот параметр позволяет создать правило анонимного доступа, разрешающее или запрещающее доступ в указанные расположения.	Создается следующее правило. Имя правила: Имя правила совпадает с именем политики, указанным в диалоговом окне Добавить политику доступа. Разрешить или запретить Откуда: Указанные исходные IP-адреса Куда: Указанные назначения Применение: Все пользователи
Политики веб-доступа с проверкой подлинности	Добавить	Этот параметр позволяет создать правило доступа, в соответствии с которым пользователи должны пройти проверку подлинности и которое разрешает или запрещает доступ в указанные расположения.	Создается следующее правило. Имя правила: Имя правила совпадает с именем политики, указанным в диалоговом окне Добавить политику доступа. Разрешить или запретить Откуда: Указанный набор учетных записей Куда: Указанные назначения Применение: Указанный набор учетных записей
Параметры проверки на наличие вредоносных программ	Проверять веб-содержимое, запрашиваемое из Интернета	Выберите, чтобы настроить антивирусное сканирование веб-трафика.	С помощью этого параметра сканирование применяется ко всем правилам, созданным с помощью мастера.
	Разрешить частичную доставку файлов	С помощью этого параметра можно разрешить частичную доставку файлов. Предварительная частичная передача файлов клиентам гораздо удобнее для пользователя. Во время сканирования данных пользователи видят индикатор выполнения и последовательно открывающуюся страницу. Если выбрать этот параметр, предварительная передача будет применяться не ко всем типам содержимого. По умолчанию для определенных типов содержимого вместо предварительной передачи используются уведомления о выполнении. Дополнительные сведения см. в разделе Планирование проверки наличия вредоносных программ.
	Блокировать зашифрованные архивы	С помощью этого параметра можно указать, что в Forefront TMG не разрешена загрузка зашифрованных файлов, содержимое которых нельзя проверить.
Настройка веб-кэширования	Включить веб-кэширование	Выберите этот параметр. Затем выберите устройство из списка и щелкните Диски кэша, чтобы включить кэширование и задать диски кэша. Кэширование будет включено только после выполнения обоих этих действий. По завершении мастера настройте параметр кэширования и создайте правила кэширования для загрузки содержимого. Инструкции см. в разделе Настройка кэширования.	Этот глобальный параметр применяется ко всему содержимому, которое предназначено для кэширования заданными правилами кэширования.