Эти рекомендации помогают создать политику межсетевого экрана, которая обеспечивает требуемые результаты и повышение безопасности, а также помогают увеличить производительность сервера Шлюз Microsoft Forefront Threat Management.
Общие рекомендации по политике
Производительность сервера Forefront TMG зависит от типа информации, необходимой для обработки правил. Поскольку обработка правил выполняется по порядку, следует располагать правила, которые могут быть обработаны быстро, вверху списка правил, если это не повлияет на желаемые результаты применения политики межсетевого экрана. Таким образом, если запрос соответствует правилу, расположенному вверху списка, серверу Forefront TMG не придется сравнивать запрос с теми правилами, обработка которых может занимать больше времени.
Простые элементы правил
Для следующих элементов правил необходимы простые сведения о сети, поэтому их проверка выполняется быстро.
- Определения протоколов
- Расписания
- Все сетевые элементы на основе IP-адресов (компьютеры, наборы
компьютеров, подсети, сети и наборы сетей)
Проверка сведений об исходном порте также выполняется быстро.
Правила, использующие эти элементы, следует располагать в верхней части списка правил.
Сложные элементы правил
Для следующих элементов правил необходимы дополнительные сведения о сети, поэтому их проверка выполняется медленнее.
- Наборы доменных имен и URL-адресов
- Пользователи (за исключением встроенного набора учетных записей
«Все пользователи»)
- Тип содержимого
Правила, использующие эти элементы, следует располагать в нижней части списка правил.
Правила, использующие фильтры приложений
Правила, использующие SMTP-фильтр, HTTP-фильтр или FTP-фильтр, снижают производительность.
Общие рекомендации по упорядочиванию правил
Рекомендуется располагать правила доступа в следующем порядке.
- Общие запрещающие правила. Правила, запрещающие
определенный вид доступа для всех пользователей. В таких правилах
следует использовать элементы правила, которым необходимы простые
сведения о сети. Примером является правило, запрещающее всем
пользователям доступ из любого места к любым местам по протоколам
однорангового обмена файлами.
- Общие разрешающие правила. Правила, разрешающие
определенный вид доступа для всех пользователей. В таких правилах
следует использовать элементы правила, которым необходимы простые
сведения о сети. Примером является правило, которое разрешает
доступ из внутренней сети к внешней сети по протоколу DNS.
- Правила для определенных компьютеров. Правила,
разрешающие или запрещающие доступ для определенных компьютеров,
например, правило, разрешающее компьютерам UNIX получать доступ к
Интернету.
- Правила для определенных пользователей, URL-адресов и типов
MIME и правила публикации. Правила, содержащие элементы,
которым требуются дополнительные сведения о сети и которые
применяют политику для определенных пользователей, URL-адресов или
типов MIME. Правила публикации также следует располагать на этом
уровне.
- Другие разрешающие правила. Правила обработки трафика,
несоответствующего правилам, расположенным выше в списке правил,
при условии, что такой трафик разрешен корпоративной политикой.
Например, правило, разрешающее любой трафик из внутренней сети в
Интернет.
Примечание. Правила публикации серверов и веб-публикации можно размещать в любой части списка правил после общих разрешающих или запрещающих правил.
Специальные рекомендации
При создании политики межсетевого экрана следует учитывать следующие рекомендации.
Наборы учетных записей и пользователи, не прошедшие проверку подлинности
Правила, основанные на наборах учетных записей, следует располагать ниже в списке правил. Если поставить эти правила высоко в списке правил, будет невозможно дальнейшая обработка трафика, исходящего от не прошедших проверку подлинности пользователей, которые в остальном соответствуют определению правила. Это может привести к тому, что разрешающее правило будет по сути являться запрещающим для пользователей, не прошедших проверку.
Сервер Forefront TMG отклоняет трафик от пользователей, не прошедших проверку подлинности, после правил, основанных на наборах учетных записей, чтобы исключить обход этих правил такими пользователями.
Примечание. |
---|
Сервер Forefront TMG может только предпринять попытку сопоставить пользователей, прошедших проверку подлинности, с правилами, требующими членства клиента в наборе учетных записей. К пользователям, прошедшим проверку подлинности, относятся клиенты межсетевого экрана, клиенты виртуальных частных сетей (VPN) и веб-клиенты, прошедшие проверку подлинности. |
Использование IP-адресов
В политиках межсетевого экрана следует по возможности использовать IP-адреса, а не DNS-имена. Это позволит уменьшить зависимость сервера Forefront TMG от DNS-серверов, что приведет к повышению производительности. Однако следует учитывать, что в некоторых ситуациях при использовании IP-адресов не удастся добиться требуемых результатов. Например, при попытке блокирования доступа к узлу, IP-адрес которого присваивается динамически, или узлу, имеющему несколько IP-адресов, блокирование IP-адреса не обеспечит надежное блокирование узла. В этом случае для блокирования узла следует использовать полное доменное имя узла (FQDN). Для обеспечения дополнительной надежности блокирования можно использовать в правиле и IP-адреса и полные доменные имена. Обратите внимание, что для IP-адресов и полных доменных имен необходимо создавать отдельные элементы правила. При использовании IP-адресов и полных доменных имен в одном правиле обработчик правил Forefront TMG сначала проверяет в запросе IP-адреса, поэтому при обнаружении соответствия не требуется разрешать полное доменное имя для IP-адреса. Это повышает эффективность правила. Примеры проверки сервером Forefront TMG имен и IP-адресов в HTTP-запросах см. в разделе Обработка имени в данном документе.
Использование полных доменных адресов для наборов URL-адресов и наборов доменных имен
В наборах доменных имен и наборах URL-адресов используйте полные доменные имена.
Примеры проверки сервером Forefront TMG URL-адресов и IP-адресов в HTTP-запросах см. в разделе «Обработка имени» в данном документе.
Проверка подлинности пользователей и производительность
Если правило требует проверки подлинности пользователя, появляется зависимость от подключения и производительности сервера проверки подлинности, например, контроллера домена или RADIUS-сервера. Процесс проверки подлинности может влиять на производительность сервера Forefront TMG. Поэтому рекомендуется располагать правила, требующие проверки подлинности, в нижней части списка правил (при условии, что это отвечает концепции политики), чтобы правило проверки подлинности применялось только в отношении трафика, несоответствующего более ранним правилам.
Примечание. |
---|
Для наблюдения за подключением к различным серверам можно использовать средства проверки подключения Forefront TMG. Описание средств проверки подключения приведено в справке Forefront TMG. |
Клиенты межсетевого экрана и наборы учетных записей
Если политика межсетевого экрана включает правило, которое ссылается на набор учетных записей (кроме встроенного набора «Все пользователи»), клиент межсетевого экрана выполняет проверку подлинности, которая окажется неудачной, если он находится в рабочей группе или ненадежном домене. Клиенту межсетевого экрана не удастся установить подключение к компьютеру Forefront TMG, и весь трафик будет запрещен.
Определения протоколов
Не создавайте определения протоколов, которые дублируют или пересекаются с имеющимися определениями протоколов. Это может привести к непредсказуемым последствиям. Например, в случае создания правила, разрешающего весь трафик за исключением определенного протокола, может возникнуть ситуация, когда трафик по этому протоколу, который должен быть отклонен, фактически разрешается вследствие наличия определения похожего протокола. Рекомендуется тщательно проверить список имеющихся протоколов, прежде чем определять дополнительные протоколы.
Правила по MIME-типу
MIME-типы следует использовать в качестве критерия только в правилах, применяемых исключительно к HTTP-трафику. Поскольку MIME-типы не применимы для других типов трафика, правило, включающее любой другой протокол кроме HTTP и ссылающееся на MIME-типы, будет фактически отключено для таких протоколов.
Правила доступа и сетевые правила
Политика доступа, определяющая возможности доступа между двумя сетями, не будет разрешать доступ при отсутствии правила, определяющего отношение между этими двумя сетями. Это также относится к правилам публикации серверов (но не к правилам веб-публикации).
Правило запрета доступа по всем протоколам с ограничением по исходным портам
Не создавайте правило запрета доступа по всем протоколам, включающее ограничение на исходные порты. Вследствие отсутствия проверки исходных портов для дополнительных соединений все протоколы будут заблокированы для дополнительных соединений (если правило, разрешающее дополнительное соединение, находится в списке правил ниже правила запрета доступа с ограничением на исходные порты).
Обеспечение безопасности набора компьютеров удаленного управления
Включайте в набор компьютеров Компьютеры удаленного управления только те компьютеры, которым требуется удаленный административный доступ. Например, не следует добавлять в этот набор компьютеров целые сети, такие как внутренняя сеть. Это поможет защитить межсетевой экран от червей, затрагивающих такие сети.
Сеть для зараженных компьютеров
Создайте сеть для размещения зараженных компьютеров. Не создавайте сетевые правила для этой сети, чтобы исключить любой тип доступа. Перемещайте зараженные компьютеры в эту сеть. Обратите внимание, что в случае перемещения компьютера в эту сеть в диапазоне адресов внутренней сети возникает разрыв, т.е. сеть становится фрагментированной. Фрагментация сетей негативно сказывается на производительности системы балансировки сетевой нагрузки Forefront TMG, поэтому следует с осторожностью применять этот подход и как можно быстрее возвращать компьютеры в исходную сеть.
Правило доступа для Центра обновления Windows
Чтобы разрешить доступ к серверам Центра обновления Windows, необходимо создать правило доступа, разрешающее пользователям доступ к набору доменных имен Центра обновления Майкрософт. Это правило следует размешать вверху списка правил политики межсетевого экрана. В частности, оно должно предшествовать правилам веб-доступа, которым требуется проверка подлинности и которые могут блокировать получение некоторыми пользователями обновлений из Центра обновления Windows.
Примечание. |
---|
В этом случае на вкладке Веб-прокси для сети пользователя после выбора команды Проверка подлинности не следует устанавливать флажок Требовать проверки подлинности всех пользователей, поскольку это также привело бы к блокированию доступа к Центру обновления Windows. |
Обработка имени
HTTP-запрос, инициированный клиентом, может содержать имя, полное доменное имя (FQDN) или IP-адрес. В этом разделе приведены примеры обработки таких запросов сервером Forefront TMG.
Если HTTP-запрос содержит имя узла, например http://www.fabrikam.com, сервер Forefront TMG распознает имя в запросе и выполняет прямое разрешение имен на DNS-сервере, чтобы получить полное доменное имя, псевдонимы и IP-адреса, связанные с этим именем. В результате сервер Forefront TMG получает имя узла, полное доменное имя, псевдонимы и IP-адреса для сравнения с условиями правила доступа. Любой из этих элементов может использоваться для проверки выполнения правила (в зависимости от того, какой элемент используется в правиле).
Следующие элементы могли бы использоваться для проверки правила в примере с именем узла www.fabrikam.com.
- Имя: www.fabrikam.com
- Полное доменное имя: fabrikam.com
- IP-адреса: 207.46.250.119, 207.46.130.108
Если HTTP-запрос содержит IP-адрес, сервер Forefront TMG сначала проверяет соответствие правил этому IP-адресу. Если в ходе этого процесса сервер Forefront TMG обнаруживает правило, требующее имя, выполняется обратное разрешение имени для получения полного доменного имени для этого IP-адреса. Затем сервер Forefront TMG может сравнить полное доменное имя с определениями правил доступа.
Если выполнить обратное разрешение имени не удается, то для сравнения с определениями правил используется только исходный IP-адрес в запросе.
Примечание. |
---|
Если клиент SecureNAT запрашивает узел по имени, сервер Forefront TMG сначала проверяет, что содержимое заголовка узла не маскирует не относящийся к нему IP-адрес, запрошенный клиентом. В случае успешного завершения проверки процесс продолжается так же, как и для клиента веб-прокси. |