Для следующих элементов правил необходимы простые сведения о сети, поэтому их проверка выполняется быстро.

• Определения протоколов
  
  
• Расписания
  
  
• Все сетевые элементы на основе IP-адресов (компьютеры, наборы компьютеров, подсети, сети и наборы сетей)
  
  

Проверка сведений об исходном порте также выполняется быстро.

Правила, использующие эти элементы, следует располагать в верхней части списка правил.

Для следующих элементов правил необходимы дополнительные сведения о сети, поэтому их проверка выполняется медленнее.

• Наборы доменных имен и URL-адресов
  
  
• Пользователи (за исключением встроенного набора учетных записей «Все пользователи»)
  
  
• Тип содержимого
  
  

Правила, использующие эти элементы, следует располагать в нижней части списка правил.

Правила, использующие SMTP-фильтр, HTTP-фильтр или FTP-фильтр, снижают производительность.

Рекомендуется располагать правила доступа в следующем порядке.

1. Общие запрещающие правила. Правила, запрещающие определенный вид доступа для всех пользователей. В таких правилах следует использовать элементы правила, которым необходимы простые сведения о сети. Примером является правило, запрещающее всем пользователям доступ из любого места к любым местам по протоколам однорангового обмена файлами.
   
   
2. Общие разрешающие правила. Правила, разрешающие определенный вид доступа для всех пользователей. В таких правилах следует использовать элементы правила, которым необходимы простые сведения о сети. Примером является правило, которое разрешает доступ из внутренней сети к внешней сети по протоколу DNS.
   
   
3. Правила для определенных компьютеров. Правила, разрешающие или запрещающие доступ для определенных компьютеров, например, правило, разрешающее компьютерам UNIX получать доступ к Интернету.
   
   
4. Правила для определенных пользователей, URL-адресов и типов MIME и правила публикации. Правила, содержащие элементы, которым требуются дополнительные сведения о сети и которые применяют политику для определенных пользователей, URL-адресов или типов MIME. Правила публикации также следует располагать на этом уровне.
   
   
5. Другие разрешающие правила. Правила обработки трафика, несоответствующего правилам, расположенным выше в списке правил, при условии, что такой трафик разрешен корпоративной политикой. Например, правило, разрешающее любой трафик из внутренней сети в Интернет.
   
   

   Примечание.
   Правила публикации серверов и веб-публикации можно размещать в любой части списка правил после общих разрешающих или запрещающих правил.

Правила, основанные на наборах учетных записей, следует располагать ниже в списке правил. Если поставить эти правила высоко в списке правил, будет невозможно дальнейшая обработка трафика, исходящего от не прошедших проверку подлинности пользователей, которые в остальном соответствуют определению правила. Это может привести к тому, что разрешающее правило будет по сути являться запрещающим для пользователей, не прошедших проверку.

Сервер Forefront TMG отклоняет трафик от пользователей, не прошедших проверку подлинности, после правил, основанных на наборах учетных записей, чтобы исключить обход этих правил такими пользователями.

Примечание.
Сервер Forefront TMG может только предпринять попытку сопоставить пользователей, прошедших проверку подлинности, с правилами, требующими членства клиента в наборе учетных записей. К пользователям, прошедшим проверку подлинности, относятся клиенты межсетевого экрана, клиенты виртуальных частных сетей (VPN) и веб-клиенты, прошедшие проверку подлинности.

В политиках межсетевого экрана следует по возможности использовать IP-адреса, а не DNS-имена. Это позволит уменьшить зависимость сервера Forefront TMG от DNS-серверов, что приведет к повышению производительности. Однако следует учитывать, что в некоторых ситуациях при использовании IP-адресов не удастся добиться требуемых результатов. Например, при попытке блокирования доступа к узлу, IP-адрес которого присваивается динамически, или узлу, имеющему несколько IP-адресов, блокирование IP-адреса не обеспечит надежное блокирование узла. В этом случае для блокирования узла следует использовать полное доменное имя узла (FQDN). Для обеспечения дополнительной надежности блокирования можно использовать в правиле и IP-адреса и полные доменные имена. Обратите внимание, что для IP-адресов и полных доменных имен необходимо создавать отдельные элементы правила. При использовании IP-адресов и полных доменных имен в одном правиле обработчик правил Forefront TMG сначала проверяет в запросе IP-адреса, поэтому при обнаружении соответствия не требуется разрешать полное доменное имя для IP-адреса. Это повышает эффективность правила. Примеры проверки сервером Forefront TMG имен и IP-адресов в HTTP-запросах см. в разделе Обработка имени в данном документе.

В наборах доменных имен и наборах URL-адресов используйте полные доменные имена.

Примеры проверки сервером Forefront TMG URL-адресов и IP-адресов в HTTP-запросах см. в разделе «Обработка имени» в данном документе.

Если правило требует проверки подлинности пользователя, появляется зависимость от подключения и производительности сервера проверки подлинности, например, контроллера домена или RADIUS-сервера. Процесс проверки подлинности может влиять на производительность сервера Forefront TMG. Поэтому рекомендуется располагать правила, требующие проверки подлинности, в нижней части списка правил (при условии, что это отвечает концепции политики), чтобы правило проверки подлинности применялось только в отношении трафика, несоответствующего более ранним правилам.

Примечание.
Для наблюдения за подключением к различным серверам можно использовать средства проверки подключения Forefront TMG. Описание средств проверки подключения приведено в справке Forefront TMG.

Если политика межсетевого экрана включает правило, которое ссылается на набор учетных записей (кроме встроенного набора «Все пользователи»), клиент межсетевого экрана выполняет проверку подлинности, которая окажется неудачной, если он находится в рабочей группе или ненадежном домене. Клиенту межсетевого экрана не удастся установить подключение к компьютеру Forefront TMG, и весь трафик будет запрещен.

Не создавайте определения протоколов, которые дублируют или пересекаются с имеющимися определениями протоколов. Это может привести к непредсказуемым последствиям. Например, в случае создания правила, разрешающего весь трафик за исключением определенного протокола, может возникнуть ситуация, когда трафик по этому протоколу, который должен быть отклонен, фактически разрешается вследствие наличия определения похожего протокола. Рекомендуется тщательно проверить список имеющихся протоколов, прежде чем определять дополнительные протоколы.

MIME-типы следует использовать в качестве критерия только в правилах, применяемых исключительно к HTTP-трафику. Поскольку MIME-типы не применимы для других типов трафика, правило, включающее любой другой протокол кроме HTTP и ссылающееся на MIME-типы, будет фактически отключено для таких протоколов.

Политика доступа, определяющая возможности доступа между двумя сетями, не будет разрешать доступ при отсутствии правила, определяющего отношение между этими двумя сетями. Это также относится к правилам публикации серверов (но не к правилам веб-публикации).

Не создавайте правило запрета доступа по всем протоколам, включающее ограничение на исходные порты. Вследствие отсутствия проверки исходных портов для дополнительных соединений все протоколы будут заблокированы для дополнительных соединений (если правило, разрешающее дополнительное соединение, находится в списке правил ниже правила запрета доступа с ограничением на исходные порты).

Включайте в набор компьютеров Компьютеры удаленного управления только те компьютеры, которым требуется удаленный административный доступ. Например, не следует добавлять в этот набор компьютеров целые сети, такие как внутренняя сеть. Это поможет защитить межсетевой экран от червей, затрагивающих такие сети.

Создайте сеть для размещения зараженных компьютеров. Не создавайте сетевые правила для этой сети, чтобы исключить любой тип доступа. Перемещайте зараженные компьютеры в эту сеть. Обратите внимание, что в случае перемещения компьютера в эту сеть в диапазоне адресов внутренней сети возникает разрыв, т.е. сеть становится фрагментированной. Фрагментация сетей негативно сказывается на производительности системы балансировки сетевой нагрузки Forefront TMG, поэтому следует с осторожностью применять этот подход и как можно быстрее возвращать компьютеры в исходную сеть.

Чтобы разрешить доступ к серверам Центра обновления Windows, необходимо создать правило доступа, разрешающее пользователям доступ к набору доменных имен Центра обновления Майкрософт. Это правило следует размешать вверху списка правил политики межсетевого экрана. В частности, оно должно предшествовать правилам веб-доступа, которым требуется проверка подлинности и которые могут блокировать получение некоторыми пользователями обновлений из Центра обновления Windows.

Примечание.
В этом случае на вкладке Веб-прокси для сети пользователя после выбора команды Проверка подлинности не следует устанавливать флажок Требовать проверки подлинности всех пользователей, поскольку это также привело бы к блокированию доступа к Центру обновления Windows.