Системная политика Шлюз Microsoft Forefront Threat Management представляет собой набор определенных правил, контролирующих доступ к сети локального узла и из сети локального узла (сервер Forefront TMG) к другим сетям. Некоторые правила системной политики включены по умолчанию, чтобы разрешить прохождение трафика, необходимого для управления средой Forefront TMG. Дополнительную информацию см. в разделе Системная политика. В приведенной таблице перечислены правила системной политики по умолчанию.
| Порядковый номер | Имя | Группа системной политики | Протоколы | Источник | Назначение | Подробные сведения |
|---|---|---|---|---|---|---|
|
1 |
Разрешить доступ к службам каталогов в целях проверки подлинности |
Службы проверки подлинности |
LDAP LDAP (UDP) LDAP GC (глобальный каталог) LDAPS LDAPS GC (глобальный каталог) |
Локальный узел |
Внутренний |
Если Forefront TMG не входит в домен, это правило можно отключить. |
|
2 |
Разрешить удаленное управление с выбранных компьютеров с помощью консоли управления MMC |
Удаленное управление |
MS Firewall Control Датаграмма NetBIOS Служба имен NetBIOS Сеанс NetBios RPC (все интерфейсы) |
Компьютеры удаленного управления |
Локальный узел |
Если для подключения к компьютеру с Forefront TMG не будет использоваться удаленное подключение консоли управления (MMC), это правило можно отключить. Если это правило включено, оно разрешает прохождение RPC-трафика по сети локального узла. Однако по умолчанию трафик DCOM блокируется RPC-фильтром. Компьютеры удаленного управления необходимо добавить в предопределенный набор компьютеров "Компьютеры удаленного управления". |
|
3 |
Разрешить удаленное управление с выбранных компьютеров с помощью сервера терминалов |
Удаленное управление |
Протокол удаленного рабочего стола (службы терминалов) |
Компьютеры удаленного управления |
Локальный узел |
Если для компьютера с Forefront TMG не будет использоваться удаленное управление рабочим столом, отключите это правило. Компьютеры удаленного управления необходимо добавить в предопределенный набор компьютеров "Компьютеры удаленного управления". |
|
4 |
Разрешить удаленное управление с выбранных компьютеров с помощью веб-приложения |
Удаленное управление |
Веб-управление Forefront TMG |
Компьютеры удаленного управления |
Локальный узел |
Если удаленное управление из веб-приложения не будет использоваться, отключите это правило. Компьютеры удаленного управления необходимо добавить в предопределенный набор компьютеров "Компьютеры удаленного управления". |
|
5 |
Разрешить ведение удаленного журнала на доверенных серверах с помощью NetBIOS (отключено по умолчанию) |
Ведение удаленного журнала |
Датаграмма NetBIOS Служба имен NetBIOS Сеанс NetBios |
Локальный узел |
Внутренний |
Включите это правило, если ведение журнала выполняется на удаленном сервере SQL Server. |
|
6 |
Разрешить проверку подлинности RADIUS доверенных RADIUS-серверов со стороны Forefront TMG |
Службы проверки подлинности |
RADIUS Система учета RADIUS |
Локальный узел |
Внутренний |
Если проверка подлинности RADIUS не используется, отключите это правило. Если такая проверка подлинности используется, укажите в качестве назначения IP-адрес RADIUS-сервера. |
|
7 |
Разрешить проверку подлинности Kerberos доверенных серверов со стороны Forefront TMG |
Службы проверки подлинности |
Kerberos-Sec (TCP) Kerberos-Sec (UDP) |
Локальный узел |
Внутренний |
Если проверка подлинности клиентов не выполняется, отключите это правило. |
|
8 |
Разрешить отправлять DNS-пакеты с сервера Forefront TMG к выбранным серверам |
Сетевые службы |
DNS |
Локальный узел |
Все сети (и локальный узел) |
Чтобы сервер Forefront TMG мог выполнять DNS-запросы, это правило необходимо включить. |
|
9 |
Разрешить отправлять DHCP-запросы с сервера Forefront TMG во все сети |
Сетевые службы |
DHCP (запрос) |
Локальный узел |
Везде |
Если компьютер с Forefront TMG не используется в качестве DHCP-клиента, отключите это правило. |
|
10 |
Разрешить серверу Forefront TMG принимать DHCP-ответы от DHCP-серверов |
Сетевые службы |
DHCP (ответ) |
Внутренний |
Локальный узел |
Если компьютер с Forefront TMG не используется в качестве DHCP-клиента, отключите это правило. Если DHCP-сервер находится за пределами внутренней сети, измените свойство "Источник". |
|
11 |
Разрешить отправлять ICMP-запросы (PING) серверу Forefront TMG с выбранных компьютеров |
Службы диагностики |
Ping |
Компьютеры удаленного управления |
Локальный узел |
Любой компьютер, выполняющий команду ping к компьютеру с Forefront TMG, должен входить в набор компьютеров "Компьютеры удаленного управления". |
|
12 |
Разрешить отправку ICMP-запросов с сервера Forefront TMG к выбранным серверам |
Службы диагностики |
Запрос данных о ICMP Отметка времени ICMP Ping |
Локальный узел |
Все сети (и сеть локального узла) |
Чтобы сервер Forefront TMG мог выполнять задачи по управлению сетью, это правило необходимо включить. |
|
13 |
Разрешить трафик от VPN-клиента к серверу Forefront TMG (отключено по умолчанию) |
Это правило системной политики нельзя изменить в редакторе системной политики. |
PPTP |
Внешний |
Локальный узел |
Это правило автоматически вводится сервером Forefront TMG при включении VPN-трафика в консоли управления Forefront TMG. |
|
14 |
Разрешить трафик VPN типа "сеть-сеть", направленный к серверу Forefront TMG (отключено по умолчанию). |
Это правило системной политики нельзя изменить в редакторе системной политики. |
Отсутствует |
Внешний Удаленные шлюзы IPsec |
Локальный узел |
Это правило автоматически включается сервером Forefront TMG при создании в консоли управления Forefront TMG сети типа "сеть-сеть". |
|
15 |
Разрешить трафик VPN типа "сеть-сеть" от сервера Forefront TMG (отключено по умолчанию) |
Это правило системной политики нельзя изменить в редакторе системной политики. |
Отсутствует |
Локальный узел |
Внешний Удаленные шлюзы IPsec |
Это правило автоматически включается сервером Forefront TMG при создании в консоли управления Forefront TMG сети типа "сеть-сеть". |
|
16 |
Разрешить отправлять пакеты Microsoft CIFS с сервера Forefront TMG на доверенные серверы |
Службы проверки подлинности |
Microsoft CIFS (TCP) Microsoft CIFS (UDP) |
Локальный узел |
Внутренний |
Если с компьютера с Forefront TMG не будет осуществляться доступ к общим папкам, отключите это правило. |
|
17 |
Разрешить ведение удаленного журнала SQL на выбранных серверах со стороны сервера Forefront TMG (отключено по умолчанию) |
Ведение удаленного журнала |
Microsoft SQL (TCP) Microsoft SQL (UDP) |
Локальный узел |
Внутренний |
Включите это правило, если ведение журнала выполняется на удаленном сервере SQL Server. |
|
18 |
Разрешить весь HTTP-трафик с сервера Forefront TMG ко всем сетям (для загрузки списков отзыва сертификатов) (отключено по умолчанию) |
Службы проверки подлинности |
HTTP |
Локальный узел |
Все сети (и локальный узел) |
Чтобы сервер Forefront TMG мог получать доступ к спискам отзыва сертификатов, это правило нужно включить. Это необходимо при подключении к компьютеру с Forefront TMG с помощью моста SSL. Настройте назначение таким образом, чтобы была указана только одна сеть, из которой будут загружаться списки отзыва сертификатов. |
|
19 |
Разрешить отправлять запросы HTTP/HTTPS с сервера Forefront TMG на выбранные серверы для средств проверки подключения (отключено по умолчанию) |
Службы диагностики |
HTTP HTTPS |
Локальный узел |
Все сети (и сеть локального узла) |
Это правило включается автоматически при создании средства проверки подключения. |
|
20 |
Разрешить удаленное наблюдение за производительностью сервера Forefront TMG со стороны доверенных серверов (отключено по умолчанию) |
Удаленное наблюдение |
Датаграмма NetBIOS Служба имен NetBIOS Сеанс NetBios |
Компьютеры удаленного управления |
Локальный узел |
Включите это правило, чтобы разрешить удаленное наблюдение за производительностью сервера Forefront TMG. |
|
21 |
Разрешить отправку пакетов NetBIOS с сервера Forefront TMG на доверенные серверы |
Службы диагностики |
Датаграмма NetBIOS Служба имен NetBIOS Сеансы NetBIOS |
Локальный узел |
Внутренний |
Если с компьютера с Forefront TMG не будет осуществляться доступ к общим папкам, отключите это правило. |
|
22 |
Разрешить отправку пакетов RPC с сервера Forefront TMG на доверенные серверы |
Службы проверки подлинности |
RPC (все интерфейсы) |
Локальный узел |
Внутренний |
Если компьютер с Forefront TMG не будет подключаться к другим серверам по протоколу RPC, отключите это правило. |
|
23 |
Разрешить отправку HTTP/HTTPS-пакетов с сервера Forefront TMG к указанным веб-узлам отчетов об ошибках (Microsoft) |
Службы диагностики |
HTTP HTTPS |
Локальный узел |
Веб-узлы отчетов об ошибках Microsoft |
Это правило разрешает отправку отчетов об ошибках в корпорацию Майкрософт. |
|
24 |
Разрешить проверку подлинности SecurID доверенных серверов со стороны сервера Forefront TMG (отключено по умолчанию) |
Службы проверки подлинности |
SecurID |
Локальный узел |
Внутренний |
Если проверка подлинности SecurID не используется, отключите это это правило. Если такая проверка подлинности используется, укажите в качестве назначения IP-адрес RADIUS-сервера. |
|
25 |
Разрешить удаленное наблюдение с сервера Forefront TMG на доверенные серверы с помощью агента Microsoft Operations Manager (MOM) (отключено по умолчанию) |
Удаленное наблюдение |
Агент Microsoft Operations Manager |
Локальный узел |
Внутренний |
Если для наблюдения за сервером Forefront TMG используется MOM, включите это правило. |
|
26 |
Разрешить отправку HTTP/HTTPS-запросов с сервера Forefront TMG на указанные узлы |
Разное |
HTTP HTTPS |
Локальный узел |
Узлы, разрешенные системной политикой |
Это правило разрешает компьютеру с Forefront TMG взаимодействовать с узлами, указанными в наборе доменных имен Узлы, разрешенные системной политикой. |
|
27 |
Разрешить отправку HTTP/HTTPS-запросов с сервера Forefront TMG на указанные веб-узлы Центра обновления Майкрософт |
Разное |
HTTP HTTPS |
Локальный узел |
Узлы, разрешенные системной политикой |
Это правило разрешает компьютеру с Forefront TMG взаимодействовать с веб-узлами Центра обновления Майкрософт, указанными в наборе доменных имен "Центр обновления Майкрософт". |
|
28 |
Разрешить отправку NTP-пакетов с сервера Forefront TMG на доверенные NTP-серверы |
Сетевые службы |
NTP (UDP) |
Локальный узел |
Внутренний |
Это правило разрешает серверу Forefront TMG подключаться к NTP-серверам во внутренней сети. Ограничьте назначение IP-адресом NTP-сервера. |
|
29 |
Разрешить отправку SMTP-пакетов с сервера Forefront TMG на доверенные серверы |
Удаленное наблюдение |
SMTP |
Локальный узел |
Внутренний |
Если отправлять SMTP-оповещения не планируется, отключите это правило. В противном случае укажите в качестве назначения IP-адрес SMTP-сервера, а не внутреннюю сеть. |
|
30 |
Разрешить отправлять с сервера Forefront TMG HTTP-запросы выбранным компьютерам для заданий загрузки содержимого (отключено по умолчанию) |
Разное |
HTTP |
Локальный узел |
Все сети (и локальный узел) |
Это правило включается автоматически при создании в консоли управления Forefront TMG задания загрузки содержимого. |
|
31 |
Разрешить обращаться к выбранным компьютерам по протоколу MS Firewall Control |
Удаленное управление |
MS Firewall Control Хранилище межсетевого экрана MS |
Локальный узел |
Компьютеры удаленного управления |
Если удаленная консоль управления (MMC) не используется, отключите это это правило. |
|
32 |
Разрешить удаленный доступ к серверу хранилища настроек |
Серверы хранилища настроек |
MS Firewall Control Хранилище межсетевого экрана MS |
Локальный узел |
Все сети (и локальный узел) Серверы хранилища настроек предприятия |
Это правило не работает для Forefront TMG в случае использования Essential Business Server. |
|
33 |
Разрешить доступ с доверенных серверов к локальному серверу хранилища настроек |
Серверы хранилища настроек |
Microsoft CIFS (TCP) Microsoft CIFS (UDP) MS Firewall Control Хранилище межсетевого экрана MS |
Локальный узел Серверы массива Компьютеры удаленного управления предприятия Управляемые компьютеры Forefront TMG Компьютеры удаленного управления Реплицированные серверы хранилища настроек |
Локальный узел |
Это правило не работает для Forefront TMG в случае использования Essential Business Server. |
|
34 |
Разрешить репликацию между серверами хранилища настроек |
Серверы хранилища настроек |
Репликация хранилища межсетевого экрана Microsoft RPC (все интерфейсы) |
Локальный узел Реплицированные серверы хранилища настроек |
Локальный узел Реплицированные серверы хранилища настроек |
Это правило не работает для Forefront TMG в случае использования Essential Business Server. |
|
35 |
Разрешить взаимодействие внутри массива |
Взаимодействие внутри массива |
Microsoft CIFS (TCP) Microsoft CIFS (UDP) MS Firewall Control RPC (все интерфейсы) |
Серверы массива |
Серверы массива |
Это правило не работает для Forefront TMG в случае использования Essential Business Server. |
|
38 |
Разрешить удаленный доступ к службам отчетов Forefront TMG |
Сетевые службы |
Службы отчетов Forefront TMG |
Компьютеры удаленного управления предприятия Компьютеры удаленного управления |
Локальный узел |