Системная политика Шлюз Microsoft Forefront Threat Management представляет собой набор определенных правил, контролирующих доступ к сети локального узла и из сети локального узла (сервер Forefront TMG) к другим сетям. Некоторые правила системной политики включены по умолчанию, чтобы разрешить прохождение трафика, необходимого для управления средой Forefront TMG. Дополнительную информацию см. в разделе Системная политика. В приведенной таблице перечислены правила системной политики по умолчанию.

Порядковый номер Имя Группа системной политики Протоколы Источник Назначение Подробные сведения

1

Разрешить доступ к службам каталогов в целях проверки подлинности

Службы проверки подлинности

LDAP

LDAP (UDP)

LDAP GC (глобальный каталог)

LDAPS

LDAPS GC (глобальный каталог)

Локальный узел

Внутренний

Если Forefront TMG не входит в домен, это правило можно отключить.

2

Разрешить удаленное управление с выбранных компьютеров с помощью консоли управления MMC

Удаленное управление

MS Firewall Control

Датаграмма NetBIOS

Служба имен NetBIOS

Сеанс NetBios

RPC (все интерфейсы)

Компьютеры удаленного управления

Локальный узел

Если для подключения к компьютеру с Forefront TMG не будет использоваться удаленное подключение консоли управления (MMC), это правило можно отключить. Если это правило включено, оно разрешает прохождение RPC-трафика по сети локального узла. Однако по умолчанию трафик DCOM блокируется RPC-фильтром.

Компьютеры удаленного управления необходимо добавить в предопределенный набор компьютеров "Компьютеры удаленного управления".

3

Разрешить удаленное управление с выбранных компьютеров с помощью сервера терминалов

Удаленное управление

Протокол удаленного рабочего стола (службы терминалов)

Компьютеры удаленного управления

Локальный узел

Если для компьютера с Forefront TMG не будет использоваться удаленное управление рабочим столом, отключите это правило. Компьютеры удаленного управления необходимо добавить в предопределенный набор компьютеров "Компьютеры удаленного управления".

4

Разрешить удаленное управление с выбранных компьютеров с помощью веб-приложения

Удаленное управление

Веб-управление Forefront TMG

Компьютеры удаленного управления

Локальный узел

Если удаленное управление из веб-приложения не будет использоваться, отключите это правило. Компьютеры удаленного управления необходимо добавить в предопределенный набор компьютеров "Компьютеры удаленного управления".

5

Разрешить ведение удаленного журнала на доверенных серверах с помощью NetBIOS (отключено по умолчанию)

Ведение удаленного журнала

Датаграмма NetBIOS

Служба имен NetBIOS

Сеанс NetBios

Локальный узел

Внутренний

Включите это правило, если ведение журнала выполняется на удаленном сервере SQL Server.

6

Разрешить проверку подлинности RADIUS доверенных RADIUS-серверов со стороны Forefront TMG

Службы проверки подлинности

RADIUS

Система учета RADIUS

Локальный узел

Внутренний

Если проверка подлинности RADIUS не используется, отключите это правило. Если такая проверка подлинности используется, укажите в качестве назначения IP-адрес RADIUS-сервера.

7

Разрешить проверку подлинности Kerberos доверенных серверов со стороны Forefront TMG

Службы проверки подлинности

Kerberos-Sec (TCP)

Kerberos-Sec (UDP)

Локальный узел

Внутренний

Если проверка подлинности клиентов не выполняется, отключите это правило.

8

Разрешить отправлять DNS-пакеты с сервера Forefront TMG к выбранным серверам

Сетевые службы

DNS

Локальный узел

Все сети (и локальный узел)

Чтобы сервер Forefront TMG мог выполнять DNS-запросы, это правило необходимо включить.

9

Разрешить отправлять DHCP-запросы с сервера Forefront TMG во все сети

Сетевые службы

DHCP (запрос)

Локальный узел

Везде

Если компьютер с Forefront TMG не используется в качестве DHCP-клиента, отключите это правило.

10

Разрешить серверу Forefront TMG принимать DHCP-ответы от DHCP-серверов

Сетевые службы

DHCP (ответ)

Внутренний

Локальный узел

Если компьютер с Forefront TMG не используется в качестве DHCP-клиента, отключите это правило. Если DHCP-сервер находится за пределами внутренней сети, измените свойство "Источник".

11

Разрешить отправлять ICMP-запросы (PING) серверу Forefront TMG с выбранных компьютеров

Службы диагностики

Ping

Компьютеры удаленного управления

Локальный узел

Любой компьютер, выполняющий команду ping к компьютеру с Forefront TMG, должен входить в набор компьютеров "Компьютеры удаленного управления".

12

Разрешить отправку ICMP-запросов с сервера Forefront TMG к выбранным серверам

Службы диагностики

Запрос данных о ICMP

Отметка времени ICMP

Ping

Локальный узел

Все сети (и сеть локального узла)

Чтобы сервер Forefront TMG мог выполнять задачи по управлению сетью, это правило необходимо включить.

13

Разрешить трафик от VPN-клиента к серверу Forefront TMG (отключено по умолчанию)

Это правило системной политики нельзя изменить в редакторе системной политики.

PPTP

Внешний

Локальный узел

Это правило автоматически вводится сервером Forefront TMG при включении VPN-трафика в консоли управления Forefront TMG.

14

Разрешить трафик VPN типа "сеть-сеть", направленный к серверу Forefront TMG (отключено по умолчанию).

Это правило системной политики нельзя изменить в редакторе системной политики.

Отсутствует

Внешний

Удаленные шлюзы IPsec

Локальный узел

Это правило автоматически включается сервером Forefront TMG при создании в консоли управления Forefront TMG сети типа "сеть-сеть".

15

Разрешить трафик VPN типа "сеть-сеть" от сервера Forefront TMG (отключено по умолчанию)

Это правило системной политики нельзя изменить в редакторе системной политики.

Отсутствует

Локальный узел

Внешний

Удаленные шлюзы IPsec

Это правило автоматически включается сервером Forefront TMG при создании в консоли управления Forefront TMG сети типа "сеть-сеть".

16

Разрешить отправлять пакеты Microsoft CIFS с сервера Forefront TMG на доверенные серверы

Службы проверки подлинности

Microsoft CIFS (TCP)

Microsoft CIFS (UDP)

Локальный узел

Внутренний

Если с компьютера с Forefront TMG не будет осуществляться доступ к общим папкам, отключите это правило.

17

Разрешить ведение удаленного журнала SQL на выбранных серверах со стороны сервера Forefront TMG (отключено по умолчанию)

Ведение удаленного журнала

Microsoft SQL (TCP)

Microsoft SQL (UDP)

Локальный узел

Внутренний

Включите это правило, если ведение журнала выполняется на удаленном сервере SQL Server.

18

Разрешить весь HTTP-трафик с сервера Forefront TMG ко всем сетям (для загрузки списков отзыва сертификатов) (отключено по умолчанию)

Службы проверки подлинности

HTTP

Локальный узел

Все сети (и локальный узел)

Чтобы сервер Forefront TMG мог получать доступ к спискам отзыва сертификатов, это правило нужно включить. Это необходимо при подключении к компьютеру с Forefront TMG с помощью моста SSL. Настройте назначение таким образом, чтобы была указана только одна сеть, из которой будут загружаться списки отзыва сертификатов.

19

Разрешить отправлять запросы HTTP/HTTPS с сервера Forefront TMG на выбранные серверы для средств проверки подключения (отключено по умолчанию)

Службы диагностики

HTTP

HTTPS

Локальный узел

Все сети (и сеть локального узла)

Это правило включается автоматически при создании средства проверки подключения.

20

Разрешить удаленное наблюдение за производительностью сервера Forefront TMG со стороны доверенных серверов (отключено по умолчанию)

Удаленное наблюдение

Датаграмма NetBIOS

Служба имен NetBIOS

Сеанс NetBios

Компьютеры удаленного управления

Локальный узел

Включите это правило, чтобы разрешить удаленное наблюдение за производительностью сервера Forefront TMG.

21

Разрешить отправку пакетов NetBIOS с сервера Forefront TMG на доверенные серверы

Службы диагностики

Датаграмма NetBIOS

Служба имен NetBIOS

Сеансы NetBIOS

Локальный узел

Внутренний

Если с компьютера с Forefront TMG не будет осуществляться доступ к общим папкам, отключите это правило.

22

Разрешить отправку пакетов RPC с сервера Forefront TMG на доверенные серверы

Службы проверки подлинности

RPC (все интерфейсы)

Локальный узел

Внутренний

Если компьютер с Forefront TMG не будет подключаться к другим серверам по протоколу RPC, отключите это правило.

23

Разрешить отправку HTTP/HTTPS-пакетов с сервера Forefront TMG к указанным веб-узлам отчетов об ошибках (Microsoft)

Службы диагностики

HTTP

HTTPS

Локальный узел

Веб-узлы отчетов об ошибках Microsoft

Это правило разрешает отправку отчетов об ошибках в корпорацию Майкрософт.

24

Разрешить проверку подлинности SecurID доверенных серверов со стороны сервера Forefront TMG (отключено по умолчанию)

Службы проверки подлинности

SecurID

Локальный узел

Внутренний

Если проверка подлинности SecurID не используется, отключите это это правило. Если такая проверка подлинности используется, укажите в качестве назначения IP-адрес RADIUS-сервера.

25

Разрешить удаленное наблюдение с сервера Forefront TMG на доверенные серверы с помощью агента Microsoft Operations Manager (MOM) (отключено по умолчанию)

Удаленное наблюдение

Агент Microsoft Operations Manager

Локальный узел

Внутренний

Если для наблюдения за сервером Forefront TMG используется MOM, включите это правило.

26

Разрешить отправку HTTP/HTTPS-запросов с сервера Forefront TMG на указанные узлы

Разное

HTTP

HTTPS

Локальный узел

Узлы, разрешенные системной политикой

Это правило разрешает компьютеру с Forefront TMG взаимодействовать с узлами, указанными в наборе доменных имен Узлы, разрешенные системной политикой.

27

Разрешить отправку HTTP/HTTPS-запросов с сервера Forefront TMG на указанные веб-узлы Центра обновления Майкрософт

Разное

HTTP

HTTPS

Локальный узел

Узлы, разрешенные системной политикой

Это правило разрешает компьютеру с Forefront TMG взаимодействовать с веб-узлами Центра обновления Майкрософт, указанными в наборе доменных имен "Центр обновления Майкрософт".

28

Разрешить отправку NTP-пакетов с сервера Forefront TMG на доверенные NTP-серверы

Сетевые службы

NTP (UDP)

Локальный узел

Внутренний

Это правило разрешает серверу Forefront TMG подключаться к NTP-серверам во внутренней сети. Ограничьте назначение IP-адресом NTP-сервера.

29

Разрешить отправку SMTP-пакетов с сервера Forefront TMG на доверенные серверы

Удаленное наблюдение

SMTP

Локальный узел

Внутренний

Если отправлять SMTP-оповещения не планируется, отключите это правило. В противном случае укажите в качестве назначения IP-адрес SMTP-сервера, а не внутреннюю сеть.

30

Разрешить отправлять с сервера Forefront TMG HTTP-запросы выбранным компьютерам для заданий загрузки содержимого (отключено по умолчанию)

Разное

HTTP

Локальный узел

Все сети (и локальный узел)

Это правило включается автоматически при создании в консоли управления Forefront TMG задания загрузки содержимого.

31

Разрешить обращаться к выбранным компьютерам по протоколу MS Firewall Control

Удаленное управление

MS Firewall Control

Хранилище межсетевого экрана MS

Локальный узел

Компьютеры удаленного управления

Если удаленная консоль управления (MMC) не используется, отключите это это правило.

32

Разрешить удаленный доступ к серверу хранилища настроек

Серверы хранилища настроек

MS Firewall Control

Хранилище межсетевого экрана MS

Локальный узел

Все сети (и локальный узел)

Серверы хранилища настроек предприятия

Это правило не работает для Forefront TMG в случае использования Essential Business Server.

33

Разрешить доступ с доверенных серверов к локальному серверу хранилища настроек

Серверы хранилища настроек

Microsoft CIFS (TCP)

Microsoft CIFS (UDP)

MS Firewall Control

Хранилище межсетевого экрана MS

Локальный узел

Серверы массива

Компьютеры удаленного управления предприятия

Управляемые компьютеры Forefront TMG

Компьютеры удаленного управления

Реплицированные серверы хранилища настроек

Локальный узел

Это правило не работает для Forefront TMG в случае использования Essential Business Server.

34

Разрешить репликацию между серверами хранилища настроек

Серверы хранилища настроек

Репликация хранилища межсетевого экрана Microsoft

RPC (все интерфейсы)

Локальный узел

Реплицированные серверы хранилища настроек

Локальный узел

Реплицированные серверы хранилища настроек

Это правило не работает для Forefront TMG в случае использования Essential Business Server.

35

Разрешить взаимодействие внутри массива

Взаимодействие внутри массива

Microsoft CIFS (TCP)

Microsoft CIFS (UDP)

MS Firewall Control

RPC (все интерфейсы)

Серверы массива

Серверы массива

Это правило не работает для Forefront TMG в случае использования Essential Business Server.

38

Разрешить удаленный доступ к службам отчетов Forefront TMG

Сетевые службы

Службы отчетов Forefront TMG

Компьютеры удаленного управления предприятия

Компьютеры удаленного управления

Локальный узел


Объявления:

    Cannot connect to Mysql database...