Последовательное соединение межсетевых экранов определяет, как Шлюз Microsoft Forefront Threat Management перенаправляет запросы от клиентов межсетевого экрана и SecureNAT. Запросы могут направляться непосредственно в Интернет (по умолчанию) или на вышестоящие серверы, расположенные «ближе» к Интернету. Служба межсетевого экрана на нижестоящем сервере выступает в качестве клиента межсетевого экрана вышестоящего сервера, осуществляющего взаимодействие непосредственно со службой межсетевого экрана. На вышестоящих серверах могут выполняться ISA Server 2000, ISA Server 2004, ISA Server 2006, или Forefront TMG. Последовательное соединение межсетевых экранов направляет запросы, отличающиеся от HTTP, но не направляет HTTP-запросы от клиентов межсетевого экрана и SecureNAT. Фильтр веб-прокси прозрачно обрабатывает HTTP-запросы, которые направляются с использованием правил веб-цепочек.
Инструкции по настройкам см. в разделе Настройка последовательного соединения межсетевых экранов.
Если последовательное соединение межсетевых экранов настроено для отправки запросов на вышестоящий сервер, запросы на удаленные места назначения пересылаются. Нижестоящие серверы обрабатывают запросы на локальные места назначения. Клиент межсетевого экрана рассматривает следующие адреса в качестве локальных:
- все адреса сети, в которой находится клиент межсетевого
экрана.
- все адреса, указанные в локальной таблице маршрутизации на
компьютере клиента межсетевого экрана.
- все доменные суффиксы, указанные на вкладке Домены на
странице свойств сети, в которой находится клиент межсетевого
экрана.
- все IP-адреса, содержащиеся в файле Locallat.txt на компьютере
клиента межсетевого экрана.
Для клиентов межсетевого экрана учетные данные пользователя пересылаются вместе с запросом в службу межсетевого экрана на вышестоящем сервере. Благодаря этому можно настроить политику централизованного доступа на вышестоящем сервере, таком как головной офис, а также политику локального доступа на нижестоящем сервере. Клиенты SecureNAT не могут предоставить учетные данные пользователя, поэтому им отказывается в доступе, если требуется проверка подлинности на вышестоящем или нижестоящем сервере.
К последовательному соединению межсетевых экранов применяются следующие ограничения.
- Ответы на запросы последовательного соединения межсетевых
экранов не кэшируются.
- Проверка подлинности между нижестоящим и вышестоящим сервером
не выполняется должным образом. Не рекомендуется использовать
последовательное соединение межсетевых экранов, если на вышестоящем
сервере требуется проверка подлинности пользователя.
- Запросы от клиентов межсетевого экрана не обрабатываются
соответствующим образом для протоколов с вторичными соединениями.
Для таких протоколов рекомендуется не настраивать последовательное
соединение межсетевых экранов для пересылки запросов клиентов
межсетевого экрана на вышестоящий сервер.
- Последовательное соединение межсетевых экранов не работает
должным образом, если между нижестоящим сервером и вышестоящим
сервером определен сетевой объект. Рекомендуется не настраивать
сеть между вышестоящим и нижестоящим сетевым экраном.
Даже с такими ограничениями последовательное соединение межсетевых экранов может быть полезным для поддержки клиентов SecureNAT. Последовательное соединение межсетевых экранов гарантирует, что клиенты SecureNAT не полагаются на инфраструктуру маршрутизации и параметры шлюза по умолчанию. Единственное требование - нижестоящие компьютеры Forefront TMG должны иметь маршрут к вышестоящему прокси. Например, в сценарии филиала последовательное соединение межсетевых экранов позволяет отправлять несетевые запросы от клиентов SecureNAT (которые могут не быть клиентами Windows) в головной офис.