Важнейшей функцией межсетевого экрана является противодействие атакам. На первый взгляд может показаться, что в момент атаки первым делом необходимо отключиться от Интернета, изолируя таким образом атакуемую сеть от действий злоумышленников. Однако этого делать не рекомендуется. Безусловно, атака должна быть нейтрализована, но при этом необходимо максимально быстро восстановить нормальную работу сети, а также определить источник атаки.
Шлюз Microsoft Forefront Threat Management предлагает функцию блокировки, которая позволяет изолировать атакуемую сеть, сохраняя при этом подключение к Интернету. При каждом отключении службы межсетевого экрана Microsoft сервер Forefront TMG переходит в режим блокировки. Это происходит в следующих случаях.
- Событие инициирует предупреждение, которое настроено на
отключение межсетевого экрана. Например, по умолчанию при появлении
оповещения об ошибке записи в журнал происходит отключение службы
межсетевого экрана. Кроме того, определения оповещений могут быть
настроены на отключение службы межсетевого экрана в случае
возникновения определенных событий. Важнейшим преимуществом
является то, что пользователь может указать обстоятельства, при
возникновении которых Forefront TMG будет переходить в режим
блокировки.
- Служба межсетевого экрана Microsoft (fwsrv) может быть
отключена вручную из командной строки или с помощью диспетчера
Forefront TMG. При обнаружении атак злоумышленников можно отключить
службу межсетевого экрана на то время, пока будет производиться
настройка сети и компьютера Forefront TMG для противодействия
обнаруженной атаке.
В режиме блокировки действуют следующие функции.
- К политике межсетевого экрана применяется драйвер фильтра
пакетов, работающий в режиме ядра (fweng).
- Разрешена передача исходящего трафика из сети локального узла
во все сети. Если установлено исходящее соединение, оно может
использоваться для отклика на входящий трафик. Например, отклик на
DNS-запрос можно принимать, используя то же самое соединение.
- Указанные ниже правила системной политики (если они не были
отключены) продолжают разрешать входящий трафик, поступающий в сеть
локального узла.
- Разрешить удаленное управление с выбранных компьютеров с
помощью консоли управления MMC.
- Разрешить удаленное управление с выбранных компьютеров с
помощью сервера терминалов.
- Разрешить серверу Forefront TMG принимать DHCP-ответы от
DHCP-серверов.
- Разрешить отправлять ICMP-запросы (PING) серверу Forefront TMG
с выбранных компьютеров.
- Разрешить удаленное управление с выбранных компьютеров с
помощью консоли управления MMC.
- VPN-клиентам удаленного доступа запрещен доступ к Forefront
TMG. Подобным же образом запрещен и доступ к удаленным сетям в
случае VPN типа «сеть-сеть».
- Любые изменения конфигурации сети, произведенные в режиме
блокировки, будут применены только после перезапуска службы
межсетевого экрана и выхода сервера Forefront TMG из режима
блокировки.
- Forefront TMG не выводит никаких предупреждений.
DHCP-трафик разрешен всегда. DHCP-запросы через UDP-порт 67 также разрешены для отправки из сети локального узла во все сети. Через данный порт также разрешено получение DHCP-ответов.
Прекращение работы в режиме
блокировки
При перезапуске службы межсетевого экрана сервер Forefront TMG выходит из режима блокировки и возвращается к предыдущему режиму работы. Все изменения, внесенные в конфигурацию Forefront TMG, будут применены после выхода сервера Forefront TMG из режима блокировки.
Режим блокировки и ведение
журналов
Ошибки ведения журнала приводят к возникновению событий, которые инициируют встроенное предупреждение об ошибке записи в журнал. По умолчанию при появлении данного предупреждения служба межсетевого экрана выключается и сервер Forefront TMG переходит в режим блокировки.
В случае атак в журнале могут регистрироваться многочисленные события. По умолчанию, если ресурсы оказываются исчерпанными в результате атаки и серверу Forefront TMG не удается продолжить ведение журнала, сервер Forefront TMG инициирует событие, которое приводит к возникновению встроенного предупреждения об ошибке записи в журнал. При появлении данного предупреждения служба межсетевого экрана выключается и сервер Forefront TMG переходит в режим блокировки. Если действие, выполняемое при появлении предупреждения об ошибке записи в журнал, будет отключено, служба межсетевого экрана продолжит свою работу после возникновения ошибки записи в журнал. Дополнительные сведения об изменении этого поведения см. в разделе Поддержка журналов для исключения блокировки.