Прежде чем создавать сети
После установки можно создать новые и изменить предопределенные сети. Прежде чем приступать к работе, изучите следующие принципы.
- Сервер Шлюз Microsoft Forefront Threat Management должен быть
снабжен по крайней мере одним настроенным и включенным сетевым
адаптером. Компьютер Forefront TMG, снабженный только одним сетевым
адаптером, имеет некоторые функциональные ограничения.
Дополнительные сведения см. в разделе Ограничения при
использовании одной сетевой платы.
- Для каждой создаваемой сети необходимо иметь выделенный сетевой
адаптер. Например, чтобы создать топологию, включающую внутреннюю
корпоративную сеть, Интернет и демилитаризованную зону, необходимо
установить и включить на компьютере Forefront TMG три сетевых
адаптера. Однако существуют исключения. В конфигурации с двумя
межсетевыми экранами, в которой Интернет находится за
демилитаризованной зоной, не требуется сетевой адаптер для внешней
сети. Кроме того, не нужен адаптер для сетевого объекта VPN типа
«сеть-сеть».
- Все IP-адреса, к которым можно обращаться непосредственно с
сетевого адаптера, должны относиться к сети Forefront TMG,
связанной с этим адаптером. Необходимо надлежащим образом добавить
все удаленные подсети в определение сети, а диапазон IP-адресов
сети должен соответствовать таблице маршрутизации. Для каждой
удаленной подсети в таблице маршрутизации должны быть определены
маршруты.
- Сетевой адаптер может не иметь адреса или иметь несколько
адресов и должен быть связан только с одной сетью Forefront TMG. Не
допускается перекрытие диапазонов адресов в сети.
- Не используйте динамические адреса на сетевых адаптерах
Forefront TMG за исключением случаев, когда адаптер связан с
внешней сетью.
- Основной шлюз следует настраивать только на одном из сетевых
адаптеров Forefront TMG. Для такого адаптера следует настраивать
только один основной шлюз. Как правило, это делается на адаптере
внешней сети, который обеспечивает шлюз Интернета для сервера
Forefront TMG.
- Все IP-адреса, не входящие в защищенные сети Forefront TMG,
считаются частью внешней сети.
Каждый раз, когда сетевой адаптер получает пакет, сервер Forefront TMG проверяет, является ли исходный IP-адрес пакета допустимым для сетевого адаптера, получившего пакет. Если адрес не является допустимым, сервер Forefront TMG оповещает об атаке путем подделки IP-адреса. IP-адрес считается допустимым для определенного сетевого адаптера, если выполнены два условия.
- IP-адрес относится к сети адаптера, через который он был
получен.
- Таблица маршрутизации указывает, что трафик, направляемый на
этот адрес, может быть доставлен через адаптер, относящийся к этой
сети.
Пакет считается поддельным (и поэтому отбрасывается), если выполняется одно из следующих условий.
- Пакет содержит исходный IP-адрес, который (в соответствии с
таблицей маршрутизации) недоступен через сетевой адаптер, связанный
с сетью.
- Пакет содержит исходный IP-адрес, который не входит в диапазон
адресов сети, связанной с сетевым адаптером.
В случае обнаружения поддельного пакета сервер Forefront TMG создает оповещение, указывающее причину, по которой пакет считается поддельным.