На многих страницах свойств имеется кнопка Применить, которую нужно нажать, чтобы сохранить изменения конфигурации в памяти. Однако изменения конфигурации фактически не сохраняются в памяти, пока вы не нажмете кнопку Применить на панели «Принять изменения».

Панель «Принять изменения» появляется автоматически при внесении изменений в конфигурацию. Для использования изменений нажмите кнопку Применить на панели «Принять изменения». Для отмены внесенных изменений нажмите кнопку Не применять на панели «Принять изменения». В случае нажатия кнопки Не применять на панели «Принять изменения» любая конфигурация, сохраненная в памяти, удаляется.

При применении изменений к политике межсетевого экрана Шлюз Microsoft Forefront Threat Management проверяет, все ли существующие клиентские подключения соответствуют новой политике, и закрывает неразрешенные подключения.

Применение политики происходит при установлении соединения и изменении определенных элементов правил:

Откуда - порт и адрес (источника)
Куда - URL-адреса, имена, адреса (назначение)
Расписание. Если правило политики межсетевого экрана содержит расписание, Forefront TMG будет непрерывно проверять, не истек ли срок действия запроса, соответствующего этому правилу. Если срок истек, Forefront TMG закроет подключение, при условии если оно в данный момент не разрешено. Обратите внимание: это может быть вызвано изменением в политике или настройки часов на сервере Forefront TMG, например, если сервер Forefront TMG вновь присоединяется к домену, а локальные часы синхронизируются с доменом.
Другие элементы политики: Наборы учетных записей и типы содержимого, применяемые для оценки политики при первичной установке соединения, также используются для повторной оценки.

Важно.
В случае изменения элементов правил, которые необязательно будут повторно оцениваться, таких как наборы учетных записей и типы содержимого, и при этом важно, чтобы существующие подключения не нарушали новую политику, необходимо вручную завершить сеансы клиентов в окне «Управление Forefront TMG», как описано в разделе Наблюдение за клиентскими сеансами, или перезапустить службу межсетевого экрана.

Важно.

В случае изменения элементов правил, которые необязательно будут повторно оцениваться, таких как наборы учетных записей и типы содержимого, и при этом важно, чтобы существующие подключения не нарушали новую политику, необходимо вручную завершить сеансы клиентов в окне «Управление Forefront TMG», как описано в разделе Наблюдение за клиентскими сеансами, или перезапустить службу межсетевого экрана.

Примечания.

После нажатия кнопки Применить в области сведений политика обновляется и запускается повторная оценка политики в фоновом режиме. По завершении процесса повторной оценки появится оповещение о том, что все существующие подключения межсетевого экрана, кроме HTTP-запросов, были повторно оценены.
Первая переоценка существующих HTTP-сеансов происходит при обмене трафиком через соответствующее соединение. Таким образом, возможна ситуация, когда некоторые HTTP-сеансы существуют в представлении «Наблюдение за сеансами», даже если они не разрешены новой политикой, до тех пор, пока через эти соединения не передается трафик.
В переоценке политики не учитываются ее настраиваемые элементы, связанные с фильтрами приложения. Например, если добавить интерфейс в определение RPC, используемое в правиле отказа, существующие подключения к этому интерфейсу не будут закрыты. Аналогично, если отключить SMTP-команду в SMTP-фильтре, существующие подключения, которые используют эту команду, не будут закрыты.
Изменения в определениях протоколов (свойств протокола или добавление новых протоколов) не влияют на существующие подключения. Подключение связано с конкретным протоколом (например HTTP, FTP) только в процессе соединения, и эта связь остается неизменной в период соединения. Например, если подключение было связано с протоколом FTP (порт 21), а позднее был добавлен элемент другого протокола с тем же портом 21, это подключение по-прежнему будет соответствовать правилам политики, содержащим протокол FTP, и не будет удовлетворять правилам политики, не имеющим протокол FTP, даже если они содержат заново определенный протокол.

Примеры

Далее приведены несколько сценариев, в которых изменяется политика межсетевого экрана, для иллюстрации выполнения требований.

Требование проверки подлинности

Проверка подлинности веб-клиента и клиента межсетевого экрана выполняется при установлении соединения или при первом инициировании HTTP-запроса. Если первоначально был разрешен анонимный доступ, а затем была изменена политика межсетевого экрана с целью проверки подлинности, то проверка подлинности не применяется к существующему клиентскому подключению. В этом случае подключение остается анонимным (без проверки подлинности) и будет закрыто, если отсутствует правило, которое его разрешает.

Изменение схемы проверки подлинности

Можно изменить тип проверки подлинности, требуемый правилом публикации. В этом случае Forefront TMG будет использовать данные предыдущей проверки подлинности, представленные клиентом. Это может продлить сеанс, даже если клиент не прошел проверку подлинности по новой схеме.

Изменение разрешенного типа содержимого

Если первоначально отсутствовало ограничение на тип содержимого, разрешенный в правиле HTTP-доступа, а новое правило разрешает доступ только для особых типов содержимого, запрос для разрешенного типа содержимого может быть отклонен, а сеанс, который использует разрешенный тип содержимого, - закрыт. Однако в некоторых случаях тип содержимого может быть извлечен из запрошенного URL-пути, затем эти сведения будут использованы для сопоставления политики. Повторное согласование с веб-сервером не выполняется.

Примечание.

В общем случае переоценка политики существующих подключений использует сведения, полученные в процессе первичной установки соединения, и не выполняет повторное согласование установления соединения с сервером. Если новая политика более строгая, это может привести к закрытию подключения, даже если эта политика его разрешает.