В этом разделе описывается порядок планирования управления доступом к внутренней сети и из нее. Forefront TMG обеспечивает управление доступом к внутренней сети и его защиту за счет проверки и фильтрации трафика, передаваемого между внутренней сетью и Интернетом, между сетями, а также между сервером Forefront TMG и службами, с которыми он взаимодействует.
В следующих разделах описываются:
Политики и наборы правил
Forefront TMG обеспечивает управление доступом к внутренней сети за счет применения политик, разрешающих или запрещающих подключения сетей. Поддерживаются политики следующих типов:
- Политика межсетевого экрана — проверка и
фильтрация подключений между внутренней сетью и Интернетом.
Политика межсетевого экрана включает в себя следующие наборы
правил:
- Правила доступа — управление исходящим
веб-доступом, то есть доступом из внутренней сети в Интернет.
- Правила веб-публикации — управление доступом
из внешней сети к опубликованным веб-серверам во внутренней
сети.
- Правила публикации сервера — управление
доступом из внешней сети к опубликованным серверам, не являющимся
веб-серверами.
- Правила доступа — управление исходящим
веб-доступом, то есть доступом из внутренней сети в Интернет.
- Системная политика — управление трафиком,
поступающим в сеть локального узла и из нее (сервер Forefront TMG),
чтобы разрешить трафик и протоколы, необходимые для Forefront TMG
для реализации проверки подлинности, членства в домене, диагностики
сети, ведения журнала и удаленного управления. В Forefront TMG
предусмотрен предопределенный набор правил, создаваемый во время
установки системы. Можно включать и отключать отдельные правила,
изменять назначения правил. Удаление существующих и создание новых
правил не поддерживается. Дополнительные сведения см. в разделе
Системная
политика.
Примечание. На консоли управления Forefront TMG в узле "Политика межсетевого экрана" можно просмотреть и изменить правила системной политики. - Сетевые правила — разрешение на
взаимодействие между ресурсам в одной сети и ресурсами в других
сетях, а также определение типа взаимосвязи (маршрутизация или
преобразование сетевых адресов), которая существует между
источником и пунктом назначения. Дополнительные сведения см. в
разделе Отношения
сетей.
Обработка запросов
Перед изменением и созданием правил политик ознакомьтесь со сведениями о порядке обработки запросов в Forefront TMG:
- Порядок
обработки запросов
- Общие
сведения о правилах доступа
- Общие сведения о
правилах публикации
- Обработка имен и
адресов
- Обработка правил
доступа, требующих проверки подлинности
Дополнительные сведения о применении политик в Forefront TMG см. в разделе Применение политики.
Порядок обработки запросов
В Forefront TMG обработка запросов выполняется следующим образом:
- Проверяется соответствие запроса сетевым правилам, чтобы
убедиться в наличии необходимых отношений сетей между источником и
назначением запроса.
Примечание. Трафик, обрабатываемый фильтром веб-прокси, не проверяется на соответствие сетевым правилам. - Проверяется соответствие запроса правилам системной политики на
наличие среди них правила, которое разрешает или запрещает этот
запрос.
- Проверяется соответствие запроса правилам политики межсетевого
экрана в том порядке, в котором они появляются в списке.
- Сопоставив запрос правилу, Forefront TMG вновь проверяет
сетевые правила (исключая трафик, обрабатываемый фильтром
веб-прокси), чтобы определить, следует ли применять к трафику
маршрутизацию или преобразование сетевых адресов (NAT).
Общие сведения о правилах доступа
Обычно запросы от внутренних клиентов обрабатываются согласно правилам доступа. Правила доступа настраиваются только определениями исходящего протокола. При получении запроса Forefront TMG сопоставляет правило доступа с запросом, проверяя элементы правила в следующем порядке:
- Протокол — правило определяет один или
несколько протоколов с исходящим направлением.
- Откуда — адрес источника, определенный в
правиле. Источником может быть вся сеть, набор сетей, один или
несколько компьютеров, диапазон IP-адресов или подсеть.
- Расписание — расписание правила определяет
его применение.
- Куда — назначение, определяемое в правиле.
Пунктом назначения может быть вся сеть, набор сетей, компьютер или
набор компьютеров, диапазон IP-адресов, подсеть, набор доменных
имен или набор URL-адресов. В некоторых случаях может потребоваться
поиск DNS для проверки соответствия запроса. Дополнительные
сведения см. на странице Обработка наборов доменных имен и URL-адресов (страница
может быть на английском языке)
(http://go.microsoft.com/fwlink/?LinkId=159771).
- Пользователи — правило применяется ко всем
пользователям (для анонимного доступа), к пользователям, прошедшим
проверку подлинности (к любому пользователю, успешно прошедшему
проверку), или к заданной группе пользователей.
- Группы содержимого — правило применяется к
заданным типам содержимого.
Если запрос соответствует разрешающему правилу, он разрешается. После обнаружения соответствующего правила Forefront TMG не оценивает последующие правила. Правила доступа, которые запрещают трафик, обрабатываются раньше правил публикации. Если запрос соответствует правилу доступа, то запрос отклоняется, даже если правило публикации разрешает этот запрос.
Общие сведения о правилах публикации
В Forefront TMG используются следующие наборы правил публикации, позволяющие предоставлять доступ из внешней сети к серверам, опубликованным во внутренней сети:
- Правила веб-публикации — разрешение доступа к
опубликованным веб-серверам. Для HTTP- или HTTPS-запросов к
веб-прослушивателю Forefront TMG проверяет правила публикации, а
затем правила веб-цепочки, чтобы определить, разрешен запрос или
нет, и как его надо обрабатывать.
- Правила публикации сервера — разрешение
доступа к опубликованным серверам, не являющимся веб-серверами. Для
не HTTP-запросов Forefront TMG проверяет сетевые правила, а затем
правила публикации, чтобы определить, разрешены запросы или
нет.
Обработка имен и адресов
HTTP-запросы могут содержать имена, полные доменные имена (FQDN) или IP-адреса. В Forefront TMG обработка имен и адресов выполняется следующим образом:
- Если HTTP-запрос содержит имя сайта, например
http://www.fabrikam.com, Forefront TMG выполняет прямое разрешение
имен для DNS-сервера, чтобы получить сопоставленное полное доменное
имя, псевдонимы и IP-адреса. Затем Forefront TMG предпринимает
попытку сопоставить эти элементы с правилом.
- Если HTTP-запрос содержит IP-адрес, Forefront
TMG сначала проверяет соответствие правила этому адресу. Во время
этого процесса, если Forefront TMG обнаруживает правило, требующее
имя, то выполняется обратное разрешение имени, чтобы получить
полное доменное имя для этого IP-адреса. Затем Forefront TMG может
сравнить полное доменное имя с определениями правил доступа.
- Если выполнить обратное разрешение имени не
удается, то для сравнения с определениями правил используется
только исходный IP-адрес в запросе.
Примечание. |
---|
Если клиент SecureNAT запрашивает сайт по имени, Forefront TMG сначала проверяет, чтобы содержимое заголовка сайта не маскировало не относящийся к нему IP-адрес, запрошенный клиентом. В случае успешного завершения проверки процесс продолжается так же, как и для клиента веб-прокси. |
Обработка правил доступа, требующих проверки подлинности
При обработке правил, требующих проверки подлинности, Forefront TMG требует, чтобы клиент представил учетные данные. Если клиент не может представить учетные данные, то запрос отклоняется еще до оценки правила. Клиенты SecureNAT не могут представить учетные данные, и, если запрос от клиента SecureNAT соответствует правилу, которое требует проверки подлинности, запрос отклоняется.
Отношения сетей
Сетевые правила определяют порядок передачи трафика между исходной сетью и сетью назначения. В каждом сетевом правиле можно использовать одно из следующих отношений:
Отношение маршрутизации
Отношения маршрутизации являются двунаправленными. Например, если сетевое правило определяет отношение маршрутизации из сети А в сеть В, то также существует отношение маршрутизации из сети В в сеть А. Запросы клиентов из исходной сети или сети назначения перенаправляются в другую сеть без изменения IP-адресов источника и назначения. Используйте отношение маршрутизации, когда не требуется скрывать IP-адреса между сетями. Это общая конфигурация между двумя сетями с общими IP-адресами или между двумя сетями с частными адресами. В обоих случаях узлы в каждой сети должны определять IP-адрес Forefront TMG в своей локальной сети как маршрут к другой сети. Во многих случаях достаточно определения IP-адреса Forefront TMG как шлюза по умолчанию. При создании правил доступа или правил публикации сервера отношение маршрутизации влияет на трафик следующим образом.
- При использовании правил доступа Forefront
TMG пересылает трафик, сохраняя IP-адреса источника и
назначения.
- При использовании правил публикации сервера
Forefront TMG пересылает трафик, как и в случае правил доступа, но
непосредственно использует фильтры приложения. Например, фильтр
протокола SMTP не используется для SMTP-трафика, обрабатываемого
правилом доступа, а используется с трафиком, обрабатываемым
правилом публикации сервера.
Отношение NAT
Отношения преобразования сетевых адресов (NAT) между сетями являются однонаправленными. Трафик передается в соответствии с источником или назначением трафика. В Forefront TMG преобразование сетевых адресов выполняется следующим образом:
- В правилах доступа Forefront TMG заменяет
клиентский IP-адрес в исходной сети на IP-адрес Forefront TMG по
умолчанию для сети назначения. Например, если создается отношение
NAT в сетевом правиле между внутренней и внешней сетью, IP-адрес
источника запроса из внутренней сети будет заменен IP-адресом по
умолчанию сетевого адаптера Forefront TMG, подключенного к внешней
сети. Правила доступа, которые управляют передачей трафика между
сетями, определенные с отношением NAT, могут использовать только
исходную сеть, указанную на вкладке Откуда, и сеть
назначения, указанную на вкладке Куда правила.
- В правилах публикации сервера клиент в сети
назначения создает подключение к IP-адресу Forefront TMG, на
котором правило публикации прослушивает запросы. Когда Forefront
TMG пересылает трафик опубликованному серверу, он заменяет IP-адрес
Forefront TMG на IP-адрес публикуемого внутреннего сервера, но не
изменяет IP-адрес источника. Обратите внимание: в отношении NAT
правила публикации сервера могут только получать доступ к сети,
указанной как сеть назначения. Кроме того, поскольку публикация
сервера через сети с NAT оставляет IP-адрес источника нетронутым
при перенаправлении трафика опубликованному серверу, опубликованный
сервер должен использовать компьютер Forefront TMG на последнем
этапе в схеме маршрутизации к сети назначения. Если это невозможно,
настройте правила публикации сервера для использования параметра
Запросы поступили от компьютера Forefront TMG. Это
приведет к тому, что Forefront TMG выполняет полное преобразование
NAT для трафика, обрабатываемого по этому правилу.