В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.

В области сведений щелкните правой кнопкой правило, которое нужно изменить, и выберите команду Настроить HTTP. Откроется диалоговое окно Настроить политику HTTP для правила.

Настройте фильтрацию HTTP в соответствии с потребностями сети предприятия, используя инструкции, указанные в следующих процедурах.

Перейдите на вкладку Общие в диалоговом окне Настроить политику HTTP для правила

В поле Максимальная длина заголовков (байт) укажите максимальное количество байтов, которое может использоваться в URL-адресе и HTTP-заголовке запроса HTTP, при превышении которого происходит блокировка.

Примечание.
Этот параметр применяется ко всем правилам, то есть его изменение в одном правиле отражается на всех остальных правилах.

Снимите флажок Разрешить любую длину полезных данных, чтобы включить блокировку запросов с превышением числа байтов, указанного в поле Максимальная длина полезных данных (байт).

В поле Максимальная длина URL-адреса (байт) введите максимально допустимую длину URL-адреса. Запросы, длина URL-адреса которых превышает это значение, будут блокироваться.

В поле Максимальная длина запроса (байт) введите максимально допустимую длину запроса. Запросы, длина которых превышает это значение, будут блокироваться.

Выберите параметр Проверять нормализацию, чтобы включить блокировку запросов с URL-адресами, содержащими переключенные знаки после нормализации.

Примечание.
Хотя рекомендуется использовать функцию проверки нормализации, однако следует иметь в виду, что она может заблокировать допустимые запросы, содержащие знак %.

Выберите параметр Блокировать символы расширенного набора, чтобы включить блокировку URL-адресов, содержащих символы из расширенного набора.

Выберите параметр Блокировать запросы, содержащие исполняемое содержимое Windows, чтобы включить блокировку ответов, содержащих исполняемое содержимое Windows (это ответы, начинающиеся с символов "MZ").

Перейдите на вкладку Методы в диалоговом окне Настроить политику HTTP для правила

В разделе Укажите действие для HTTP-методов выберите действие, которое следует выполнять для перечисленных методов. Можно либо разрешить все методы, либо заблокировать перечисленные и разрешить все остальные, либо разрешить перечисленные и заблокировать все остальные. Рекомендуется разрешать только выбранные методы, так как это наиболее безопасная конфигурация.

Чтобы добавить метод, нажмите кнопку Добавить. В диалоговом окне Метод введите метод, который требуется добавить.

Чтобы удалить существующий метод, выберите его из списка и нажмите кнопку Удалить.

Чтобы изменить существующий метод, выберите его из списка и нажмите кнопку Изменить.

Перейдите на вкладку Расширения в диалоговом окне Настроить политику HTTP для правила.

В разделе Укажите действия для расширений файлов выберите нужное действие.

Выберите параметр Блокировать запросы, содержащие неоднозначные расширения, чтобы включить блокировку запросов с расширениями, которые не могут быть определены.

Чтобы добавить расширение, нажмите кнопку Добавить. В диалоговом окне Расширение введите расширение, которое необходимо добавить.

Чтобы изменить существующее расширение, выберите его из списка и нажмите кнопку Изменить.

Чтобы удалить существующее расширение, выберите его из списка и нажмите кнопку Удалить.

Перейдите на вкладку Заголовки в диалоговом окне Настроить политику HTTP для правила.

Нажмите кнопку Добавить, чтобы добавить заголовок, который требуется блокировать. Затем в диалоговом окне Заголовок выберите в поле Искать в один из параметров: Заголовки запросов или Заголовки ответов и введите имя заголовка. Разрешаются все заголовки, кроме тех, которые отображаются в списке Разрешать все заголовки, кроме следующих.

Чтобы изменить заголовок, выберите его в списке и нажмите кнопку Изменить. Чтобы снять блокировку с заголовка, находящегося в списке блокировки, выберите его и нажмите кнопку Удалить.

В поле Заголовок сервера укажите способ возврата заголовка сервера в ответе. Заголовок сервера — это заголовок ответа, содержащий информацию об имени серверного приложения и сведения о версии программы, например HTTP: Server = Microsoft-IIS/6.0. Доступны следующие параметры.

• Отправить исходный заголовок — исходный заголовок будет возвращен в ответе.
  
  
• Вырезать заголовок из ответа — в ответе не будет возвращено ни одного заголовка.
  
  
• Изменить заголовок в ответе — при выборе этого параметра, в поле Изменить на требуется ввести значение, которое отображается в ответе. Рекомендуется изменять заголовки серверов. Значение, отображаемое в ответе, может быть любым, так как заголовки серверов редко используются клиентами.
  
  

В разделе Заголовок VIA укажите способ пересылки заголовка VIA в запросе или его возврата в ответе. Описание см. в подразделе "Максимальная длина запроса (байт)" раздела Планирование фильтрации HTTP.

Доступны следующие параметры.

• Отправить заголовок по умолчанию — будет использоваться заголовок по умолчанию.
  
  
• Изменить заголовок в запросе и ответе — заголовок VIA будет заменен измененным заголовком. Выбрав этот параметр, в поле Изменить на введите заголовок, который будет отображаться вместо заголовка VIA.
  
  

Перейдите на вкладку Подписи в диалоговом окне Настроить политику HTTP для правила.

Нажмите кнопку Добавить, чтобы добавить заблокированную подпись. Затем в диалоговом окне Подписи выполните следующие действия.

• В поле Искать в укажите место отображения подписи: в URL-адресе, теле или заголовке запроса либо в теле или заголовке ответа.
  
  
• В поле Заголовок HTTP введите имя заголовка, если указана подпись для типа заголовка.
  
  
• В поле Подпись введите строку подписи. Подписью может быть любая строка в заголовке или теле запроса. Рекомендуется выбирать строки, которые являются уникальными — это гарантирует блокировку только нужных запросов или ответов. Например, если в качестве подписи добавить букву «a», блокироваться будут все запросы и ответы, содержащие эту букву. Аналогично при использовании подписи «Mozilla» будет блокироваться большинство веб-обозревателей. Наиболее типичны следующие подписи: User-Agent: adatum-software-abc.
  
  
• В разделе Диапазон байтов укажите значения в полях От и До, если в качестве типа подписи выбрано "Текст ответа" или "Текст запроса". По умолчанию Forefront TMG проверяет только первые 100 байтов в теле запроса или ответа. Увеличение этого значения может снизить производительность системы.
  
  

Подписи можно включать и отключать посредством расположенных рядом с ними флажков. Щелкните Отображать только включенные строки поиска, чтобы в списке отображались только включенные подписи.

Чтобы изменить заблокированную подпись, выберите ее в списке Блокировать содержимое, содержащее данные подписи и нажмите кнопку Изменить.

Чтобы разрешить заблокированную подпись, выберите ее в списке Блокировать содержимое, содержащее данные подписи и нажмите кнопку Удалить.

Добавление средств наблюдения за сетью Windows Это действие выполняется в разделе «Средства управления и наблюдения» дополнительных компонентов Windows.

Чтобы открыть сетевой монитор после установки, нажмите кнопку Пуск, затем выберите Администрирование и Сетевой монитор. Если появится сообщение с предложением выбрать сеть, закройте его.

В диалоговом окне Выбор сети разверните узел Локальный компьютер. Если внутренние клиенты расположены во внутренней сети Forefront TMG по умолчанию, выберите вариант Внутренняя, чтобы включить отслеживание подписей, используемых этими клиентами. Это позволит блокировать доступ клиентов к определенным Интернет-службам путем использования отслеживаемых подписей.

Сетевой монитор будет записывать все пакеты из внутренней сети. Результаты можно отфильтровать после записи; либо можно создать фильтр перед началом работы монитора. Чтобы создать фильтр заранее, выберите в меню пункт Запись, а затем Фильтр (либо нажмите клавишу F8). В диалоговом окне Фильтр записи выберите запись INCLUDE *ANY < - > *ANY и нажмите кнопку Изменить.

Щелкните Изменение адресов, затем в разделе Добавить выберите Адрес. В диалоговом окне Выражение адреса щелкните Изменение адресов.

В диалоговом окне База данных адресов нажмите кнопку Добавить, чтобы открыть диалоговое окно Информация адреса.

В диалоговом окне Информация адреса укажите имя клиентского компьютера. Введите IP-адрес клиентского компьютера в поле Адрес, а затем в списке Тип выберите "IP". Далее нажмите кнопку ОК и Закрыть, чтобы закрыть диалоговое окно База данных адресов.

Убедитесь, что в разделе Выражение адреса выбран параметр Включить. В столбце Станция 2 выберите только что созданный клиент. Оставьте значение в поле Направление по умолчанию (оба направления), выберите в качестве пункта назначения в столбце Станция 1 компьютер Forefront TMG, а затем нажмите кнопку ОК.

Нажмите кнопку ОК, чтобы закрыть диалоговое окно Фильтр записи.

В случае большого объема трафика между двумя данными компьютерами может потребоваться увеличить буфер записи. Это можно выполнить с помощью меню, щелкнув Запись и выбрав Параметры буфера. В диалоговом окне Параметры буфера записи увеличьте значение в поле Размер буфера. Нажмите кнопку ОК.

Закройте в клиенте все приложения, кроме того, для которого требуется записать подпись.

В меню Сетевой монитор выберите Запись, а затем — "Начать" (или нажмите клавишу F10).

Запустите приложение на клиентском компьютере. Например, войдите в Windows Live™ Messenger или AOL Instant Messenger.

В меню Сетевой монитор выберите Запись, а затем — нажмите Остановить и просмотреть (или нажмите сочетание клавиш SHIFT+F11). Проверьте записанные пакеты. Обычно четвертый пакет (следующий после пакетов подтверждения SYN, SYNACK и ACK) является пакетом HTTP-запроса с клиентского компьютера и содержит искомую информацию, хотя может понадобиться поиск и в последующих пакетах.

Чтобы просмотреть сведения пакета, дважды щелкните его. Найдите уникальную подпись, связанную с приложением, которое требуется заблокировать. Если пакет был тщательно проанализирован сетевым монитором, в области сведений (центральная область) можно просмотреть и выбрать отдельно любые заголовки, а также просмотреть подпись полностью в области Hex (нижняя область). Если пакет не проанализирован, подпись нужно найти в области Hex.