В этом разделе описывается процесс изменения правил веб-доступа. После создания правила веб-доступа с помощью мастера политики веб-доступа или мастер создания правила доступа можно выполнить более детальную настройку этого правила, внеся изменения в его свойства. Свойства правила доступа можно изменить, воспользовавшись следующей процедурой:
Изменение правила доступа
Чтобы изменить свойства правила доступа, выполните следующие действия:
-
В дереве консоли управления Forefront TMG щелкните узел Политика веб-доступа.
-
В области сведений щелкните правой кнопкой правило, которое нужно изменить, и выберите команду Свойства.
-
Выполните соответствующие действия по изменению требуемых значений.
Настройка свойств правила доступа
Можно выполнить любое из следующих действий для правила доступа.
- Включение и отключение
правила — определяет, будет ли действовать правило.
- Изменение действия
правила — определяет, будут ли запросы, соответствующие
правилу, приняты или отклонены.
- Изменение
уведомления о запрещении — определяет способ уведомления
пользователей о блокировании запросов, соответствующих правилу.
- Включение или
отключение ведения журнала для правила — определяет, будут ли
запросы, соответствующие правилу, заноситься в журнал.
- Изменение
протоколов для правила — определяет протоколы, применяемые к
правилу.
- Изменение источника
правил — определяет исходные сети, компьютеры, подсети или
диапазоны адресов (или наборы указанных выше элементов), к которым
будет применяться это правило.
- Изменение
адресов назначения правила— определяет сети , компьютеры,
подсети, диапазоны адресов и категории URL-адресов назначения (или
наборы указанных выше элементов), к которым будет применяться это
правило.
- Изменение
требований проверки подлинности для правила — определяет
требования к учетным записям пользователей для данного правила и
определяет, будет ли правило анонимным или оно должно применяться
только для наборов учетных записей пользователей, прошедших
проверку подлинности.
- Изменение расписания
для правила — определяет, когда будет действовать правило.
- Изменение типов
содержимого для правила — определяет типы MIME и расширения
файлов, к которым будет применяться это правило.
- Изменение параметров
обнаружения вредоносных программ для правила — определяет,
будет ли содержимое, загруженное с веб-серверов, сканироваться на
наличие вредоносных программ и следует ли изменить относящиеся к
правилу параметры проверки вредоносного программного
обеспечения.
Включение и отключение правила
Если правило отключено, оно не оценивается модулем обработки правил.
Чтобы включить или отключить правило, выполните следующие действия:
-
Перейдите на вкладку Общие и выполните одно из следующих действий.
- Чтобы включить правило, установите флажок
Включить.
- Чтобы отключить правило, снимите этот
флажок.
- Чтобы включить правило, установите флажок
Включить.
Изменение действия правила
Задайте действие, которое будет предпринято в случае удовлетворения всех условий, указанных в правиле.
Чтобы изменить действие правила, выполните следующие действия:
-
Перейдите на вкладку Действия и выполните одно из следующих действий.
- Чтобы разрешить трафик, соответствующий
правилу, выберите Разрешить.
- Чтобы запретить трафик, соответствующий
правилу, выберите Запретить.
- Чтобы разрешить трафик, соответствующий
правилу, выберите Разрешить.
Изменение уведомления о запрещении
Когда правило веб-доступа запрещает доступ к веб-сайту или набору веб-сайтов, можно создать настраиваемое сообщение, уведомляющее клиентов о том, что доступ им запрещен. Можно создать различные сообщения о запрете доступа для каждого правила в политике веб-доступа.
Чтобы создать настраиваемое сообщение о запрете доступа, выполните следующие действия:
-
На вкладке Действия правила запрета доступа в разделе Действие по запросу для запрещенного URL-адреса проверьте, что выбран элемент Отображать уведомление о запрете пользователю. В поле в разделе Добавить настраиваемый текст или HTML в уведомление (дополнительно), введите сообщение, которое требуется отобразить пользователям, которые пытаются получить доступ к заблокированным веб-сайтам.
Примечание. При этом можно использовать HTML-теги, такие как: <a href="mailto:admin@contoso.com?subject=Доступ к веб-сайту запреещн">Обратитесь к системному администратору</a
>.
-
Если правило блокирует доступ к категории URL-адресов, можно сообщить пользователям об этой категории URL-адресов заблокированных веб-сайтов, выбрав Добавить в уведомление категорию запрещенных запросов. Этот параметр доступ только в случае, когда включена фильтрация URL-адресов.
Чтобы перенаправить клиентов на настраиваемый веб-сайт, выполните следующие действия:
-
Можно также направить веб-клиенты на настраиваемую веб-страницу, размещенную на веб-сервере. Чтобы сделать это, выберите Перенаправить веб-клиента на следующий URL-адрес и введите полный URL-адрес, используя следующий формат: http://URL.
Включение или отключение ведения журнала для правила
При включенном ведении журнала, клиентские запросы, разрешенные или запрещенные этим правилом, будут сохранены в соответствующем журнале.
Чтобы включить или отключить ведение журнала:
-
Перейдите на вкладку Действия и выполните одно из следующих действий.
- Чтобы включить ведение журнала для этого
правила, установите флажок Регистрировать в журнале запросы,
подпадающие под данное правило.
- Чтобы отключить ведение журнала для этого
правила, снимите этот флажок.
- Чтобы включить ведение журнала для этого
правила, установите флажок Регистрировать в журнале запросы,
подпадающие под данное правило.
Изменение протоколов для правила
Правило доступа применяется к IP-трафику, используя протоколы, выбранные здесь. Правило, предназначенное для разрешения веб-трафика, будет разрешать использование протокола HTTP и (в зависимости от ваших требований) протоколов HTTPS и FTP.
Чтобы задать протоколы, применяемые к правилу, выполните следующие действия:
-
Перейдите на вкладку Протоколы и для параметра Данное правило применяется к выберите один из следующих вариантов.
- Чтобы указать, что данное правило применяется
только к протоколам, имеющим отношение к Интернету, выберите
Выбранные протоколы, а затем нажмите кнопку Добавить.
В диалоговом окне Добавление протокола разверните элемент
Интернет, выберите FTP, HTTP и HTTPS,
щелкая Добавить возле каждого их этих элементов, а затем
нажмите кнопку Закрыть.
Примечание. Не выбирайте протоколы, заканчивающиеся на «Server». Они используются для веб-публикаций, а не для исходящего доступа.
- Чтобы указать, что правило применяется ко
всем протоколам, выберите Весь исходящий трафик.
- Чтобы указать, что данное правило применяется
ко всему трафику, исключая выбранные протоколы, выберите Весь
исходящий трафик кроме выбранного, а затем нажмите кнопку
Добавить. В диалоговом окне Добавить протоколы
выберите нужный протокол, нажмите кнопку Добавить, а затем
кнопку Закрыть. Чтобы удалить протокол из правила, на
вкладке Протоколы выберите его из списка Протоколы и
нажмите кнопку Удалить.
Примечание. Для получения дополнительных сведений о создании и изменении определений настраиваемых протоколов см. раздел Configuring protocols.
- Чтобы указать, что данное правило применяется
только к протоколам, имеющим отношение к Интернету, выберите
Выбранные протоколы, а затем нажмите кнопку Добавить.
В диалоговом окне Добавление протокола разверните элемент
Интернет, выберите FTP, HTTP и HTTPS,
щелкая Добавить возле каждого их этих элементов, а затем
нажмите кнопку Закрыть.
-
Чтобы разрешить трафик только с конкретного диапазона портов, щелкните Порты, а затем выберите Ограничить доступ к трафику от данного диапазона исходных портов. Введите диапазон разрешенных исходных портов в поля Откуда и Куда.
-
Чтобы разрешить трафик только с конкретными характеристиками HTTP, щелкните Фильтрация, а затем выберите Настроить HTTP. Для получения дополнительных сведений о создании фильтра HTTP см. раздел Настройка фильтрации HTTP.
Изменение источника правил
Правило доступа применяется к запросам от сетевых сущностей, перечисленных на вкладке Откуда.
Чтобы изменить источники правил, выполните следующие действия
-
Перейдите на вкладку Откуда и выполните одно из следующих действий.
- Чтобы добавить источник трафика в правило
щелкните Добавить в списке Это правило применяется к
трафику от следующих источников. В диалоговым окном
Добавление сетевых сущностей выберите источники трафика, к
которым требуется применить это правило, нажмите кнопку
Добавить, а затем — кнопку Закрыть.
- Чтобы удалить источник трафик из правила,
выберите его в списке и нажмите кнопку Удалить.
- Чтобы добавить источник трафика в правило
щелкните Добавить в списке Это правило применяется к
трафику от следующих источников. В диалоговым окном
Добавление сетевых сущностей выберите источники трафика, к
которым требуется применить это правило, нажмите кнопку
Добавить, а затем — кнопку Закрыть.
-
Чтобы задать исключения из правила, щелкните Добавить в списке Исключения, а затем укажите сетевые сущности, к которым данное правило не применяется.
Изменение адресов назначения правила
Правило доступа применяется к запросам, направляемым сетевым сущностям, перечисленным на вкладке Куда.
Чтобы изменить адреса назначения правила, выполните следующие действия:
-
Перейдите на вкладку Куда и выполните одно из следующих действий.
- Чтобы добавить адреса назначение трафика в
правило щелкните Добавить в списке Это правило
применяется к трафику от следующих адресов назначения. В
диалоговым окном Добавление сетевых сущностей выберите
источники трафика, к которым требуется применить это правило,
нажмите кнопку Добавить, а затем — кнопку
Закрыть.
- Чтобы удалить адрес назначения трафика из
правила, выберите его в списке и нажмите кнопку Удалить.
- Чтобы добавить адреса назначение трафика в
правило щелкните Добавить в списке Это правило
применяется к трафику от следующих адресов назначения. В
диалоговым окном Добавление сетевых сущностей выберите
источники трафика, к которым требуется применить это правило,
нажмите кнопку Добавить, а затем — кнопку
Закрыть.
-
Чтобы задать исключения из правила, щелкните Добавить в списке Исключения, а затем укажите сетевые сущности, к которым данное правило не применяется.
Изменение требований проверки подлинности для правила
Правило доступа применяется к наборам учетных записей, перечисленным на вкладке Пользователи.
Чтобы изменить требования проверки подлинности для правила, выполните следующие действия:
-
Перейдите на вкладку Пользователи.
Примечание. Чтобы указать, что правило является анонимным и пользователям не требуется проходить проверку подлинности для правила, в списке наборов учетных записей должно быть выбрано значение Все пользователи. -
Чтобы добавить набор учетных записей в правило, нажмите кнопку Добавить, а затем в диалоговом окне Добавление пользователей выберите следующие параметры.
- Чтобы доступ предоставлялся только тем
пользователям, которые могут успешно пройти проверку подлинности,
выберите параметр Все прошедшие проверку пользователи.
- Чтобы задать анонимный доступ, выберите
параметр Все пользователи.
- Можно также выбрать настраиваемую группу
пользователей, если таковая создана. Дополнительные сведения см. в
разделе Configuring user sets.
- Чтобы доступ предоставлялся только тем
пользователям, которые могут успешно пройти проверку подлинности,
выберите параметр Все прошедшие проверку пользователи.
-
Чтобы задать исключения для правила, в списке Исключения щелкните Добавить, а затем укажите пользователей, исключаемых из требований проверки подлинности для правила.
Примечание. - При задании правила, требующего проверки
подлинности, эта проверка осуществляется в соответствии с методом
проверки подлинности веб-прокси для исходной сети, заданной на
вкладке Откуда правила.
- Если в свойствах веб-прокси исходной сети
задана обязательная проверка подлинности, то эта настройка будет
иметь преимущество над настройками проверки подлинности указанного
правила. Дополнительные сведения см. в разделе Planning Web
access authentication.
- Если в правиле содержится требование проверки
подлинности, то пользователям, которые не могут предоставить
учетные данные для проверки подлинности, в доступе будет отказано,
так же как и пользователям, предоставившим учетные данные, проверка
подлинности которых заканчивается неудачей.
- При задании правила, требующего проверки
подлинности, эта проверка осуществляется в соответствии с методом
проверки подлинности веб-прокси для исходной сети, заданной на
вкладке Откуда правила.
Изменение расписания для правила
Чтобы изменить расписание для правила, выполните следующие действия:
-
Перейдите на вкладку Расписание.
-
В списке Расписание выберите один из следующих параметров.
- Всегда, чтобы задать, что правило
применяется всегда.
- Выходные дни, чтобы задать, что
правило применяется только по субботам и воскресеньям.
- Рабочие часы, чтобы задать, что
правило применяется в период с понедельника по пятницу с 9:00
до17:00 часов.
Примечание. - Можно изменить дни и время для этих
стандартных расписаний либо создать новые расписания.
Дополнительные сведения о создании и изменении расписаний см. в
разделе Configuring schedules.
- После изменения правила в целях его
использования только в определенное время (путем настройки
расписания) измененное правило будет применяться только к новым
подключениям. Существующие подключения будут продолжать пропускать
трафик даже в то время, когда это не разрешено.
- Всегда, чтобы задать, что правило
применяется всегда.
Изменение типов содержимого для правила
Чтобы задать типы содержимого, применяемые к правилу, выполните следующие действия.
-
Откройте вкладку Типы содержимого.
-
Щелкните Выбранные типы содержимого и выберите в списке Типы содержимого требуемые наборы типов.
-
Чтобы просмотреть список типов файлов и типов MIME, относящихся к выбранному типу содержимого, выполните следующие действия.
- Выберите набор типов содержимого и щелкните
Сведения.
- Перейдите на вкладку Типы содержимого окна Свойства
приложения и просмотрите список Выбранные типы.
- Чтобы добавить тип файлов или тип MIME в список Типы
содержимого, выберите нужный тип в списке Доступные
типы.
- Когда все будет готово, нажмите кнопку ОК.
- Выберите набор типов содержимого и щелкните
Сведения.
-
Чтобы определить новый тип содержимого, щелкните Создать и укажите параметры для типа содержимого.
Примечание. |
---|
Дополнительные сведения о типах содержимого см. в разделе Configuring content types. |
Изменение параметров обнаружения вредоносных программ для правила
Изменение параметров обнаружения вредоносных программ для правила
-
Перейдите на вкладку Проверка наличия вредоносных программ.
-
Чтобы включить проверку наличия вредоносных программ для трафика, разрешенного данным правилом, выберите Проверять содержимое, загружаемое с веб-серверов на клиенты.
-
Хотя рекомендуется сохранить настройки по умолчанию, можно задать параметры проверки наличия вредоносных программ, отличные от глобальных. Чтобы это сделать, щелкните Использовать настройки проверки наличия вредоносных программ, заданные для правила. Затем нажмите Параметры правила, чтобы более точно задать пороговые значения блокирования проверки наличия вредоносных программ и другие параметры для данного правила. Обратите внимание на следующее.
- Если выбран параметр Пытаться очистить
зараженные файлы, файлы, которые не могут быть очищены,
удаляются. Чтобы уведомить пользователя, что файл был заблокирован,
выводится специальная HTML-страница.
- Параметр Блокировать подозрительные
файлы предназначен для блокирования файлов, которые могут быть
заражены неизвестными вредоносными программами.
- Параметр Блокировать поврежденные
файлы по умолчанию отключен. Включение этого параметра может
привести к ошибочному результату и блокированию незараженных
файлов.
- Параметр Блокировать файлы, если глубина
вложенности архива превышает блокирует вредоносные программы,
которые появляются в архивах с глубокой вложенностью, чтобы
избежать проверки.
- Параметр Блокировать архивные файлы, если
размер распакованного содержимого превышает (МБ) предназначен
для избежания распаковки небольших архивных файлов в файлы большого
размера.
- Если выбран параметр Пытаться очистить
зараженные файлы, файлы, которые не могут быть очищены,
удаляются. Чтобы уведомить пользователя, что файл был заблокирован,
выводится специальная HTML-страница.
Примечание. |
---|
Настроить для правила обнаружение вредоносных программ можно только в том случае, если оно глобальное. Дополнительные сведения см. в разделе Включение проверки наличия вредоносных программ. |
Примечание. |
---|
Чтобы сканировать трафик HTTPS на наличие вредоносных программ, необходимо включить проверку HTTPS. Дополнительные сведения см. в разделе Настройка проверки HTTPS. |
© Корпорация Майкрософт, 2009 Все права защищены.