В этом разделе описывается настройка Forefront TMG для помещения VPN-клиентов удаленного доступа на карантин с использованием службы карантина для удаленного доступа (RQS) и клиента карантина для удаленного доступа (RQC). Управление карантином обеспечивает поэтапный доступ к сети для удаленных клиентов, переводя их в режим карантина до того, как они получают доступ к сети.
Механизм для управления карантином предусматривается двумя компонентами программного обеспечения. Служба карантина для удаленного доступа (Rqs.exe) запускается на компьютере Forefront TMG как компонент прослушивателя. Клиент карантина для удаленного доступа (Rqc.exe) выполняется на компьютере клиента удаленного доступа как компонент уведомления, который информирует компонент прослушивателя о том, что клиентский компьютер соответствует требованиям политики безопасности.
После того как конфигурация клиентского компьютера приведена в соответствие с особыми ограничениями карантина в вашей организации, к соединению применяется стандартная политика VPN в соответствии с типом карантина, который был задан.
Включение и настройка управления карантином
Включение и настройка управления карантином
-
В дереве консоли управления Forefront TMG щелкните узел Политика удаленного доступа (VPN), а затем в области сведений выберите вкладку VPN-клиенты.
-
На вкладке Задачи щелкните Настроить управление карантином.
-
На вкладке Карантин выберите пункт Включить управление карантином.
-
Выберите одну из следующих возможностей.
- Помещать в карантин в соответствии с
политиками RADIUS-сервера. Когда VPN-клиент пытается установить
соединение, политика маршрутизации и удаленного доступа определяет,
будет ли запрос на установление соединения передан в Forefront TMG.
После проверки политики маршрутизации и удаленного доступа клиент
присоединяется к сети VPN-клиентов.
- Помещать в карантин VPN-клиентов в
соответствии с политиками Forefront TMG. Когда VPN-клиент
пытается установить соединение с компьютером Forefront TMG,
политика маршрутизации и удаленного доступа всегда передает запрос
на установление соединения в Forefront TMG. Forefront TMG размещает
клиент соединения в сети VPN-клиентов, помещенных на карантин, где
он попадает под действие политики межсетевого экрана, определенной
для данной сети. Когда клиент очищает карантин, он перемещается в
сеть VPN-клиентов. При этом параметре необходимо отключить карантин
маршрутизации и удаленного доступа, чтобы можно было устанавливать
VPN-подключения.
- Помещать в карантин в соответствии с
политиками RADIUS-сервера. Когда VPN-клиент пытается установить
соединение, политика маршрутизации и удаленного доступа определяет,
будет ли запрос на установление соединения передан в Forefront TMG.
После проверки политики маршрутизации и удаленного доступа клиент
присоединяется к сети VPN-клиентов.
-
Если клиенты, помещенные на карантин, должны быть отключены от сети через определенный промежуток времени, выберите параметр Отсоединять пользователей, помещенных в карантин, через (секунд): и введите количество секунд, которое должно пройти, прежде чем клиент будет удален из сети VPN-клиентов, помещенных на карантин, и отключен от Forefront TMG.
Важно. При выборе этого варианта необходимо настроить функцию управления карантином на компьютере Forefront TMG и в VPN-клиентах, которые пытаются установить соединение с корпоративной сетью. В противном случае удаленные VPN-клиенты будут оставаться в режиме карантина, до тех пор пока не пройдет заданный промежуток времени и они не будут отключены от Forefront TMG. -
Если необходимо освободить отдельных пользователей от управления карантином, нажмите кнопку Добавить и в меню Доступные наборы пользователей выберите пользователей, которые должны быть освобождены от управления карантином.
Примечание. Пользователи, освобожденные от управления карантином, автоматически становятся членами сети VPN-клиентов.
Дальнейшие шаги
Подготовьте Forefront TMG в качестве RQS-прослушивателя. Инструкции см. в разделе Установка средства карантина удаленного доступа.
См. также
© Корпорация Майкрософт, 2009 Все права защищены.