В этих рекомендациях описывается создание политики межсетевого экрана, которая обеспечивает выполнение требуемых правил и гарантирует безопасность, что способствует повышению производительности Forefront TMG. В данной теме содержатся следующие сведения.

Общие рекомендации по политике

Производительность сервера Forefront TMG зависит от типа информации, необходимой для обработки правил. Поскольку обработка правил выполняется по порядку, следует располагать правила, которые могут быть обработаны быстро, вверху списка правил, если это не повлияет на желаемые результаты применения политики межсетевого экрана. Таким образом, если запрос соответствует правилу, расположенному вверху списка, серверу Forefront TMG не придется сравнивать запрос с теми правилами, обработка которых может занимать больше времени. В следующих разделах приводятся рекомендации относительно порядка очередности правил в списке правил политики межсетевого экрана.

Простые элементы правил

Для следующих элементов правил необходимы простые сведения о сети, поэтому их проверка выполняется быстро.

  • Определения протоколов

  • Расписания

  • Все сетевые элементы на основе IP-адресов (компьютеры, наборы компьютеров, подсети, сети и наборы сетей)

Проверка сведений об исходном порте также выполняется быстро.

Правила, использующие эти элементы, следует располагать в верхней части списка правил.

Сложные элементы правил

Для следующих элементов правил необходимы дополнительные сведения о сети, поэтому их проверка выполняется медленнее.

  • Наборы доменных имен и URL-адресов

  • Пользователи (за исключением встроенного набора учетных записей «Все пользователи»)

  • Тип содержимого

Правила, использующие эти элементы, следует располагать в нижней части списка правил.

Правила, использующие фильтры приложений

Правила, использующие SMTP-фильтр, HTTP-фильтр или FTP-фильтр, снижают производительность.

Общие рекомендации по упорядочиванию правил

Рекомендуется располагать правила доступа в следующем порядке.

  1. Глобальные запрещающие правила — правила, которые запрещают определенный вид доступа для всех пользователей. В таких правилах следует использовать элементы правила, которым необходимы простые сведения о сети. Примером является правило, запрещающее всем пользователям доступ из любого места к любым местам по протоколам однорангового обмена файлами.

  2. Глобальные разрешающие правила — правила, которые разрешают определенный вид доступа для всех пользователей. В таких правилах следует использовать элементы правила, которым необходимы простые сведения о сети. Примером является правило, которое разрешает доступ из внутренней сети к внешней сети по протоколу DNS.

  3. Правила для определенных компьютеров — правила, разрешающие или запрещающие доступ для определенных компьютеров, например правило, разрешающее компьютерам UNIX получать доступ к Интернету.

  4. Правила для определенных пользователей, URL-адресов и типов MIME и правила публикации — правила, содержащие элементы, которым требуются дополнительные сведения о сети и которые применяют политику для определенных пользователей, URL-адресов или типов MIME. Правила публикации также следует располагать на этом уровне.

  5. Другие разрешающие правила — правила обработки трафика, не соответствующего правилам, расположенным выше в списке правил, при условии что такой трафик разрешен корпоративной политикой. Например, правило, разрешающее любой трафик из внутренней сети в Интернет.

    Примечание.
    Правила публикации серверов и веб-публикации можно размещать в любой части списка правил после общих разрешающих или запрещающих правил.

Конкретные рекомендации

При создании политики межсетевого экрана следует учитывать следующие рекомендации.

Наборы учетных записей и пользователи, не прошедшие проверку подлинности

Правила, основанные на наборах учетных записей, следует располагать ниже в списке правил. Если поставить эти правила высоко в списке правил, будет невозможно дальнейшая обработка трафика, исходящего от не прошедших проверку подлинности пользователей, которые в остальном соответствуют определению правила. Это может привести к тому, что разрешающее правило будет по сути являться запрещающим для пользователей, не прошедших проверку.

Сервер Forefront TMG отклоняет трафик от пользователей, не прошедших проверку подлинности, после правил, основанных на наборах учетных записей, чтобы исключить обход этих правил такими пользователями.

Примечание.
Forefront TMG может только предпринять попытку сопоставить пользователей, прошедших проверку подлинности, с правилами, требующими присутствия клиента в наборе учетных записей. К пользователям, прошедшим проверку подлинности, относятся клиенты Forefront TMG, клиенты виртуальных частных сетей (VPN) и веб-клиенты, прошедшие проверку подлинности.

Использование IP-адресов

В политиках межсетевого экрана следует по возможности использовать IP-адреса, а не DNS-имена. Это позволит уменьшить зависимость сервера Forefront TMG от DNS-серверов, что приведет к повышению производительности. Однако следует учитывать, что в некоторых ситуациях при использовании IP-адресов не удастся добиться требуемых результатов. Например, при попытке блокирования доступа к сайту, IP-адрес которого присваивается динамически, или сайту, имеющему несколько IP-адресов, блокирование IP-адреса не обеспечит надежное блокирование сайта. В этом случае для блокирования узла следует использовать полное доменное имя узла (FQDN). Для обеспечения дополнительной надежности блокирования можно использовать в правиле и IP-адреса и полные доменные имена. Обратите внимание, что для IP-адресов и полных доменных имен необходимо создавать отдельные элементы правила. При использовании IP-адресов и полных доменных имен в одном правиле обработчик правил Forefront TMG сначала проверяет в запросе IP-адреса, поэтому при обнаружении соответствия не требуется разрешать полное доменное имя для IP-адреса. Это повышает эффективность правила. Примеры проверки сервером Forefront TMG имен и IP-адресов в HTTP-запросах см. в разделе Обработка имен и адресов.

Использование полных доменных имен для наборов URL-адресов и наборов доменных имен

В наборах доменных имен и наборах URL-адресов используйте полные доменные имена.

Примеры проверки сервером Forefront TMG URL-адресов и IP-адресов в HTTP-запросах см. в разделе Обработка имен и адресов.

Проверка подлинности пользователей и производительность

Если правило требует проверки подлинности пользователя, появляется зависимость от подключения и производительности сервера проверки подлинности, например, контроллера домена или RADIUS-сервера. Процесс проверки подлинности может влиять на производительность Forefront TMG. Поэтому рекомендуется располагать правила, требующие проверки подлинности, в нижней части списка правил (при условии, что это отвечает концепции политики), чтобы правило проверки подлинности применялось только в отношении трафика, не соответствующего более ранним правилам.

Примечание.
Для наблюдения за подключением к различным серверам можно использовать средства проверки подключения Forefront TMG. Дополнительные сведения о средствах проверки подключения см. в разделе Отслеживание подключения к серверам.

Клиенты и наборы учетных записей Forefront TMG

Если политика межсетевого экрана включает правило, которое ссылается на набор учетных записей (кроме встроенного набора «Все пользователи»), клиент Forefront TMG выполняет проверку подлинности, которая окажется неудачной, если он находится в рабочей группе или ненадежном домене. Клиенту Forefront TMG не удастся установить подключение к компьютеру Forefront TMG, и весь трафик будет запрещен.

Определения протоколов

Не создавайте определения протоколов, которые дублируют или пересекаются с имеющимися определениями протоколов. Это может привести к непредсказуемым последствиям. Например, в случае создания правила, разрешающего весь трафик за исключением определенного протокола, может возникнуть ситуация, когда трафик по этому протоколу, который должен быть отклонен, фактически разрешается вследствие наличия определения похожего протокола. Рекомендуется тщательно проверить список имеющихся протоколов, прежде чем определять дополнительные протоколы.

Правила по типу MIME

MIME-типы следует использовать в качестве критерия только в правилах, применяемых исключительно к HTTP-трафику. Поскольку MIME-типы не применимы для других типов трафика, правило, включающее любой другой протокол кроме HTTP и ссылающееся на MIME-типы, будет фактически отключено для таких протоколов.

Правила доступа и сетевые правила

Политика доступа, определяющая возможности доступа между двумя сетями, не будет разрешать доступ при отсутствии правила, определяющего отношение между этими двумя сетями. Это также относится к правилам публикации серверов (но не к правилам веб-публикации).

Правило запрета доступа по всем протоколам с ограничением по исходным портам

Не создавайте правило запрета доступа по всем протоколам, включающее ограничение на исходные порты. Вследствие отсутствия проверки исходных портов для дополнительных соединений все протоколы будут заблокированы для дополнительных соединений (если правило, разрешающее дополнительное соединение, находится в списке правил ниже правила запрета доступа с ограничением на исходные порты).

Обеспечение безопасности набора компьютеров удаленного управления

Включайте в набор компьютеров Компьютеры удаленного управления только те компьютеры, которым требуется удаленный административный доступ. Например, не следует добавлять в этот набор компьютеров целые сети, такие как внутренняя сеть. Это поможет защитить межсетевой экран от червей, затрагивающих такие сети.

Сеть для зараженных компьютеров

Создайте сеть для размещения зараженных компьютеров. Не создавайте сетевые правила для этой сети, чтобы исключить любой тип доступа. Перемещайте зараженные компьютеры в эту сеть. Обратите внимание, что в случае перемещения компьютера в эту сеть в диапазоне адресов внутренней сети возникает разрыв, т.е. сеть становится фрагментированной. Фрагментация сетей негативно сказывается на производительности системы балансировки сетевой нагрузки Forefront TMG, поэтому следует с осторожностью применять этот подход и как можно быстрее возвращать компьютеры в исходную сеть.

См. также