С помощью Forefront TMG можно выполнять проверку исходящего трафика HTTPS, чтобы защитить организацию от угроз безопасности, таких как:

Примечание.
  • Исходящий трафик — это трафик, который порождается клиентскими компьютерами в сети, которая защищена Forefront TMG.

  • Несмотря на то, что можно разрешить исходящий трафик HTTPS без проверки, данное разрешение не рекомендуется применять на практике.

В следующих разделах представлены сведения, которые помогут спланировать проверку трафика HTTPS:

Принципы работы проверки HTTPS

Для осуществления проверки трафика HTTPS компонент Forefront TMG выступает в роли посредника между клиентским компьютером, которые инициирует HTTPS-соединение, и безопасным веб-сайтом. Когда клиентский компьютер инициирует подключение к безопасному веб-сайту, Forefront TMG перехватывает запрос и выполняет следующие действия:

  1. Устанавливает безопасное подключение (туннель SSL) к запрашиваемому веб-сайту и проверяет сертификат сервера.

  2. Копирует сведения сертификата веб-сайта, создает новый SSL-сертификат, содержащий эти сведения, и подписывает его в центре сертификации, называемом сертификатом проверки HTTPS.

  3. Представляет новый сертификат клиентскому компьютеру и устанавливает с ним отдельный туннель SSL.

Поскольку сертификат проверки HTTPS ранее находился в хранилище сертификатов доверенных корневых центров сертификации локального компьютера, компьютер доверяет любому сертификату, который подписан этим сертификатом. Сервер Forefront TMG разделяет подключение и создает два безопасных туннеля и может расшифровывать и проверять весь трафик между клиентским компьютером и безопасным веб-сайтом в ходе этого сеанса.

Замечания о включении проверки HTTPS

При включении проверки HTTPS примите к сведению следующие замечания:

  • При развертывании с несколькими массивами необходимо создать сертификат проверки HTTPS для каждого массива.

  • SSL-сертификаты высокой надежности не поддерживаются при включенной проверке HTTPS. Если веб-сайт использует SSL-сертификаты высокой надежности, в некоторых браузерах, например Internet Explorer 7, адресная строка браузера изменяет цвет на зеленый. Однако, если Forefront TMG выполняет проверку HTTPS, цвет адресной строки не изменяется. Чтобы при использовании веб-сайтом SSL-сертификата высокой надежности изменялся цвет адресной строки, необходимо исключить веб-сайт из проверки HTTPS.

  • Проверка HTTPS несовместима с подключениями к внешним SSTP-серверам и серверам, требующим проверку подлинности сертификата клиента. Если известно о наличии такого сервера, рекомендуется исключить его из проверки HTTPS.

Примечание.
Для получения дополнительных сведений об исключении сайтов из проверки HTTPS см. раздел Исключение источников и мест назначения из проверки HTTPS.

Сведения о проверке сертификата при проверке HTTPS

В следующей таблице приведены сведения о действиях при проверке сертификата, которые выполняет Forefront TMG, если включена проверка HTTPS. Для сайтов, исключенных из проверки HTTPS, можно выбрать исключение с проверкой или без нее. Для получения дополнительных сведений об исключении сайтов из проверки HTTPS см. раздел Исключение источников и мест назначения из проверки HTTPS.

Тип проверки Проверяемый трафик Веб-сайты, исключенные из проверки HTTPS с проверкой сертификата Веб-сайты, исключенные из проверки HTTPS без проверки сертификата

Подходят для проверки подлинности сервера

Да

Да

Да

Срок действия, отзыв

Да

Нет

Нет

Имена не совпадают, доверенный

Да

Да

Нет

Политика конфиденциальности

Поскольку пользователь клиентского компьютера не знает о том, что Forefront TMG разделяет подключение и проверяет трафик, в целях соблюдения правовых норм и конфиденциальности и необходимо выполнить следующее.

См. также