При применении изменений к политике межсетевого экрана или сетевым правилам Forefront TMG проверяет, все ли существующие клиентские подключения соответствуют новой политике или правилам, и закрывает неразрешенные подключения.
 Примечание. |
|---|
| В консоли управления Forefront TMG изменения конфигурации применяются только после нажатия кнопки «Применить» на панели «Принять изменения»; панель «Принять изменения» появляется автоматически при внесении изменений в конфигурацию. |
Применение политики происходит при установлении соединения и изменении следующих элементов правил:
- Откуда — порт и адрес (источника).
- Куда — URL-адреса, имена, адреса
(назначение).
- Расписание. Если правило политики межсетевого
экрана содержит расписание, Forefront TMG непрерывно проверяет, не
истек ли срок действия запроса, соответствующего этому правилу.
Если срок действия запроса истекает, Forefront TMG закрывает
подключение. Обратите внимание: это может быть вызвано изменением в
политике или изменением настройки часов на сервере Forefront
TMG.
- Наборы учетных записей и типы содержимого,
применяемые для оценки политики при первичной установке соединения,
также используются для повторной оценки.
 Важно. |
|---|
| Если изменяются элементы правил, которые не будут повторно оцениваться, такие как наборы учетных записей и типы содержимого, которые первоначально не были использованы для оценки, и при этом нужно обеспечить, чтобы существующие подключения не нарушали новую политику, необходимо вручную завершить сеансы клиентов в консоли управления Forefront TMG (как описано в разделе Наблюдение за клиентскими сеансами) или перезапустить службу сетевого экрана. |
Обратите внимание на следующее.
- Первая переоценка существующих HTTP-сеансов
происходит при обмене трафиком через соответствующее соединение.
Таким образом, возможна ситуация, когда некоторые HTTP-сеансы
существуют в представлении «Наблюдение за сеансами», даже если они
не разрешены новой политикой, до тех пор, пока через эти соединения
не передается трафик.
- В переоценке политики не учитываются ее
настраиваемые элементы, связанные с фильтрами приложения. Например,
если добавить интерфейс в определение RPC, используемое в правиле
отказа, существующие подключения к этому интерфейсу не будут
закрыты. Аналогично, если отключить SMTP-команду в SMTP-фильтре,
существующие подключения, которые используют эту команду, не будут
закрыты.
- Изменения в определениях протоколов (свойств
протокола или добавление новых протоколов) не влияют на
существующие подключения. Подключение связано с конкретным
протоколом (например, HTTP или FTP) только в процессе соединения, и
эта связь остается неизменной в период соединения. Например, если
подключение было связано с протоколом FTP (порт 21), а позднее был
добавлен элемент другого протокола с тем же портом 21, это
подключение по-прежнему будет соответствовать правилам политики,
содержащим протокол FTP, и не будет удовлетворять правилам
политики, не имеющим протокол FTP, даже если они содержат заново
определенный протокол.