Forefront TMG 2010 - część 13. - Zaawansowane opcje reguły publikacji oraz listenera
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2011-12-22
Wprowadzenie
W poprzedniej części opisano tworzenie reguły publikacji serwera Web. Zaprezentowano nowy komponent sieciowy o nazwie listener, wykorzystywany przy regułach publikacji serwerów Web. Niestety część opcji nie jest dostępna w procesie tworzenia zarówno reguły jak i listenera. Pora przyjrzeć się zatem utworzonej regule i listenerowi oraz przedstawić wcześniej niedostępne opcje.
Właściwości utworzonego listenera
Aby przejrzeć ustawienia utworzonego obiektu listener, przejdź na poziom Firewall Policy, potem w prawym oknie wybierz zakładkę Toolbox, następnie z menu wybierz obiekty sieciowe (Network Object), a w nich kontener Web Listener. Po rozwinięciu zawartości kontenera, lewym przyciskiem zaznacz interesujący listener, potem kliknij prawym przyciskiem i z menu wybierz Properties. Na poniższych rysunkach przedstawiono wszystkie zaawansowane opcje listenera. Zakładka General pokazana jest na Rys. 13.1. Jedyna dostępna opcja to zmiana nazwy listenera oraz możliwość dodania opcjonalnego opisu (Description).
.jpg "Opcje przykładowego listenera HTTP – zakładka General")
Rys. 13.1. Opcje przykładowego listenera HTTP – zakładka General.
Zakładka Networks (Rys. 13.2.) umożliwia modyfikacje sieci, z których oczekujemy połączeń. W przypadku dostępności wielu adresów IP, przypisanych do danego interfejsu, istnieje również możliwość wyboru konkretnego adresu IP i związania go z danym listenerem. Opcje dostępne pod przyciskiem Address… są identyczne jak w kreatorze tworzenia listenera i nie będą tu ponownie prezentowane.
.jpg "Opcje przykładowego listenera HTTP – zakładka Networks")
Rysunek 13.2. Opcje przykładowego listenera HTTP – zakładka Networks.
Zakładka Connection (Rys. 13.3.) umożliwia określenie, na jakich portach nasłuchujesz ruchu HTTP i (lub) HTTPS. Opcje HTTP to HTTPS Redirection określają, czy ma następować konwersja lub wymuszenie zmiany protokołu HTTP na HTTPS. Dostępne opcje to:
- Do not redirect traffic from HTTP to HTTPS,
- Redirect authenticated traffic from HTTP to HTTPS,
- Redirect all traffic from HTTP to HTTPS.
* *
Powyższe opcje dostępne są dopiero po zdefiniowaniu listenera, pracującego z protokołem HTTPS (czyli po dodaniu certyfikatu SSL do danego listenera).
* *.jpg "Opcje przykładowego listenera HTTP – zakładka Connections")
Rysunek 13.3. Opcje przykładowego listenera HTTP – zakładka Connections.
Opcje zaawansowane zakładki Connections pokazane są na Rys. 13.4. Opcja Advanced… umożliwia ograniczenie maksymalnej ilości jednoczesnych połączeń, realizowanych przez tego samego klienta poprzez dany listener.
.jpg "Opcje Advance Settings listenera")
Rysunek 13.4. Opcje Advance Settings listenera.
Opcje zakładki Certificates pokazane są na Rys. 13.5. Są one niedostępne przy publikacji niezabezpieczonej serwera WWW. Zostaną opisane w dalszej części — przy publikacji zabezpieczonej serwerów WWW.
.jpg "Opcje przykładowego listenera HTTP – zakładka Certificates")
Rysunek 13.5. Opcje przykładowego listenera HTTP – zakładka Certificates.
Opcje zakładki Authentication pokazano na Rys. 13.6. Zakładka odpowiada za modyfikację elementów związanych z uwierzytelnianiem zarówno klient →TMG, jak i TMG → weryfikator.
.jpg "Opcje przykładowego listenera HTTP — zakładka Authentication")
Rysunek 13.6. Opcje przykładowego listenera HTTP — zakładka Authentication.
Zakładka Authentication zostanie dokładniej zaprezentowana przy zagadnieniach, związanych z uwierzytelnianiem ruchu wchodzącego. Zakładki Forms i SSO, związane są z uwierzytelnianiem metodą Form-based i zostaną opisane dalszej części artykułu.
Właściwości zaawansowane dowolnej reguły publikacji, dostępne są po kliknięciu prawym przyciskiem myszy na nazwę reguły i wybraniu opcji Properties, tak jak prezentuje to Rys. 13.7.
.jpg "Menu kontekstowe związane z regułą publikacji przykładowego serwera WWW")
Rys. 13.7. Menu kontekstowe związane z regułą publikacji przykładowego serwera WWW.
Na poniższych rysunkach zaprezentowano zaawansowane opcje reguły publikacji serwera WWW. Na zakładce General, pokazanej na Rys. 13.8. można zmienić nazwę reguły, dodać opcjonalny opis oraz włączyć lub wyłączyć daną regułę – opcja Enable.
.jpg "Reguła publikacji serwera WWW — zakładka General")
Rys. 13.8. Reguła publikacji serwera WWW — zakładka General.
Na Rys. 13.9. pokazano zakładkę Action, służącą do określania działania reguły (blokowanie lub dozwolenie) danego ruchu sieciowego. Tu — w przeciwieństwie do reguły publikacji serwera typu non-Web — można na bieżąco zmieniać typ akcji. W przypadku wybrania opcji Deny, można dodatkowo przekierować zapytania na przykładową stronę, informującą o przyczynach braku dostępu. Dodatkowo można określić, czy ruch, który pasuje do danej reguły, ma być logowany (opcja domyślna), czy nie.
.jpg "Reguła publikacji serwera WWW — zakładka Action")
Rysunek 13.9. Reguła publikacji serwera WWW — zakładka Action.
Zakładka From (Rys. 13.10.) umożliwia określenie źródła ruchu sieciowego (okno umożliwia zdefiniowanie wyjątków — Exceptions). Anywhere to abstrakcyjne określenie dowolnego adresu źródłowego: zarówno wewnętrznego, jak i zewnętrznego.
.jpg "Reguła publikacji serwera WWW — zakładka From")
Rysunek 13.10. Reguła publikacji serwera WWW — zakładka From.
Zakładka To umożliwia określenie nazwy publikowanego serwera WWW. Nazwę lub adres IP fizycznego serwera można wpisać manualnie lub skorzystać z opcji Browse (przeglądaj). Widok zakładki To przedstawia Rys.13.11.
Jeżeli nie chcesz, aby serwer ISA zastępował pierwotny nagłówek hosta, przesyłany przez klienta nazwą lub adresem IP komputera wpisaną w polu powyżej tej opcji, zaznacz opcję Forward the oryginal host header insted of the actual one (specified the Internal site name field).
.jpg "Reguła publikacji serwera WWW — zakładka To")
Rys. 13.11. Reguła publikacji serwera WWW — zakładka To.
Dodatkowe opcje Proxy request to Publisher site określają, czy dla danej reguły ma być włączona pełna funkcjonalność NAT (Full NAT czy częściowa Half-NAT). Zagadnienie opisano w poprzednich częściach artykułu.
Uwaga informacyjna
Mechanizm ten wykorzystywany jest również w przypadku, gdy TMG nie jest jednocześnie domyślnym gatewayem/routerem. W tego typu konfiguracji, aby ruch powrotny wrócił poprzez TMG, a nie poprzez domyślny gateway/router, należy ustawić opcję Requests appear to come from the Forefront TMG computer. Uwaga dotyczy również publikacji serwerów non-web, gdzie opcja ta umieszczona była na zakładce To reguły publikacji, w sekcji Requests for the published server.
Właściwości zakładki Traffic pokazuje Rys. 13.12. W zakładce Traffic dla protokołu HTTP, możesz skonfigurować opcje filtra aplikacji dla protokołu HTTP. Filtry aplikacyjne zostaną opisane w dalszej części artykułu.
.jpg "Reguła publikacji serwera WWW — zakładka Traffic")
Rys. 13.12. Reguła publikacji serwera WWW — zakładka Traffic.
Właściwości zakładki Listener przedstawia Rys. 13.13. W zakładce możesz zmienić przypisanie listenera do reguły lub utworzyć nowy listener. Tworzenie nowego listenera opisano w poprzedniej części artykułu.
.jpg "Reguła publikacji serwera WWW — zakładka Listener")
Rys. 13.13. Reguła publikacji serwera WWW — zakładka Listener.
Widok zakładki Public Name przedstawiono na Rys. 13.14. W zakładce Public Name możesz dodać nowe (usunąć oraz zmodyfikować) nazwy publiczne serwera (widoczne od strony sieci, do której publikujesz). W przykładzie tym publikujesz serwer wewnętrzny o nazwie www.test.local pod nazwą www.test.com.
.jpg "Reguła publikacji serwera WWW — zakładka Public Name")
Rys. 13.14. Reguła publikacji serwera WWW — zakładka Public Name.
Widok zakładki Paths pokazano na Rys. 13.15. Zakładka umożliwia modyfikację odwzorowania struktury katalogów (folderów) serwera WWW, widzianą od strony serwera oraz od strony sieci, do której publikujesz dany serwer WWW. W konfiguracji domyślnej odwzorowanie jest przetwarzane identycznie, jak struktura katalogów docelowego serwera.
.jpg "Reguła publikacji serwera WWW — zakładka Paths")
Rys. 13.15. Reguła publikacji serwera WWW — zakładka Paths.
Zagadnienie delegowania poświadczeń – uwierzytelnienia (zakładka Authentication Delegation), zostanie opisana dokładniej w jednej z dalszych części. Tu wybrano opcję – brak uwierzytelniania na serwerze TMG wraz z przekazywaniem poświadczeń przezroczyście do serwera docelowego (uwierzytelnianie ma być realizowane na serwerze docelowym). Opcję pokazano na Rys. 13.16.
.jpg "Reguła publikacji serwera WWW — zakładka Authentication Delegation")
Rysunek 13.16. Reguła publikacji serwera WWW — zakładka Authentication Delegation.
Widok zakładki Application Settings przedstawia Rys. 13.17. Zakładka umożliwia zmianę wyglądu (podstawienie innego) okna logowania, korzystającego z mechanizmu Form-based Authentication. Zagadnienie to będzie opisane w jednej z dalszych części artykułu.
.jpg "Reguła publikacji serwera WWW — zakładka Application Settings")
Rys. 13.17. Reguła publikacji serwera WWW — zakładka Application Settings.
Widok zakładki Bridging pokazano na Rys. 13.18. Mechanizm Bridging określa mapowanie portów wewnętrznych na zewnętrzne dla protokołu HTTP i HTTPS. Umożliwia dodatkowo konwersję protokołu HTTP → HTTPS. Możliwa jest również konwersja http → FTP, w przypadku protokołu określanego jako FTP over http. W tej opcji możliwe jest proste przemapowanie portu z domyślnego 21 na inny (dowolny).
.jpg "Reguła publikacji serwera WWW — zakładka Bridging")
Rys. 13.18. Reguła publikacji serwera WWW — zakładka Bridging.
Widok zakładki Users pokazano na Rys. 13.19. Zakładka umożliwia określenie użytkowników, którzy podlegać mają regule (okno pozwala na zdefiniowanie wyjątków — Exceptions). Domyślnie reguła publikacji serwera WWW działa dla wszystkich użytkowników (All Users).
.jpg "Reguła publikacji serwera WWW — zakładka Users")
Rys. 13.19. Reguła publikacji serwera WWW — zakładka Users.
Widok zakładki Schedule pokazano na Rys. 13.20. Zakładka umożliwia zmianę harmonogramu, związanego z działaniem reguły, z domyślnego (Always) na inne zdefiniowane lub utworzenie nowego.
.jpg "Reguła publikacji serwera WWW — zakładka Schedule")
Rysunek 13.20. Reguła publikacji serwera WWW — zakładka Schedule.
Widok zakładki Link Translation pokazuje Rys. 13.21. Link Translation umożliwia włączenie opcji, związanych z translacją odwołań do zasobów znajdujących się poza publikowanym serwerem. Opcja pozwala również na konwersję systemów kodowania znaków w linkach. Konwersja linków zostanie opisana w oddzielnej części, poświęconej specjalnym opcjom translacji przy publikacji zasobów.
.jpg "Reguła publikacji serwera WWW — zakładka Link Translation"){kind=spacer}
Rys. 13.21. Reguła publikacji serwera WWW — zakładka Link Translation.
Podsumowanie
W tej części serii Forefront TMG 2010 przedstawiono zaawansowane opcje listenera oraz utworzonej reguły publikacji serwera Web. W następnych częściach opisany zostanie tryb publikacji, zabezpieczonych certyfikatem serwerów Web (HTTPS/SSL) oraz serwerów Web, wymagających uwierzytelniania.