Configurando a filtragem de URL no gateway da Web seguro do Forefront TMG
Publicado: novembro de 2009
Aplica-se a: Forefront Threat Management Gateway (TMG)
Este tópico fornece as seguintes informações sobre como configurar o recurso de filtragem de URL no gateway da Web seguro do Forefront TMG:
Pré-requisitos
Visão geral da configuração
Etapas de configuração
Pré-requisitos
A filtragem de URL se baseia em assinatura e faz parte da licença do Serviço de Segurança da Web do Forefront TMG. Para obter informações sobre licenciamento, consulte How to Buy (https://go.microsoft.com/fwlink/?LinkId=179848).
A filtragem de URL permite ou bloqueia o acesso a sites solicitados com base em categorias de URL predefinidas. Quando a categorização do site não é localizada no cache do Forefront TMG, o Forefront TMG consulta o MRS (Microsoft Reputation Services) para a categoria apropriada. Para consultar o MRS hospedado remotamente, o servidor do Forefront TMG deve estar conectado à Internet.
Visão geral da configuração
O recurso de filtragem de URL faz parte da diretiva de acesso à Web do Forefront TMG. O processo de configuração consiste nas seguintes fases:
Quando você definir a diretiva de acesso à Web da sua organização, filtre os tipos de categorias de destino da Web que os usuários não devem acessar, como sites mal-intencionados ou improdutivos. Para obter informações, consulte Bloqueando destinos em regras de diretiva de acesso à Web.
Se for relevante, defina períodos específicos em que o acesso será restrito. Por exemplo, defina que o acesso a sites improdutivos só será bloqueado durante o horário comercial. Para obter informações, consulte Definindo um período de atividade de uma regra.
Se necessário, você poderá substituir a categorização existente. Quando os usuários solicitam acesso a um site com acesso bloqueado, eles recebem uma notificação de negação que incui a categoria de solicitação negada; o texto da notificação pode ser personalizado. Se você suspeitar que um site foi categorizado incorretamente, verifique a categorização do site e se ela estiver incorreta, atribua a ele a categoria apropriada. Para obter informações, consulte Pesquisando e anulando a categoria de URL de um site.
Você pode relatar problemas de classificações para a Microsoft, aumentando assim a probabilidade de o MRS fornecer cobertura e intervalos de precisão específicos para sua organização. Para obter informações, consulte Microsoft Reputation Services - Comentários e Relatório de Erros (https://go.microsoft.com/fwlink/?LinkId=178581).
Você pode personalizar as notificações de negação que os usuários recebem quando o acesso é bloqueado. Para cada regra na diretiva de acesso à Web, você pode selecionar um das seguintes opções de personalização:
Personalize a mensagem padrão de negação de acesso. Para obter informações, consulte Personalizando a mensagem padrão de negação de acesso.
Redirecione os usuários a uma página da Web que contém sua mensagem personalizada. Para obter informações, consulte Redirecionando usuários a uma página de negação de acesso personalizada.
Etapas de configuração
Os procedimentos a seguir ajudam a configurar a filtragem de URL.
Bloqueando destinos em regras de diretiva de acesso à Web
Na árvore do console de Gerenciamento do Forefront TMG, clique no nó Diretiva de Acesso à Web.
No painel Tarefas, clique em Configurar Diretiva de Acesso à Web.
Na página Regras de Diretiva de Acesso à Web do Assistente para Diretiva de Acesso à Web, permita que o Forefront TMG crie uma regra padrão bloqueando o acesso a sites que os usuários não devem acessar.
Na página Destinos da Web Bloqueados, bloqueie o acesso às categorias de URL solicitadas e aos conjuntos de categorias de URL.
Depois de concluir o assistente, na barra Aplicar Alterações, clique em Aplicar.
Definindo um período de atividade de uma regra
Na árvore do console de Gerenciamento do Forefront TMG, clique no nó Diretiva de Acesso à Web.
No painel de detalhes, clique com o botão direito do mouse na regra que deseja modificar, clique em Propriedades e clique na guia Agendamento.
Na lista Agendamento, selecione uma das seguintes opções:
Sempre, para especificar que a regra sempre é aplicável.
Finais de semana, para especificar que a regra se aplica somente aos sábados e domingos.
Horas de trabalho, para especificar que a regra está ativa de segunda a sexta-feira, das 9h às 17h.
Dica
Ao modificar uma regra para que ela seja aplicada somente em horas específicas (configurando o agendamento), ela só será válida para as novas conexões. O tráfego de conexões existentes continuará passando, mesmo que não seja em uma hora permitida.
É possível editar os dias e as horas dos agendamentos padrão ou criar agendamentos novos, da seguinte maneira:
Na árvore do console de Gerenciamento do Forefront TMG, clique no nó Diretiva de Firewall.
Na guia Caixa de ferramentas, clique em Agendamentos.
Para editar um agendamento existente, clique em Agendamentos para expandir e, em seguida, clique duas vezes no agendamente que deseja modificar. Na guia Agendamento, selecione um time slot e selecione Ativo ou Inativo.
Para criar um novo agendamento, na barra de ferramentas abaixo de Agendamentos, clique em Novo e, em seguida, na página de propriedades Novo Agendamento, especifique as configurações para o agendamento.
Pesquisando e anulando a categoria de URL de um site
Na árvore do console de Gerenciamento do Forefront TMG, clique em Diretiva de Acesso à Web.
No painel Tarefas, clique em Consultar Categoria de URL.
Na guia Consulta de Categoria, digite um URL ou um endereço IP e clique em Consulta. O resultado da categoria é exibido na guia, assim como algumas informações sobre a origem da categorização, como por substituição, endereço IP ou alias de URL.
Para alterar a categorização de um site, copie a URL ou o endereço IP, clique na guia Substituição de Categoria de URL e, em seguida, clique em Adicionar.
Em Substituir a categoria de URL padrão deste padrão de URL, digite uma URL, usando o formato: www.contoso.com/\*.
Dica
- Cada URL deve incluir um nome de host e um caminho, e pode incluir uma cadeia de caracteres de consulta e caracteres de escape (como “%20” para representar um espaço).
- Não inclua um protocolo (como HTTP://) na URL.
- O Forefront TMG não oferece suporte ao uso de URLs de IDN (Nome de Domínio Internacionalizado).
- Cada URL deve incluir um nome de host e um caminho, e pode incluir uma cadeia de caracteres de consulta e caracteres de escape (como “%20” para representar um espaço).
Em Mover padrão de URL para esta categoria, selecione uma categoria de URL apropriada.
Clique em OK. A caixa de diálogo Substituição de Categorias de URL é fechada. Clique em OK novamente e, na barra Aplicar Alterações, clique em Aplicar.
Personalizando a mensagem padrão de negação de acesso
Na árvore do console de Gerenciamento do Forefront TMG, clique no nó Diretiva de Acesso à Web.
No painel de detalhes, clique com o botão direito do mouse na regra que deseja modificar e clique em Propriedades.
Na guia Ação, em Ação de Solicitação de URL Negada, verifique se Exibir notificação de negação para o usuário está selecionado. Na caixa sob Adicionar texto ou HTML personalizado à notificação (opcional), digite a mensagem que deseja mostrar aos usuários que tentam acessar sites bloqueados.
Dica
Você pode usar marcas HTML, como neste exemplo:
<a href="mailto:admin@contoso.com?subject=Access to Web site denied">Contact the system administrator</a>.Você pode expor a categoria de URL do site bloqueado aos usuários selecionando Adicionar categoria de solicitação negada à notificação. Esta opção está disponível apenas quando a filtragem de URL está habilitada.
Redirecionando usuários a uma página de negação de acesso personalizada
Na árvore do console de Gerenciamento do Forefront TMG, clique no nó Diretiva de Acesso à Web.
No painel de detalhes, clique com o botão direito do mouse na regra que deseja modificar e clique em Propriedades.
Na guia Ação, em Ação de Solicitação de URL Negada, selecione Redirecionar o cliente Web para a seguinte URL e digite a URL completa usando o formato: http://URL.