Informationen zur Richtlinienerzwingung

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Bei Änderungen an der Firewallrichtlinie oder an Netzwerkregeln stellt Forefront TMG sicher, dass alle bestehenden Clientverbindungen die neue Richtlinie oder die Regeln einhalten, und beendet unzulässige Verbindungen.

noteHinweis:
In der Forefront TMG-Verwaltungskonsole werden Konfigurationsänderungen nur dann übernommen, wenn Sie auf der Leiste Änderungen übernehmen auf Übernehmen klicken. Die Leiste Änderungen übernehmen wird bei jeder Konfigurationsänderung automatisch angezeigt.

Die Richtlinienerzwingung erfolgt, wenn eine Verbindung aufgebaut wird und sich die folgenden Regelelemente ändern:

  • Quelladresse und -port.

  • Zieladressen, -namen und -URLs.

  • Zeitplan – Wenn eine Firewallrichtlinienregel oder eine Netzwerkregel einen Zeitplan beinhaltet, stellt Forefront TMG durchgängig sicher, dass eine dieser Regel entsprechende Anforderung nicht abläuft. Wenn eine Anforderung abläuft, beendet Forefront TMG die Verbindung. Dies kann durch eine Änderung an der Richtlinie oder der Uhrzeit auf dem Forefront TMG-Server verursacht werden.

  • Benutzersätze und Inhaltstypen, die zum Bewerten der Richtlinie dienen, wenn die Verbindung erstmals eingerichtet wird, werden auch über eine erneute Bewertung verwendet.

ImportantWichtig:
Wenn Sie Regelelemente ändern, die nicht erneut bewertet werden (z. B. Benutzersätze oder Inhaltstypen, die ursprünglich nicht zur Auswertung verwendet wurden), und Sie sicherstellen möchten, dass vorhandene Verbindungen nicht gegen die neue Richtlinie verstoßen, müssen Sie Clientsitzungen manuell in der Forefront TMG-Verwaltungskonsole beenden (siehe Überwachen von Clientsitzungen) oder den Firewalldienst neu starten.

Beachten Sie Folgendes:

  • Das Neubewerten bestehender HTTP-Sitzungen erfolgt erstmals, wenn über die entsprechende Verbindung ein Datenaustausch stattfindet. Deshalb ist es möglich, dass einige HTTP-Sitzungen in der Sitzungsüberwachungsansicht vorhanden sind, auch wenn sie von der neuen Richtlinie nicht zugelassen werden, solange sie keine Daten weiterleiten.

  • Bei der Richtlinienneubewertung werden benutzerdefinierte Richtlinienelemente, die mit Anwendungsfiltern verknüpft sind, nicht berücksichtigt. Wenn Sie beispielsweise einer in einer Verweigerungsregel verwendeten RPC-Definition eine Schnittstelle hinzufügen, werden bestehende Verbindungen zu dieser Schnittstelle nicht beendet. Wenn Sie einen SMTP-Befehl im SMTP-Filter deaktivieren, werden bestehende Verbindungen, die diesen Befehl verwenden, gleichsam nicht beendet.

  • Änderungen an Protokolldefinitionen (d. h. Änderungen an Protokolleigenschaften oder Hinzufügungen neuer Protokolle) wirken sich nicht auf bestehende Verbindungen aus. Eine Verbindung wird nur während des Verbindungsaufbaus einem bestimmten Protokoll (z. B. HTTP, FTP) zugeordnet. Dabei bleibt diese Zuordnung während der gesamten Gültigkeitsdauer der Verbindung unverändert. Wenn beispielsweise eine Verbindung dem FTP-Protokoll (Port 21) zugeordnet war und später ein anderes Protokollelement mit derselben Portnummer hinzugefügt wurde, entspricht die Verbindung weiter den Richtlinienregeln, die das FTP-Protokoll enthalten. Sie entspricht selbst dann nicht Richtlinienregeln, die das FTP-Protokoll nicht enthalten, wenn diese das neu definierte Protokoll enthalten.

Verwandte Themen

Anzeigen: