進行規劃以控制網路存取

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題的設計是為了協助您規劃如何控制對內部網路的存取及其向外的存取。Forefront TMG 透過檢查和篩選內部網路與網際網路之間、不同的網路之間,以及 Forefront TMG 伺服器與它所通訊的服務之間的流量,來控制並保護內部網路存取。

下列各節說明:

原則與規則集

Forefront TMG 會強制執行可判斷在網路間是否允許連線的原則,來控制內部網路存取。這些原則可能是下列類型:

  • 防火牆原則:檢查和篩選內部網路與網際網路間的連線。防火牆原則是由下列規則集所組成:

    • 存取規則:控制輸出網頁存取,也就是內部電腦對網際網路的存取。

    • 網頁發行規則:控制對發行網頁伺服器的輸入存取。

    • 伺服器發行規則:控制對發行非網頁伺服器的輸入存取。

  • 系統原則:控制往返本機主機網路 (Forefront TMG 伺服器) 的流量,以允許 Forefront TMG 執行驗證、網域成員資格、網路診斷、記錄和遠端管理所需的流量與通訊協定。Forefront TMG 會提供系統安裝期間建立的預先定義規則集。您可以啟用或停用個別規則,以及修改規則目的地;您無法刪除現有規則或建立新規則。如需相關資訊,請參閱關於系統原則

    note附註:
    在 [Forefront TMG 管理] 主控台中,您可以檢視和編輯 [防火牆原則] 節點中的系統原則規則。

  • 網路規則:指定允許某個網路中的資源與其他網路中的資源通訊,並指定來源與目的地之間的關聯性類型 (路由或 NAT)。如需相關資訊,請參閱網路關聯性

處理要求

在您編輯和建立原則規則之前,請先閱讀關於 Forefront TMG 如何處理要求的下列資訊:

如需 Forefront TMG 如何強制執行原則的資訊,請參閱關於原則強制

要求處理流程

Forefront TMG 處理要求的流程如下所述:

  1. 針對網路規則來檢查要求,以確認要求的來源與目的地之間具有必要的網路關聯性。

    note附註:
    網頁 Proxy 篩選器所處理的流量不會針對網路規則來檢查。

  2. 針對系統原則檢查要求,以判斷是否有任何一項系統規則允許或拒絕該要求。

  3. 依防火牆原則規則出現在清單中的順序來檢查要求。

  4. 比對要求與規則之後,Forefront TMG 會再次檢查網路規則 (不含網頁 Proxy 篩選器所處理的流量),以判斷要路由流量還是將 NAT 套用至流量。

關於存取規則

通常,內部用戶端的要求是透過存取規則進行處理。存取規則只可以與輸出通訊協定定義一起設定。收到要求時,Forefront TMG 會以這個順序來檢查規則元素,以比對存取規則與要求:

  • 通訊協定:規則中定義了一個或多個具有輸出方向的通訊協定。

  • 從:規則中定義了來源位址。來源可以是整個網路、一組網路、一部電腦或一組電腦、一個 IP 位址範圍或一個子網路。

  • 排程:規則排程可控制套用規則的時機。

  • 到:規則中定義了目的地。目的地可以是整個網路、一組網路、一部電腦或一組電腦、一個 IP 位址範圍、一個子網路、一個網域名稱集或一個 URL 組。在某些情況下,可能需要 DNS 查閱來檢查要求是否相符。如需相關資訊,請參閱處理網域名稱集與 URL 組 (http://go.microsoft.com/fwlink/?LinkId=159771) (可能為英文)。

  • 使用者:套用至所有使用者 (進行匿名存取)、所有已驗證使用者 (套用至所有可以順利驗證的使用者) 或特定使用者群組的規則。

  • 內容群組:套用至特定內容類型的規則。

如果要求符合允許規則,則允許該要求。找到相符的規則之後,Forefront TMG 就不會再評估其他規則。在處理發行規則之前,會先處理拒絕流量的存取規則。如果要求符合存取規則,則即使發行規則允許要求,仍會拒絕此要求。

關於發行規則

Forefront TMG 使用下列發行規則集,啟用從外部網路對內部網路已發行伺服器的存取。

  • 網頁發行規則:啟用對發行網頁伺服器的存取。如果是對網頁接聽程式的 HTTP 或 HTTPS 要求,Forefront TMG 會先檢查發行規則,再檢查網頁鏈結規則以判斷是否允許要求以及處理要求的方式。

  • 伺服器發行規則:啟用對發行非網頁伺服器的存取。如果是非 HTTP 要求,Forefront TMG 會先檢查網路規則,再檢查發行規則以判斷是否允許要求。

處理名稱與位址

HTTP 要求可能包含名稱、完整網域名稱或 IP 位址。Forefront TMG 處理名稱或位址的方式如下所述:

  • 如果 HTTP 要求使用網站名稱 (例如 http://www.fabrikam.com),則 Forefront TMG 會對 DNS 伺服器執行正向名稱解析,以取得關聯的 FQDN、別名及 IP 位址。然後 Forefront TMG 會嘗試比對這些元素與規則。

  • 如果 HTTP 要求使用 IP 位址,則 Forefront TMG 會先檢查是否有符合該位址的規則。在這個程序期間,如果 Forefront TMG 遇到要求名稱的規則,就會執行反向名稱解析,以取得該 IP 位址的 FQDN。Forefront TMG 接著會比較 FQDN 與存取規則定義。

  • 如果反向名稱解析失敗,則只會使用要求中的原始 IP 位址與規則定義進行比較。

note附註:
當 SecureNAT 用戶端依名稱要求網站時,Forefront TMG 會先確認主機標頭內容未遮罩用戶端所要求的不相關 IP 位址。如果這項確認成功,則整個程序會依網頁 Proxy 用戶端的方式繼續進行。

處理需要驗證的規則

當規則指定需要驗證時,Forefront TMG 會要求用戶端提供認證。如果用戶端無法提供認證,則會先丟棄該要求而不評估規則。SecureNAT 用戶端無法提供認證,而且如果來自 SecureNAT 用戶端的要求符合需要驗證的規則,則會捨棄該要求。

網路關聯性

網路規則會指定在來源與目的地網路間如何傳送流量。在每個網路規則中可以使用下列其中一種關聯性:

路由關聯性

路由關聯性為雙向。例如,如果網路規則定義從網路 A 到網路 B 的路由關聯性,則網路 B 到網路 A 之間也會有關聯性。來自來源或目的地網路的用戶端要求會直接轉寄至另一個網路,而且來源及目的 IP 位址保持不變。請使用在網路之間不需要隱藏 IP 位址的路由關聯性。這是兩個具有公用 IP 位址之網路間的一般設定,或具有兩個私人位址之網路間的一般設定。在任一情況下,每個網路中的主機都必須在它們的區域網路中定義 Forefront TMG IP 位址,做為到其他網路的路由。在許多情況下,只需要將 Forefront TMG IP 位址定義為預設閘道即可。建立存取規則或伺服器發行規則時,路由關聯性會以下列方式影響流量:

  • 使用存取規則時,Forefront TMG 在轉寄流量時會保留完整的來源及目的 IP 位址。

  • 使用伺服器發行規則時,Forefront TMG 會如同使用存取規則一樣地轉寄流量,但會直接使用應用程式篩選器。例如,簡易郵件傳送通訊協定 (SMTP) 篩選器不會用於存取規則所處理的 SMTP 流量,而是用於伺服器發行規則所處理的流量。

NAT 關聯性

網路間的網路位址轉譯 (NAT) 關聯性為單向。流量是根據流量的來源或目的地進行處理。Forefront TMG 會依下列方式執行 NAT:

  • 在存取規則中,Forefront TMG 會將來源網路上的用戶端 IP 位址取代為目的地網路的 Forefront TMG 預設 IP 位址。例如,如果在網路規則中建立內部網路與外部網路之間的 NAT 關聯性,則來自內部網路之要求的來源 IP 位址將會取代為連線至外部網路之 Forefront TMG 網路介面卡的預設 IP 位址。處理已定義 NAT 關聯性網路間之流量的存取規則,只可以使用 [從] 索引標籤上指定的來源網路,以及規則的 [到] 索引標籤上指定的目的地網路。

  • 在伺服器發行規則中,目的地網路中的用戶端會連線至發行規則用來接聽要求的 Forefront TMG IP 位址。Forefront TMG 將流量轉寄給已發行的伺服器時,會將 Forefront TMG IP 位址取代為正在發行之內部伺服器的 IP 位址,但是不會修改來源 IP 位址。請注意,在 NAT 關聯性中,伺服器發行規則只可以存取指定為目的地網路的網路。此外,因為將流量轉寄至發行伺服器時,跨越 NAT 網路的伺服器發行會保留來源 IP 位址,所以已發行的伺服器必須使用 Forefront TMG 電腦做為通往目的地網路之路由結構中的最後一個躍點。如果無法滿足這個條件,請將伺服器發行規則設定成使用 [要求似乎來自於 Forefront TMG 電腦] 設定。這會讓 Forefront TMG 針對規則所處理的流量來執行完整 NAT。

相關主題

顯示: