關於原則強制

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

當您將變更套用至防火牆原則或網路原則時,Forefront TMG 會確定所有現有的用戶端連線都符合新原則或規則,並終止不允許的連線。

note附註:
只有當您在 [Forefront TMG 管理] 主控台中,按一下 [套用變更] 列上的 [套用] 按鈕時,系統才會套用設定變更。每當您進行設定變更時,就會自動顯示 [套用變更] 列。

建立連線時,以及下列規則元素變更時,系統會進行原則強制:

  • 從 (來源) 位址及連接埠。

  • 到 (目的地) 位址、名稱及 URL。

  • 排程:當防火牆原則規則或網路規則包含排程時,Forefront TMG 會持續確定符合該規則的要求未過期。 當要求過期時,Forefront TMG 就會終止連線。 請注意,這可能是 Forefront TMG 伺服器上的原則變更或時間變更所造成。

  • 第一次建立連線時用來評估原則的使用者組及內容類型,也會用於重新進行評估。

Important重要事項:
如果您修改了不會重新評估的規則元素 (例如原本用於評估的使用者組或內容類型),而且想要確保現有連線都不會違反新原則,則應該在 [Forefront TMG 管理] 主控台中手動結束用戶端工作階段 (如監視用戶端工作階段所述),或重新啟動防火牆服務。

請注意下列事項:

  • 現有的 HTTP 工作階段,會在對應連線首次進行流量交換時,執行重新評估。 因此,只要 HTTP 工作階段未傳遞任何流量,則即使新原則不允許這些 HTTP 工作階段,這些 HTTP 工作階段可能還是會存在於工作階段監視檢視中。

  • 進行原則重新評估時,不會考慮與應用程式篩選器相關聯的自訂原則元素。 例如,如果在用於拒絕規則的 RPC 定義中新增介面,則不會終止該介面的現有連線。 同樣地,如果停用 SMTP 篩選器中的 SMTP 命令,也不會終止使用該命令的現有連線。

  • 通訊協定定義中的修改 (通訊協定內容的變更或新通訊協定的新增) 不會影響現有的連線。 連線只有在建立連線期間才會與特定通訊協定建立關聯 (例如 HTTP 或 FTP),而此關聯性在整個連線存留時間都會維持不變。 例如,如果連線是與 FTP 通訊協定 (連接埠 21) 相關聯,而之後新增另一個具有相同連接埠 21 的通訊協定元素,則連線仍然會符合含有 FTP 通訊協定的原則規則,而且不會符合未含 FTP 通訊協定的原則規則,即使它們包含新定義的通訊協定也是一樣。

相關主題

顯示: