В этой части мы рассмотрим то, как создавать более сложные сетевые объекты.

Введение

В предыдущей части этого цикла статей о сетевых объектах брандмауэра TMG мы рассмотрели разные сетевые объекты и то, что они из себя представляют. Мы также посмотрели, как создавать простые сетевые объекты.

Пусть это слово вас не пугает. Хорошая новость заключается в том, что любой «сложный» сетевой объект можно создать с помощью мастера. Мастера можно использовать для создания следующих типов сетевых объектов:

• Сети (Network)
• Наборы сетей (Network Sets)
• Наборы категорий адресов (URL Category Sets)
• Веб прослушиватель (Web Listener)
• Серверная ферма (Server Farm)

Давайте разберем информацию, которую вам необходимо знать при создании каждого типа.

Мастер создания нового объекта Сеть

Процесс создания новой Сети можно начать путем нажатия на объекте Сеть (Network) в меню Новый (New). Помните, что в номенклатуре брандмауэра TMG термин Сеть обозначает собрание IP адресов, которые напрямую доступны с определенного интерфейса на брандмауэре TMG.

В первую очередь вы увидите приветственную страницу мастера Welcome to the New Network Wizard. На этой странице указывается имя Сети в текстовом поле Имя Сети (Network name). В этом примере, мы назовем Сеть DMZ 2, как показано на рисунке 1.

На странице Тип Сети (Network Type), рисунок 2, вы можете выбирать из нескольких типов сети:

• Внутренняя сеть (Internal Network). Это обычно сеть, включающая серверы или клиенты, которые должны быть защищены брандмауэром TMG. Когда вы создаете внутреннюю сеть, на странице свойств будут представлены все опции, которые обычно имеются для стандартной Внутренней сети.
• Сеть периметра (Perimeter Network). Сеть периметра схожа с Внутренней сетью. На самом деле, между Сетью периметра и Внутренней сетью практически нет никакой разницы ‘ оба типа включают одинаковые опции в диалоге свойств. Однако иногда лучше выбирать Сеть периметра, поскольку здесь более очевидно, что это сеть DMZ, а не Внутренняя сеть. Ключевым различием здесь является то, что сети DMZ обычно включают устройства с подключением к интернету.
• VPN Site-To-Site Network. Это специальный тип Сети, используемый, когда нужно создать VPN подключение от сайта к сайту между брандмауэром TMG и другим межсетевым экраном. Обратите внимание, что хотя вы можете создать Сеть удаленного сайта в этом мастере, лучше делать это из мастера, используемого для создания site-to-site VPN.
• Внешняя сеть (External Network). Внешняя сеть считается незащищенной сетью и представляет собой собрание IP адресов, расположенных за пределами любых других Защищенных Сетей брандмауэра TMG. Внешняя сеть создается, если нужно добавить дополнительные внешние интерфейсы на брандмауэр TMG, а затем создать записи таблицы маршрутизации для определенных целевых адресов, которые будут доступны через сетевую карту в корне Внешней сети.

В этом примере мы выбираем опцию Сеть периметра.

На странице Адреса сети (Network Addresses), рисунок 3, настраиваются адреса, определяющие Сеть. Можно добавлять адреса тремя разными способами: путем добавления адаптера, добавления диапазона частных адресов, или добавления пользовательского диапазона адресов. Мы обнаружили, что в большинстве случаев лучшим способом создания новой Сети является ее привязка к определенной сетевой карте. В этом примере мы нажимаем кнопку Добавить адаптер (Add Adapter). В результате откроется диалог выбора сетевой карты (Select Network Adapters). В этом диалоге нужно отметить флажками сетевую карту, которая будет корнем новой Сети.

После этого можно просмотреть параметры новой Сети брандмауэра TMG на заключительной странице мастера Completing the New Network Wizard, показанной на рисунке 4. (Обратите внимание, что IP адреса разные, поскольку я уже использую Гостевую сеть для другой Сети брандмауэра TMG).

Затем можно переходить в раздел Сети (Networking) в левой панели консоли и дважды нажать на новой Сети. Здесь вы найдете диалог Свойств, показанный на рисунке 5. Обратите внимание, что диалог свойств Сети периметра будет таким же, как и для Внутренней сети.

Мастер создания нового Набора сетей

Далее мы рассмотрим, как создавать новый Набор сетей (Network Set). Набор сетей представляет собой простое собрание Сетей брандмауэра TMG, которое можно использовать в Правилах доступа и публикации. При нажатии на Наборе сетей (Network Set) в меню Новый (New) открывается приветственная страница мастера Welcome to the New Network Set Wizard, как показано на рисунке 6. На этой странице вводится имя нового Набора сети. В этом примере мы назовем сетевой набор Secure Networks.

На странице Выбор сетей (Network Selection), рисунок 7, у вас есть два варианта на выбор: Включить все выбранные сети (Includes all selected networks) и Включить все сети кроме выбранных (Includes all networks except the selected networks). После выбора подходящей опции, в зависимости от количества имеющихся у вас сетей и от количества сетей, которые вы хотите включить в набор, поставьте флажок для выбора нужных сетей.

Итак, все готово! Нажмите Завершить (Finish) на заключительной странице мастера Completing the New Network Set Wizard, рисунок 8.

Ура! Теперь в разделе наборов сетей в сетевых объектах у вас должен появиться Набор сетей, как показано на рисунке 9.

Набор категорий адресов URL

Набор категорий адресов (URL Category Set) представляет собой собрание URL категорий, которые используются для фильтрации (примеры URL категорий могут включать алкоголь, азартные игры и порнографию). Существует ряд предустановленных наборов категорий адресов (например, набор Liability Category Set включает все указанные выше категории и несколько других). Однако предустановленные наборы могут быть неточными для вашей организации. И это не проблема, поскольку мастер создания наборов категорий адресов позволяет вам создавать собственные наборы категорий адресов URL. В меню Новый (New) выберите опцию создания набора категорий адресов URL Category Set. У вас откроется приветственная страница мастера Welcome to the New URL Category Set Wizard, рисунок 10. Введите имя нового набора. В этом примере мы назовем его Temp Employees, назначением которого будет определение правила, управляющего тем, какие сайты временные работники могут посещать.

На странице Выбор категорий адресов (URL Category Selection), рисунок 11, есть две опции, подобные тем, что мы встречали в наборах сетей: Включить все выбранные категории адресов URL и Включить все категории URL адресов кроме выбранных. После выбора нужной опции, отметьте флажками необходимые категории.

Просмотрите выбранные параметры на заключительной странице мастера Completing the New URL Category Set Wizard, рисунок 12. Обратите внимание, что можно прокрутить вправо, чтобы посмотреть полный список категорий URL адресов, включенных в набор категорий. Нажмите Готово.

Теперь новый набор категорий адресов URL появится в списке наборов URL Category Sets и может использоваться в Правилах доступа для управления тем, какие сайты могут посещать временные работники.

Мастер создания нового веб прослушивателя

Как вы уже, возможно, знаете, Веб-прослушиватель (Web Listener) представляет собой программный компонент, используемый в правилах веб публикации (Web Publishing Rules). Веб прослушиватель принимает запросы входящих подключений для публичных веб северов. Веб прослушиватели определяют способ проверки подлинности, который может использоваться брандмауэром TMG для проверки подлинности пользователей, прежде чем будет разрешено подключение к публичному веб серверу. Зачастую это называют предварительной проверкой подлинности. Предварительная проверка подлинности дает множество преимуществ для безопасности и если ваш сайт требует проверку подлинности, всегда следует использовать эту опцию.

Обычно, новый Веб прослушиватель создается при публикации веб сайта с помощью мастера создания правила веб публикации. Однако, если нужно создать Веб прослушиватель вне мастера веб публикации, можно сделать это здесь. В меню New нажмите на опцию Веб прослушиватель. У вас откроется страница Welcome to the New Web Listener Wizard, как показано на рисунке 14. Введите здесь имя Веб прослушивателя. В этом примере мы назовем его HTTP Listener, и его целью будет прием входящих подключений к незашифрованному веб содержимому, который не будет требовать проверки подлинности.

На странице Безопасность клиентского соединения (Client Connection Security), рисунок 15, нужно указать, будет ли от внешних клиентов требоваться создание SSL подключения к брандмауэру TMG, прежде чем брандмауэр будет перенаправлять подключение к публичному веб серверу. Здесь есть две опции, которые довольно понятны:

• Требовать SSL защищенные подключения клиентов
• Не требовать SSL защищенные подключения клиентов

Обратите внимание на предупреждение; если использовался HTTP, не нужно требовать проверку подлинности на брандмауэре TMG, поскольку учетные данные передаются через интернет чистым текстом и могут быть с легкостью перехвачены.

На странице адресов веб прослушивателя Web Listener IP Addresses, рисунок 16, нужно выбрать Сеть, на которой веб прослушиватель будет слушать входящие подключения. В большинстве случаев веб прослушиватель нужно устанавливать для прослушивания входящих подключений на стандартной Внешней сети, поэтому мы указываем Внешняя (External) в данном примере. Если вы выберите эту опцию, веб прослушиватель будет слушать входящие подключения на всех адресах, привязанных к внешнему интерфейсу брандмауэра TMG. В общем, этого делать не нужно; вместо этого нужно, чтобы веб прослушиватель принимал подключения с определенных IP адресов, чтобы можно было создавать несколько веб прослушивателей с разными параметрами для поддержки разных способов проверки подлинности и шифрования. Для выбора определенного IP адреса нажмите кнопку Выбрать IP адреса (Select IP Addresses). Это вызовет диалог выбора адресов прослушивателя внешней сети External Network Listener IP Selection. Здесь вы можете выбрать опцию Указанные IP адреса на компьютера Forefront TMG в выбранной сети (Specified IP addresses on the Forefront TMG computer in the selected network), а затем выбрать IP адрес, на котором будет слушать веб прослушиватель.

На странице параметров проверки подлинности Authentication Settings, рисунок 17, задается тип проверки подлинности, который должен поддерживать веб прослушиватель. Здесь у вас есть три варианта:

• проверка подлинности HTTP (HTTP Authentication)
• Проверка подлинности на основе форм HTML (HTML Form Authentication)
• Без проверки подлинности (No Authentication)

В зависимости от выбранной вами опции будут доступные разные способы проверки подлинности. Например, если вы выберите Network Object Authentication, то не будет доступно никаких способов аутентификации. Если выбрать HTML Form Authentication, все способы проверки подлинности будут доступны. Однако, нельзя включать проверку подлинности на брандмауэре TMG, если не используется SSL, и это особенно актуально для HTML Form Authentication, поскольку учетные данные основаны на чистом тексте и не закодированы, как в случае с простой проверкой подлинности (хотя это и не принципиально, поскольку большинство сетевых анализаторов с легкостью выполнят декодирование). Суть в следующем: если проверка подлинности на брандмауэре TMG обязательна, подключения к брандмауэру должны быть SSL подключениями. На самом деле, если вы попытаетесь разрешить незашифрованные подключения к брандмауэру TMG, вы получите предупреждение.

Все это напоминает мне, что следует обратить ваше внимание на то, что эти способы проверки подлинности необходимы для аутентификации внешних пользователей на брандмауэре TMG, как часть процесса предварительной проверки подлинности. Брандмауэр TMG также может выполнять делегирование проверки подлинности, при которой учетные данные, полученные брандмауэром, могут быть пересланы на публичный сервер после того, как пользователи успешно проходят проверку подлинности на брандмауэре TMG. Это позволяет пользователю не вводить учетные данные повторно (на самом публичном сервере).

В этом примере мы выберем опцию Без проверки подлинности (No Authentication). Обратите внимание на рисунке 18 на то, как все опции становятся неактивными после выбора этой опции.

На странице параметров единого входа Single Sign On Settings, рисунок 19, можно настроить веб прослушиватель на поддержку единого входа (Single Sign On). Поскольку пользователь не проходит проверку подлинности на брандмауэре TMG при использовании данного веб прослушивателя, нет необходимости в использовании SSO, так как самого входа нет

На странице RADIUS Servers, рисунок 20, можно добавить RADIUS серверы, если вы решите использовать проверку подлинности на основе RADIUS для веб прослушивателя. Однако, поскольку мы решили не поддерживать проверку подлинности на веб прослушивателе, нет причин рассматривать эту страницу. Полагаю, это небольшая ошибка в мастере веб прослушивателя ‘ но ее можно просто пропустить, что мы и сделаем.

На заключительной странице мастера Completing the New Web Listener Wizard, рисунок 21, просмотрите параметры и нажмите Завершить.

Когда все готово, вы увидите новый веб прослушиватель в списке Web Listeners, как показано на рисунке 22.

Мастер создания новой фермы серверов

Можно использовать брандмауэр TMG для публикации веб фермы. Веб ферма обычно представляет собой коллекцию веб серверов, содержащих одинаковый контент и службы, и используется для высокой доступности и отказоустойчивости. При публикации веб фермы с помощью брандмауэра TMG не нужно использовать NLB или внешний аппаратный балансировщик нагрузки для публикации веб фермы. Брандмауэр TMG будет осуществлять оценку подключений и автоматически балансировать нагрузку подключений к публичным веб серверам, а также будет удалять нерабочие веб серверы, когда TMG определит, что участник веб фермы не в сети.

На приветственной странице мастера Welcome to the New Server Farm Wizard, рисунок 23, вводится имя веб фермы. В этом примере мы назовем веб ферму CAS TAC.

На странице Серверы (Servers), показанной на рисунке 24, можно нажать кнопку Добавить (Add) и ввести имя или IP адрес участника веб фермы в диалоге Подробности сервера (Server Details). Можно добавить столько серверов в ферму, сколько вам нужно; в программе нет ограничений.

Можно посмотреть список IP адресов или имен серверов в веб ферме в списке Серверов, включенных в эту ферму (Servers included in this farm) на странице, показанной на рисунке 25.

Брандмауэру TMG нужно проверить всех участников фермы, чтобы убедиться, что они в режиме онлайн. Если он определит, что участник фермы не в сети, он удалит этот сервер из списка серверов, среди которых выполняется балансировка нагрузки. На странице Наблюдение подключений фермы серверов (Server Farm Connectivity Monitoring), рисунок 26, можно выбирать способ, используемый для подтверждения работоспособности подключений. Здесь есть три варианта: Отправка HTTP/HTTPS GET запроса, Отправка PING запроса и Создание TCP подключения. Если выбрать Создание TCP подключения, нужно ввести номер TCP порта, на котором будет создаваться канал.

Обратите внимание, что если выбрать PING или TCP подключения, это будет говорить брандмауэру TMG только о том, что сервер может отвечать на PING запрос или создавать TCP туннель к брандмауэру TMG. Однако, это не говорит брандмауэру TMG ничего о работоспособности публичной службы. Если нужно знать больше о работоспособности службы, лучше выбирать опцию Отправка HTTP/HTTPS Get запроса. Если серверам в ферме необходим определенный заголовок узла, можно использовать кнопку настройки Configure для указания заголовка.

На заключительной странице мастера Completing the New Server Farm Wizard, рисунок 27, проверяйте все параметры и нажимайте Готово.

После нажатия кнопки Готово вы увидите информационный диалог, рисунок 28, говорящий о средствах проверки подключений и спрашивающий о том, нужно ли автоматически настроить Политику системы на поддержку средств проверки подключений. Нажмите Да (Yes), чтобы обеспечить корректную работу этих средств.

Теперь новая ферма серверов появится в списке Server Farms, как показано на рисунке 29.

Заключение

В этой статье мы рассмотрели более сложные Сетевые объекты и Мастеров для их создания. Как и в случае с простыми сетевыми объектами, эти сложные сетевые объекты могут использоваться в правилах доступа и публикации для определения источников и целей. Надеюсь, эта статья будет для вас полезной, и если у вас возникнут вопросы о сетевых объектах и о том, как их создавать, пишите мне! Спасибо! -Дэб.

Если вы хотите прочитать предыдущие части этого цикла статей, перейдите по ссылкам:

• Назад к основам TMG — часть 1: Правила публикации сервера
• Назад к основам TMG — часть 2: Использование программы просмотра журналов TMG
• Назад к основам TMG — часть 3: Дефиниции протоколов
• Назад к основам TMG — часть 4: Сетевые объекты

Автор: Деб Шиндер (Deb Shinder)

Дебра Литтлджон Шиндер (DEBRA LITTLEJOHN SHINDER), MCSE, MVP (Security) является консультантом по технологиям, инструктором и писателем, автором множества книг по компьютерным операционным системам, сетям и безопасности. Она также является техническим редактором, редактором по разработкам и соавтором для более чем 20 дополнительных книг. Ее статьи регулярно публикуются на TechProGuild Web-сайте TechRepublic и Windowsecurity.com и появляются в печатных журналах, таких как Windows IT Pro (прежнее название: Windows & .NET) Magazine. Она создала учебные материалы, корпоративные технические описания, маркетинговые материалы и документацию по продуктам для Microsoft Corporation, Hewlett-Packard, DigitalThink, GFI Software, Sunbelt Software, CNET и других технологических компаний. Деб живет и работает в Dallas-Ft Worth районе и может быть доступна по почте mailo:deb@shinder.net или через web-сайт www.shinder.net.

Эта статья опубликована с разрешения: www.isaserver.org
Оригинал: http://www.isaserver.org/tutorials/TMG-Back-Basics-Part5.html