Управление доступом в Интернет: краткое введение в правила доступа TMG — Часть 3: Основы правил веб-публикации брандмауэра TMG

• Управление доступом в Интернет: краткий обзор правил доступа TMG (часть 1)
• Управление доступом в Интернет: краткий обзор правил доступа TMG (часть 2)

Введение

На этой неделе мы продолжаем нашу серию статей об основах брандмауэра TMG для всех тех новых администраторов TMG, о которых я слышал, рассказывая об основных элементах веб-публикации. Веб-публикация — это термин, который мы используем для обозначения обратного прокси-сервера для веб-сайтов, чтобы внешние пользователи могли получить доступ к веб-сайтам, расположенным за брандмауэром TMG. Обратите внимание, что на самом деле есть два способа сделать веб-сайты доступными для внешних пользователей: веб-публикация и публикация на сервере. Веб-публикация позволяет брандмауэру TMG действовать как обратный прокси-сервер, в то время как публикация сервера делает веб-сервер доступным через обратный NAT. Веб-публикация является предпочтительным методом, так как с его помощью вы можете воспользоваться преимуществами предварительной аутентификации и многими другими функциями, недоступными при обратном NAT.

Чтобы познакомить вас с процессом веб-публикации, давайте начнем с публикации простого HTTP-сайта, расположенного за брандмауэром TMG. Этот базовый сайт не требует SSL и аутентификации. В дальнейшем мы рассмотрим несколько более сложных примеров, в которых можно использовать SSL и аутентификацию.

Чтобы начать, щелкните узел «Политика брандмауэра» на левой панели консоли брандмауэра TMG, как показано на рисунке 1 ниже.

фигура 1

На правой панели консоли щелкните вкладку Задачи. Затем на вкладке Tasks щелкните ссылку Publish Web Sites, показанную на рис. 2 ниже.

фигура 2

Это вызовет страницу приветствия мастера нового правила веб-публикации. На этой странице, показанной на рисунке 3, вам нужно дать правилу имя. В текстовом поле имени правила веб-публикации для этого примера мы введем имя веб-сервера HTTP и затем нажмем «Далее».

Рисунок 3

На странице Select Rule Action, как показано на рис. 4, вы можете настроить правило, чтобы разрешить или запретить подключение. В этом примере мы выберем Разрешить. Параметр «Запретить» используется в особых случаях; чаще всего вы собираетесь создавать правила веб-публикации, которые разрешают соединения с веб-сайтом за брандмауэром TMG.

Рисунок 4

На странице Тип публикации, показанной на рис. 5, вы выбираете один из трех сценариев, соответствующих среде вашего веб-сервера. В этом примере мы хотим опубликовать один веб-сервер, расположенный за брандмауэром TMG, поэтому мы выберем вариант «Публикация одного веб-сайта или балансировщика нагрузки» и нажмем « Далее».

Рисунок 5

На странице Server Connection Security, показанной на рис. 6, вы должны выбрать, будет ли брандмауэр TMG использовать SSL для подключения к веб-серверу. В этом сценарии нам не потребуется SSL между брандмауэром TMG и веб-сервером, поэтому мы выберем параметр Использовать незащищенные соединения для подключения к опубликованному веб-серверу или ферме серверов.

Помните, что для наиболее безопасного соединения лучше использовать SSL.

Рисунок 6

На странице сведений о внутренней публикации, показанной на рис. 7, вас попросят указать имя сервера в интрасети. В этом примере мы введем полное доменное имя (FQDN) сервера в интрасети, на котором размещен веб-сайт, то есть dc1.msfirewall.org. Здесь также можно установить флажок Использовать имя компьютера или IP-адрес для подключения к опубликованному серверу, а затем ввести другое имя или IP-адрес сервера. Это позволяет брандмауэру TMG найти сервер, если он использует имя, отличное от того, которое вы ввели в текстовое поле Внутреннее имя сайта. После ввода этой информации нажмите «Далее».

Рисунок 7

На странице «Сведения о внутренней публикации», показанной на рисунке 8, вы можете ввести путь, чтобы ограничить пользователям доступ к определенному файлу или папке на веб-сервере. Однако в этом примере мы хотим разрешить доступ ко всему сайту, поэтому не будем вводить путь. После того, как вы сделаете свой выбор здесь, нажмите «Далее».

Рисунок 8

На странице Public Name Details, показанной на рис. 9, введите имя веб-сайта, к которому будут обращаться пользователи. Это имя, которое пользователи фактически будут использовать для доступа к сайту. Для этого выберите вариант Это доменное имя (введите ниже) в раскрывающемся списке Принимать запросы на. После выбора этого параметра введите имя, которое пользователи будут использовать для доступа к сайту, в текстовом поле Общедоступное имя. В этом примере пользователи будут использовать имя www.msfirewall.org для доступа к сайту, поэтому мы введем его в текстовое поле. Опять же, у нас есть возможность ввести путь, но мы этого делать не будем. Нажмите «Далее».

Рисунок 9

На странице Select Web Listener, показанной на рисунке 10, выберите веб-прослушиватель, который будет использоваться для приема подключений от внешних пользователей для доступа к веб-сайту. В нашем примере веб-прослушиватели еще не настроены, поэтому в раскрывающемся списке их нет. Чтобы создать новый веб-прослушиватель HTTP, нажмите кнопку «Создать».

Рисунок 10

Откроется страница Добро пожаловать на страницу мастера создания нового веб-прослушивателя, показанную на рис. 11. Здесь мы введем имя веб-прослушивателя в текстовое поле Имя веб-прослушивателя (мы используем имя HTTP-прослушиватель), а затем нажмем «Далее».

Рисунок 11

На странице Client Connection Security, показанной на рис. 12, вы должны указать, хотите ли вы, чтобы внешние пользователи использовали SSL для подключения к брандмауэру TMG. В этом примере мы хотим опубликовать простой HTTP-сайт, поэтому выберем вариант «Не требовать защищенного SSL-соединения с клиентами» и нажмем «Далее».

Рисунок 12

На странице IP-адресов веб-прослушивателя, показанной на рис. 13, выберите сеть, в которой вы хотите, чтобы брандмауэр TMG принимал соединения с веб-сайтом. В большинстве случаев, когда вы публикуете веб-сайт для внешних пользователей, вы выбираете внешнюю сеть по умолчанию для приема входящих подключений. Если у вас есть несколько IP-адресов, привязанных к внешнему интерфейсу, вы можете нажать кнопку «Выбрать IP-адреса», а затем выбрать конкретный IP-адрес, который вы хотите принимать для подключения; в большинстве случаев вы захотите сделать это вместо того, чтобы принимать подключения со всех IP-адресов, которые могут быть настроены на внешнем интерфейсе брандмауэра TMG. В этом примере у нас есть только один IP-адрес на внешнем интерфейсе, но мы выберем этот конкретный IP-адрес на тот случай, если в будущем мы добавим дополнительные IP-адреса на внешний интерфейс.

Рисунок 13

На странице настроек аутентификации, показанной на рис. 14, выберите тип аутентификации, который будет использоваться для подключения к брандмауэру TMG для доступа к сайту. Этот тип аутентификации часто называют «предварительной аутентификацией», поскольку пользователь фактически проходит аутентификацию с помощью брандмауэра TMG перед аутентификацией на веб-сервере. В этом примере нам не потребуется аутентификация, поэтому мы выберем вариант «Без аутентификации» и нажмем «Далее».

Рисунок 14

На странице настроек единого входа, показанной на рисунке 15, вы можете настроить веб-прослушиватель для поддержки единого входа для всех сайтов, публикуемых через этот веб-прослушиватель. Однако для того, чтобы единый вход работал, пользователь должен войти в систему. Поскольку в этом примере аутентификация не требуется, единый вход неприменим, поэтому мы продолжим и нажмем Далее.

Рисунок 15

Это приводит нас к последней странице мастера веб-прослушивателя, показанной на рис. 16. Здесь мы просмотрим настройки на странице «Завершение мастера создания нового веб-прослушивателя» и нажмем «Готово».

Рисунок 16

Теперь вернемся к исходному мастеру. Теперь новый веб-прослушиватель появится на странице «Выбор веб-прослушивателя», показанной на рис. 17, и вы сможете увидеть некоторые сведения о веб-прослушивателе. Доступны некоторые дополнительные параметры, которые можно настроить в веб-прослушивателе. Вы можете получить к ним доступ, нажав кнопку «Редактировать». Мы рассмотрим их в следующей статье. А пока мы продолжим и нажмем Next.

Рисунок 17

На странице Authentication Delegation, показанной на рис. 18, вы настраиваете, как брандмауэр TMG делегирует учетные данные опубликованному веб-сайту. Это означает, что пользователю нужно будет только один раз аутентифицироваться на брандмауэре TMG вместо того, чтобы вводить учетные данные для аутентификации на брандмауэре TMG, а затем вводить их снова для аутентификации на опубликованном веб-сервере. В этом примере мы не требуем аутентификации, поэтому нет причин делегировать какие-либо учетные данные, поэтому мы выберем вариант «Нет делегирования, и клиент не может аутентифицироваться напрямую» и нажмем «Далее».

Рисунок 18

На странице «Наборы пользователей», показанной на рис. 19, выберите, каким пользователям или группам разрешен доступ к опубликованному веб-сайту. Чтобы включить эту опцию, вы должны потребовать, чтобы пользователи аутентифицировались, чтобы их можно было идентифицировать. Поскольку в этом примере мы не требуем аутентификации, мы будем использовать группу по умолчанию All Users. В контексте брандмауэра TMG «все пользователи» не означают всех аутентифицированных пользователей; на самом деле это означает «анонимные пользователи», поэтому, когда вы разрешаете доступ «всем пользователям», вы фактически разрешаете пользователям, не прошедшим аутентификацию, доступ к сайту.

Рисунок 19

Мы рассмотрим настройки на странице Completing the New Web Publishing Rule Wizard, показанной на рис. 20, а затем нажмем кнопку Test Rule.

Рисунок 20

Кнопка Test Rule позволяет вам увидеть, доступен ли веб-сайт через брандмауэр TMG. Как вы можете видеть на Рисунке 21 ниже, когда вы нажмете кнопку Test Rule, TMG попытается подключиться к веб-серверу, используя HTTP-соединение, а также выполнит PathPing для веб-сервера. Как вы можете видеть на рисунке, брандмауэр TMG смог подключиться к веб-серверу, и PathPing прошел успешно.

Рисунок 21

Теперь вы можете увидеть новое правило в списке правил брандмауэра. Чтобы активировать правило, необходимо нажать кнопку «Применить», как показано на рис. 22 ниже.

Рисунок 22

Появится диалоговое окно Configuration Change Description, показанное на рис. 23, и вы можете ввести комментарий об изменении, внесенном в политику брандмауэра. Брандмауэр TMG хранит эту информацию, чтобы вы могли использовать ее как часть вашей системы управления изменениями, чтобы помочь в устранении неполадок в будущем. С помощью этого диалогового окна вы также можете экспортировать конфигурацию брандмауэра, чтобы вы могли восстановить конфигурацию до того состояния, в котором она была до внесения этого изменения. Нажмите Применить, чтобы сохранить изменения.

Рисунок 23

Теперь конфигурация сохранена, и вы можете увидеть результаты в диалоговом окне «Сохранение изменений конфигурации», показанном на рис. 24. Обратите внимание, что в нем говорится, что существующие клиентские подключения будут переоценены в соответствии с новой политикой. Это новое в брандмауэре TMG – в брандмауэре ISA политика брандмауэра применяется только к новым соединениям.

Рисунок 24

Резюме

В этой статье мы рассмотрели основы веб-публикации с помощью TMG. Мы создали правило веб-публикации и создали простой веб-прослушиватель HTTP. В конце создания правила мы использовали тестовую кнопку, чтобы определить, доступен ли веб-сайт. В следующей статье этой серии мы создадим веб-сайт SSL, требующий аутентификации. Это предоставит вам некоторые из более продвинутых параметров, которые доступны вам при создании правил веб-публикации. Тогда увидимся! -Деб.