Portal Zarządzających Bezpieczeństwem

W konsoli zapory TMG kliknij link Configure Web Proxy w zakładce Tasks w oknie zadań po tym, jak klikniesz węzeł Web Access Policy w lewym oknie konsoli zapory TMG. Pojawi się okno dialogowe Properties dla domyślnej sieci wewnętrznej. Możesz tu ustawić konfigurację dla odbiornika Sieci Proxy w zakładce Web Proxy. Użyj zakładki, aby ustanowić rodzaj uwierzytelnienia, jakiego potrzebujesz do obsługi połączeń wychodzących z tej sieci zapory TMG.

Mimo że tak jest wygodnie, w większości przypadków będziesz miał więcej niż jedną sieć „wewnętrzną” za zaporą TMG, tak więc będziesz musiał przejść do węzła Networks w lewym oknie konsoli, aby skonfigurować odbiornik Sieci Proxy dla tych sieci zapory TMG.

Gdy klikniesz link Configure Web Caching w zakładce Tasks pola zadań, pojawi się okno dialogowe Cache Settings. Jest to nowe okno dialogowe, które łączy wiele opcji konfiguracji, umiejscowionych w różnych lokalizacjach w poprzednich wersjach zapory ISA Firewall. W oknie dialogowym Cache Settings możesz skonfigurować swój napęd/napędy, stworzyć reguły buforowania, stworzyć zadania ściągania treści oraz skonfigurować ustawienia zaawansowane dla buforowania sieci. Połączenie wszystkich tych funkcji buforowania sieci w jednym oknie dialogowym jest miłym udogodnieniem wprowadzonym w zaporze Forefront TMG.

Na rysunku poniżej widać zakładkę General. Pokazuje ona, że całkowity rozmiar pamięci podręcznej to 100 MB w tym momencie. Rzecz, która naprawdę mi się podoba w oknach dialogowych TMG, to obszerne podlinkowanie do zawartości pliku pomocy. A zawartość pliku pomocy, nawet w wersji beta, jest wyjątkowo dobra.

Kliknij na zakładkę Cache Drives i zobaczysz listę napędów pamięci podręcznej. Jeśli wybierzesz jeden z tych napędów i klikniesz na przycisk Configure, możesz zmienić rozmiar napędu pamięci podręcznej, a nawet przenieść do innego woluminu.

Kliknij na zakładkę Cache Rules. Możesz tu dostosować istniejące zasady pamięci podręcznej lub stworzyć nowe. Microsoft Update Cache Rule jest szczególną zasadą, która umożliwia zaporze TMG obsługę buforowania BITS. Z technicznego punktu widzenia zapora TMG obsługuje buforowanie BITS, ale naprawdę działa właściwie tylko ze stroną Microsoft Update, więc musisz się upewnić, że nie aktywowałeś jej dla żadnych innych zasad pamięci podręcznej. W rzeczywistości, gdy sprawdza się tę funkcję na TMG, zauważyłem, że brak jest opcji włączenia buforowania BITS na innej zasadzie, ponieważ opcja ta jest przyciemniona.

Zasada Web Access Scenario Cache Rule jest tworzona, kiedy kreator Web Access Policy Wizard zostaje uruchomiony. Jego konfiguracja oparta jest na Twoich wyborach podczas pracy na tym kreatorze, co omówimy w kolejnym artykule.

Zasada Default Rule ma zastosowanie na wszystkich innych połączeniach. W większości przypadków zasada ta będzie taka sama jak Web Access Scenario Cache Rule. Pamiętaj, że Cache Rules określają sposób, w jaki zawartość jest buforowana przez zaporę TMG, gdy buforowanie sieci jest włączone.

W tej zakładce dostępne są także opcje Export lub Import zasad pamięci podręcznej (Cache Rules).

Jeśli wybierzesz zasadę Microsoft Update Cache Rule i klikniesz przycisk Edit, a następnie klikniesz zakładkę Advanced, zobaczysz, że Enabling caching of content received through the Background Intelligent Transfer Services (BITS) /Włączenie buforowania zawartości otrzymanej poprzez Usługi Background Intelligent Transfer (BITS)/ jest włączone i przyciemnione, aby nie dało się tego wyłączyć.

Zadanie ściągania treści (Content Download Job) umożliwia wcześniejsze ściągnięcie treści (to pre-load content) do pamięci podręcznej zapory TMG. Na przykład: jeśli istnieje strona, z której treść chcesz pobrać, zanim wejdą na nią inni użytkownicy, możesz stworzyć zadanie ściągania treści (Content Download Job), które będzie pobierało treść, a gdy później użytkownicy będą próbowali wejść do tej treści, zostanie ona im dostarczona z pamięci podręcznej, zamiast z serwera-odbiorcy.

Na rysunku poniżej widać okno dialogowe, które pojawia się, gdy próbujesz po raz pierwszy stworzyć nową regułę ściągania treści. Umożliwia to Sieci Lokalnego Serwera oczekiwanie na prośby klienta sieci proxy. Jest to wymagane, aby zapora TMG mogła być źródłem próśb bez konieczności polegania na konfiguracji domyślnej sieci wewnętrznej.

W zakładce Advanced możesz wybrać globalne ustawienia buforowania, np.:

• Cache objects that have an unspecified last modification time (Buforuj obiekty, które mają nieokreślony czas ostatniej modyfikacji) Umożliwi to zaporze TMG buforowanie informacji, które nie zawierają czasu wygaśnięcia. Czas pozostawania informacji w pamięci podręcznej zostanie określony przez ustawienia w zasadzie buforowania, która dotyczy konkretnego obiektu (strona HTML, grafika, itd.)
• Cache objects even if they do not have an HTTP status code of 200 (Buforuj obiekty, nawet jeśli nie posiadają kodu statusu HTTP 200) Umożliwi to buforowanie obiektów, nawet jeżeli odpowiedź HTTP 200 (OK) nie powróciła, tzn. gdy powracają kody odpowiedzi 203, 300, 301 i 410 (zobacz: 10 Status Code Definitions)
• Maximum size of URL cached in memory (Maksymalny rozmiar zapamiętanego URL) Jest to maksymalny rozmiar obiektu, jaki może zostać przechowany w pamięci podręcznej RAM. Możesz chcieć się upewnić, że ten rozmiar nie jest za duży, ponieważ masz ograniczoną pamięć podręczną, a chcesz mieć w niej jak najwięcej informacji. Wartość domyślna jest dobrym wyjściem.

Istnieją też inne opcje, umożliwiające decydowanie o sposobie obchodzenia się ze zdezaktualizowanymi obiektami, których ważność wygasła, jeżeli nie ma możliwości dojścia do strony WWW.

Można także procentowo skonfigurować pamięć, w zależności od tego jaką jej część chcesz poświęcić na pamięć podręczną. Należy pamiętać, że pamięć typu „in-memory cache” jest o wiele szybsza niż pamięć typu „on-disk cache”, ale trzeba również mieć na uwadze fakt, że nie jest to tak naprawdę „wolna pamięć” i nie jest konfigurowana dynamicznie. Jeżeli inny proces będzie wymagał większej ilości pamięci, pamięć podręczna nie zmniejszy własnego rozmiaru, aby uwolnić pamięć dla innego procesu, który mógłby jej potrzebować.

Gdy klikniesz na Configure HTTP Compression pojawi się okno dialogowe HTTP Compression. Zauważ, że ta funkcja jest włączona domyślnie. Jednak nie ma sieci skonfigurowanych tak, aby „zwrócić skompresowane dane” (Return Compressed Data) lub „wywołać skompresowane dane” (Request Compressed Data). W większości przypadków nie wykorzystuje się tej funkcji, chyba, że występuje scenariusz łańcuchowy sieci proxy.

Gdy klikniesz na link Configure RADIUS Server Settings lub Configure LDAP Server Settings w zakładce Tasks pola zadań, pojawi się okno dialogowe Authentication Servers. W tym oknie dialogowym zobaczysz zakładkę RADIUS Servers i LDAP Servers.

Możesz skonfigurować zaporę TMG, aby korzystała z uwierzytelnienia RADIUS tak dla przychodzących, jak i wychodzących połączeń. Niestety RADIUS jest trudny w obsłudze, ponieważ, aby skonfigurować grupowe sterowniki dostępu, musisz stworzyć tę grupę w katalogu Active Directory. Nie da się stworzyć własnych grup zapory TMG (tak samo jak możliwość tworzenia grup ISA Firewall w ISA 2004/2006).

Potencjalne rozwiązanie tego problemu, to użycie uwierzytelnienia LDAP. W poprzednich wersjach ISA Firewall uwierzytelnienie LDAP mogło być używane tylko przy połączeniach przychodzących. Oczekiwałem, że uwierzytelnienie LDAP będzie mogło obsługiwać połączenia wychodzące w TMG, lecz przynajmniej wersja beta TMG nie daje takiej możliwości. Tak więc w tym momencie możemy używać uwierzytelnienia LDAP dla połączeń przychodzących (Web Publishing Rule).

Gdy klikniesz link Configure DiffServ Preferences w zakładce Tasks pola zadań, zobaczysz okno dialogowe HTTP DiffServ. DiffServ jest przydatny w przypadku infrastruktury trasowanej, która obsługuje priorytezowanie pakietów przy użyciu wartości Differentiate Services Code Point (DSCP), które są standardem branżowym przy wdrażaniu Quality of Service (QoS) w sieciach trasowanych.

Bity DiffServ mogą być jedynie ustawione dla połączeń HTTP poprzez zaporę TMG. Nie będziesz mógł ustawić ich dla komunikacji przy użyciu innych protokołów poprzez Forefront TMG. Wartości te mogą być konfigurowane dla adresów URL, domen i sieci.

Trzeba być także świadomym, że TMG nie będzie mógł przesyłać bitów DiffServ na pakietach, które otrzymuje. Więc jeśli za TMG jest router przesyłający ruch, a bity DiffServ są ustawione na zaporze TMG, bity te nie będą przesyłane przez TMG.

Gdy klikniesz na link Configure Certificate Revocation w zakładce Tasks pola zadań, pojawi się okno dialogowe Certificate Revocation. Domyślnie włączone zostają takie ustawienia:

• Verify that incoming client certificates are not revoked (Sprawdź czy certyfikaty klienta przychodzącego nie są unieważnione). Gdy to ustawienie jest włączone, zapora TMG będzie próbowała sprawdzać, że certyfikaty użytkowników przedstawione zaporze TMG w celu uwierzytelnienia poprzez Web Publishing Rules nie zostały unieważnione.
• Verify that incoming server certificate are not revoked in a Forward scenario (Sprawdź czy certyfikat serwera przychodzącego nie jest unieważniony w scenariuszu „forward”). To ustawienie w zaporze TMG sprawdza czy certyfikaty serwera nie są unieważnione, gdy klienci sieci proxy próbują połączyć się z bezpiecznym serwerem. W zasadzie są tu dwa scenariusze. Pierwszy występuje, gdy klient sieci proxy znajduje się za zaporą TMG. Drugi, gdy zapora TMG sama w sobie działa jak klient sieci proxy, jak to jest w scenariuszu łańcuchowym sieci proxy.

Istnieje jedna opcja, która nie jest włączana domyślnie:

• Verify that incoming server certificates are not revoked in a reverse scenario (Sprawdź czy certyfikaty serwera przychodzącego nie są unieważnione w scenariuszu zwrotnym). Gdy ta opcja jest włączona, zapora TMG będzie sprawdzać czy certyfikat serwera przedstawiony zaporze TMG przez opublikowany serwer jest unieważniony. Zauważ, że jest to problem jedynie przy mostkowaniu SSL do SSL, ponieważ w scenariuszu mostkowania SSL do HTTP wewnętrzny serwer sieciowy nie przedstawia zaporze TMG certyfikatu serwera.

W drugiej części serii na temat węzła Polityki Dostępu do Sieci w konsoli zapory TMG omówiliśmy opcje znajdujące się w zakładce Tasks pola zadań. W kolejnej, ostatniej, części szczegółowo omówimy kreatora Web Access Policy Wizard. Do zobaczenia! –Tom.