我正在运行 Forefront TMG SP1 汇总 3。所有桌面客户端都将安装防火墙客户端。服务器则不会。
我想根据已成功通过身份验证的流量和未通过身份验证的流量来隔离出站网络流量。这种隔离最终将用于区别对待流量。
假设我有两个内部->外部 HTTP / HTTPS允许列出的规则 - 第一个需要身份验证,第二个不需要 - 这是否会提供所需的行为?我知道任何需要身份验证并阻止流量的规则都会固有地阻止任何未启用身份验证的流量。我只是有点不清楚是否会出现类似的问题并出现允许语句。我还担心添加包含 HTTP / HTTPS 身份验证的规则是否会影响任何非 HTTP* 规则,例如 SMTP,我希望将其保持在规则链的较低位置。
答案1
我构建了一个测试环境并将我建议的配置应用于单个 IP。不幸的是,如果在 Forefront 中使用经过身份验证的规则,身份验证似乎不会被视为规则的一部分,而是事后处理 - 所有流量都会路由到该规则,如果流量是匿名的,则会自动丢弃。
我曾希望,在设计良好的产品中,用户标准将被视为主要规则定义的一部分 - 如果标准不满足,流量将转到链中的下一个规则。但事实并非如此。
答案2
答案多于描述规则排序问题。
匿名规则必须在经过身份验证的规则之前处理;不可能根据您认为的最终去向推测性地要求客户端进行身份验证。
用 HTTP 术语来说,第一个 GET 总是匿名的,因此匿名规则必须放在第一位,以免受到身份验证的限制。
从实际角度来说,这意味着您可以拥有指向同一目标的多个经过身份验证的规则,或者首先拥有单个匿名规则,但不能拥有不会导致用户进行身份验证的经过身份验证的规则,然后再拥有匿名规则。我不确定是否有一种设计可以适应这种情况。
Web 代理客户端的认证规则按协议、源、命名空间和其他各种旋钮进行划分,因此,是的,您可以制定适用于 HTTP 的规则,而这些规则不一定对 SMTP 进行认证(最重要的提示:将 Web 协议规则与非 Web 协议规则分开);制定仅适用于源子网或目标 URL 集的规则,等等。
仍然是对 ISA/TMG 规则处理的最佳参考: