Microsoft Forefront TMG – FTP и публикация FTP-сервера

OSzone.net » Microsoft » Семейство Forefront » Microsoft Forefront TMG – FTP и публикация FTP-сервера
Автор: Марк Гроут
Иcточник: www.isadocs.ru
Опубликована: 25.12.2009

В этой статье я покажу вам, как пустить трафик сервера FTP через сервер TMG для исходящих соединений с помощью правил брандмауэра и для входящих соединений с помощью правил публикования сервера TMG. Еще я приведу особые соображения по поводу FTP в Forefront TMG.

Начнем

Замечание:Не забывайте, что информация в данной статье основана на версии release candidate Microsoft Forefront TMG, впоследствии что-нибудь может поменяться.

Несколько месяцев назад Microsoft выпустила RC 1 (Release Candidate) Microsoft Forefront TMG (Threat Management Gateway), в котором было множество новых восхитительных возможностей.

Одной из таких новых возможностей Forefront TMG стала способность пускать трафик сервера FTP через брандмауэр в обоих направлениях. Это делается в форме правил доступа брандмауэра для исходящего доступа к FTP и с помощью правил публикования сервера для входящего доступа к FTP через публикуемый сервер FTP. Этот сервер располагается в вашей внутренней сети или в периметрической сети, известной также как DMZ (если вы не используете публичные IP-адреса для сервера FTP в DMZ).

Для начала я покажу вам действия, которые необходимо выполнить, чтобы создать правило в брандмауэре, которое откроет доступ к FTP для исходящих соединений через TMG.

Правило доступа к FTP

Создайте новое правило доступа, разрешающее протокол FTP для ваших клиентов. Если вы хотите открыть доступ к FTP для ваших клиентов, они должны быть клиентами Secure NAT или TMG, известными в предыдущих версиях Forefront TMG как клиенты брандмауэра.

Обратите внимание, пожалуйста:Если вы используете клиент Web proxy, помните, что с помощью этого типа клиента возможен доступ к FTP только для чтения, и что вы не можете использовать классический клиент FTP для доступа к FTP, для него возможен только доступ через web-браузер с некоторыми ограничениями.

На следующей картинке показано правило доступа к FTP.

*

Рисунок 1: Правило доступа к FTP

Один из хорошо известных, начиная с ISA Server 2004, подводных камней - по умолчанию после создания правила доступа к FTP, это правило позволяет доступ к FTP только с правом чтения из-за соображений безопасности, чтобы запретить пользователям загружать конфиденциальные данные за пределами организации без соответствующего разрешения. Если вы хотите разрешить загрузки на FTP, вам нужно будет щелкнуть правой кнопкой мыши на правиле доступа к FTP, а затем щелкнуть Configure FTP.

*

Рисунок 2: Configure FTP

Все, что вам нужно сделать, - это убрать флаг read only, подождать установления нового FTP-соединения, и пользователи получат все необходимые разрешения для осуществления загрузок на FTP.

*

Рисунок 3: Разрешение на запись через TMG

Публикование сервера FTP

Если вы хотите разрешить входящие соединения по FTP с вашими внутренними серверами FTP или с серверами FTP, расположенными в DMZ, вам понадобится создать правила публикования серверов, если сетевым отношением между внешней и внутренней сетью/DMZ является NAT. Если вы используете сетевое отношение маршрутизации, возможно использование правила брандмауэра для разрешения доступа к FTP.

Чтобы получить доступ к серверу FTP в вашей внутренней сети, создайте правило публикования сервера FTP.

Просто запустите мастер Server Publishing Rule Wizard и следуйте инструкциям.

В качестве протокола вам нужно выбрать определение протокола FTP Server, разрешающее входящий доступ к FTP.

*

Рисунок 4: Публикование протокола FTP-Server

Стандартное определение протокола FTP Server использует связанный стандартный протокол, который можно использовать для проверки NIS в случае, если подпись NIS доступна.

*

Рисунок 5: Свойства протокола FTP-Server

Стандартное определение протокола FTP Server открывает FTP-порт 21 для TCP для входящего доступа и определение протокола связано с фильтром доступа к FTP, отвечающего за работу с портом протокола FTP (данные FTP и порт управления FTP).

*

Рисунок 6: Порты FTP и связывание фильтра доступа к FTP

Active FTP

Одно из изменений в Microsoft Forefront TMG заключается в том, что брандмауэр теперь не разрешает соединения Active FTP по умолчанию из соображений безопасности. Вам нужно вручную включить возможность использовать соединения Active FTP. Можно подключить эту возможность в свойствах фильтра доступа к FTP. Перейдите к системному узлу в консоли TMG management console, выберите вкладку Applicaton Filters, выберите фильтр FTP Access filter и в панели задач щелкните Configure Selected Filter (Рисунок 7).

*

Рисунок 7: Свойства фильтра FTP Access filter

В свойствах фильтра FTP access filter выберите вкладку FTP Properties, включите Allow Active FTP Access и сохраните конфигурациюв хранилище TMG.

*

Рисунок 8: Разрешение для Active FTP через TMG

FTP-оповещения

В Forefront TMG предопределено множество настроек оповещений для различных компонентов и событий. Одно из них – функция оповещения FTP Filter Initialization Warning. Эти оповещения информирует администратора, когда фильтру FTP не удалось парсировать команду разрешения FTP.

*

Рисунок 9: Настройка оповещений FTP

Все действия для оповещений практически те же, что и в ISA Server 2006, так что здесь нет ничего нового для опытных администраторов ISA.

Заключение

В этой статье я показал вам некоторые способы открыть доступ к FTP через сервер TMG. Есть несколько подводных камней при реализации FTP. Вот один из таких подводных камней: с момента выпуска ISA Server 2004, разрешение доступа к FTP для записи через брандмауэр появилось впервые в Forefront TMG. Forefront TMG не разрешает соединения с FTP в режиме Active Mode по умолчанию, поэтому вам нужно вручную активировать эту функцию, если вам нужна такая конфигурация.


Ссылка: http://www.oszone.net/10956/Microsoft-Forefront-TMG-FTP