TMG Back to Basics - Parte 1: Regras de Publicao do Servidor

Introduo
Se voc novo no firewall TMG, voc deve ter se perguntado qual o servidor Regras de
publicao so tudo. A boa notcia que as regras de publicao do servidor so muito
simples - eles so essencialmente reversa Rede regras Address Translation que
permitem reverter NAT para uma srie de protocolos. No entanto, Server Publishing
Rules so mais do que NAT justamente o contrrio, porque o firewall TMG inclui uma
srie de filtros de aplicao (Editores essencialmente NAT) para suportar protocolos
complexos, e h tambm uma srie de filtros de aplicaes relacionadas com a
segurana que melhorar a segurana do reverso NAT.
Em contraste com as regras de Publicao Web, que pode ser extremamente complexo,
Server Publishing Rules so normalmente muito simples. Devido sua simplicidade,
alguns administradores preferem usar TMG Server Publishing Rules sobre as regras de
publicao na Web, mesmo que uma regra de publicao da Web pode ser a melhor
deciso do ponto de vista da segurana. Por exemplo, a publicao do Exchange 2010
pode ser muito complexo, e enquanto h um assistente que faz parte do trabalho para
voc, ele ignora o recurso de auto-descoberta que to til. Assim, muitas pessoas vo
fazer uma regra de publicao SSL Server para publicar o Exchange em vez de ir at o
aborrecimento principal de tentar Web Publish Exchange.
Na verdade, porque esse cenrio to comum, no exemplo de hoje vamos criar uma
regra de publicao SSL Server para mostrar exatamente como ele feito. Para comear
a criar uma regra de publicao Server, clique no n Firewall Policy no painel esquerdo
do console, e, em seguida, clique na guia Tarefas no painel de tarefas. No Painel de
Tarefas, clique em Publicar Non-Web Server ligao protocolos, como mostrado na
Figura 1.

A Figura 1
Isso traz a Bem-vindo ao servidor de pgina de publicao Assistente de nova regra,
mostrada na Figura 2. Na caixa de regra de publicao de texto Servidor nome, digite
um nmero para o Server Publishing Rule. Neste exemplo, vamos citar a regra do site
Complex SSL (vamos fingir, para fins deste exemplo, que este um servidor Exchange
CAS que estamos publicando). Clique em Avanar.

A Figura 2
Na pgina Selecionar Servidor, mostrado na Figura 3, digite o endereo IP do servidor
na rede interna que voc deseja publicar. Se voc no sabe o endereo IP, voc pode
clicar no boto Browse.

A Figura 3
Quando voc clicar no boto Browse, ir abrir o Localizar Internal IP caixa de dilogo Endereo
que mostrado na Figura 4. Digite o nome do servidor que voc deseja publicar na caixa de
texto Nome do servidor e clique em Procurar. Quando o sistema encontra o servidor, ele
listar o endereo IP na lista de endereos IP. Clique em OK depois de encontrar o endereo IP.

A Figura 4
Depois de ver o endereo IP na pgina do servidor selecionado, mostrado na Figura 5, clique
em Avanar.

A Figura 5
Na pgina Protocolo Select, como visto na Figura 6, seleccionar o protocolo pretende permitir
a ser utilizado pelo servidor publicado. Neste exemplo, queremos permitir SSL para o servidor
publicado, por isso, selecione o protocolo HTTPS do servidor da lista suspensa. Note-se que ao
publicar sites usando Server Publishing Rules, voc usa "Servidor" protocolos, como o
protocolo HTTPS servidor usamos nesta regra. Clique no boto Propriedades.

A Figura 6
Isso traz a caixa de dilogo Propriedades que mostrado na Figura 7. Clique na guia
Parmetros. Aqui voc pode ver a porta ou intervalos de portas que so usadas pelo
protocolo. Quando voc usa o construdo em protocolos, normalmente voc no vai
querer alterar as portas. Aqui voc obtm informaes sobre as conexes primrias e
secundrias que so suportados pelo protocolo. Voc tambm ter informaes sobre os
filtros de aplicativos que esto vinculados ao protocolo. Neste exemplo, voc pode ver
que esse servidor tem Splitter Bandwidth instalado nele, eo Bandwidth Splitter Filtro de
Aplicao aparece na lista de filtros de aplicativo. Clique em Cancelar para fechar esta
caixa de dilogo.

A Figura 7
Clique no boto Portas. Na caixa de dilogo Portas mostrado na Figura 8, pode exercer um
controle mais afinado com as portas usadas pelo Server Publishing Rule. Na seo Portas
Firewall, voc pode usar a porta padro para o protocolo, ou voc pode mudar a porta. Por
exemplo, a porta padro usada pelo protocolo HTTPS servidor TCP 443. No entanto, se voc
quiser usar uma porta alternativa, voc pode selecionar o Publicar nesta porta em vez da
opo de porta padro e nomeie uma porta alternativa. Enquanto nenhuma outra regra ou
aplicativo que est escutando na porta e endereo IP, ele vai funcionar bem.
Voc tambm pode fazer redirecionamento de porta, se quiser. No Publicado seo Portas
Server, voc v que a configurao padro enviar os pedidos para a porta padro no servidor
publicado. Neste exemplo, o HTTPS protocolo Server usa a porta padro TCP 443 assim que iria
transmitir a ligao a essa porta no servidor publicado. No entanto, se voc quiser usar outra
porta no servidor publicado para aceitar conexes SSL, voc pode alter-lo para outra coisa, e
depois selecionar os pedidos de envio a esta porta na opo servidor publicado e entrar no
porto alternativo. Isso muito material de fcil utilizao.
Voc tambm pode controlar quais portas de origem so usados pelo usurio que deseja se
conectar ao servidor publicado. Na seo de portas de origem, a configurao padro
permitir o trfego de qualquer porta de origem permitido. Como a maioria dos aplicativos

esto indo para usar uma porta de origem atribudos dinamicamente, este geralmente o
melhor caminho a percorrer. No entanto, se voc quer melhorar a segurana para algumas
aplicaes (como RDP editora), voc pode selecionar o Limite o acesso ao trfego a partir
desta faixa de portas de origem e, em seguida, digite um alcance limitado, e forar o aplicativo
cliente RDP para usar as portas voc designa aqui.

A Figura 8
Clique em Avanar depois de selecionar o protocolo que voc deseja publicar na pgina
Selecionar Protocolo, mostrada na Figura 9.

A Figura 9
Antes de passarmos para a prxima pgina do assistente, vamos dar uma olhada nos
protocolos de servidor que esto disponveis para voc "fora da caixa". Lembre-se, quando
voc criar regras de publicao de servidor, voc precisar usar um "Server" protocolo.
Quando voc clicar no n Firewall Policy no painel esquerdo do console e clique na guia Caixa
de ferramentas (voc no pode fazer isso agora porque voc est no meio do assistente) e, em
seguida, clique no n Servidor Protocolos, mostrado na Figura 10, voc ver uma lista de
protocolos de servidor que voc pode usar em Server Publishing Rules. Esta uma lista
bastante abrangente! Claro, se o protocolo que voc deseja usar no estiver nesta lista, voc
sempre pode criar o seu prprio protocolo de servidor clicando no menu Novo.

A Figura 10
Agora vamos voltar para o assistente. Na pgina Listener IP endereos de rede que
mostrado na Figura 11, selecione a rede ou redes em que voc quiser ouvir as
solicitaes de entrada. Na maioria dos casos voc vai querer aceitar conexes de
entrada da Rede padro externo, assim que voc vai colocar uma marca na caixa de
seleo externo nesta pgina. No entanto, na maioria dos casos, voc no quer ouvir
sobre todos os endereos IP no NIC. Se voc tiver mais de um endereo IP associado
interface externa, voc deve clicar no boto Endereos e selecione o endereo IP
especfico para o qual deseja que os usurios faam a conexo. Se voc tiver um
dispositivo NAT na frente do firewall TMG, ento voc deve selecionar o endereo IP

ao qual o dispositivo NAT est encaminhando as ligaes quando os usurios externos

esto tentando se conectar ao servidor publicado.

A Figura 11
Revise suas configuraes no Concluindo o New Server Publishing Rule Wizard
pgina, mostrada na Figura 12, e, em seguida, clique em Concluir.

.
A Figura 12
Depois que voc clicar em Concluir, voc pode ver a nova regra de publicao de
servidor na lista Firewall Policy, como visto na Figura 13.

A Figura 13
Clique duas vezes no Server Publishing Rule voc acabou de criar. H um par de abas
pena dar uma olhada aqui, como eles expem algumas opes que voc no tem quando
voc passou pelo assistente. Clicar no separador De, mostrado na Figura 14. Observe na
guia de que esta regra se aplica ao trfego a partir destas fontes lista Anywhere. Na
maioria dos casos, voc vai querer deix- lo desta forma. Mas e se voc tem alguns
endereos ou redes que voc no quer ter acesso ao servidor publicado por esta regra?
Voc pode clicar no boto Adicionar na seo Excees e digite os endereos. Isto dlhe alguma medida de controle de acesso sobre quais endereos pode se conectar atravs
desta Server Publishing Rule.

A Figura 14
Na guia Para, mostrado na Figura 15, observe as duas opes no pedido para a seo de
servidor publicado. A configurao padro Solicitaes parecem vir do cliente
original. Isto significa que o servidor publicado vai "ver" o endereo IP real do qual a
conexo veio atravs da Internet. Se voc escolher esta opo, o servidor publicado vai
precisar de uma rota para a Internet e seu gateway padro deve fornecer acesso a essa
via. Se voc no quiser fornecer o servidor publicado uma rota para a Internet, voc
pode selecionar os pedidos parecem vir do computador do Forefront TMG. Quando
voc selecionar essa opo, o servidor publicado s precisa de uma rota que permite o
acesso ao endereo IP interno do firewall TMG. No entanto, quando voc selecionar
essa opo, o endereo IP de origem para as conexes de entrada para o servidor
publicado ser o endereo IP da interface interna do firewall TMG e que endereo ir
aparecer nos ficheiros do servidor publicado de log.

A Figura 15
Assim que estiver pronto, clique em Aplicar na parte superior do painel central do
console firewall TMG e salve as alteraes poltica de firewall. Depois disso, as
conexes com o servidor publicado ser permitido no protocolo selecionado para a
regra.
resumo
Neste artigo, parte de nossa Back to Basics srie de novos administradores TMG, fomos
at o tpico de Server Publishing Rules. Como voc viu, Server Publishing Rules so
muito simples de montar e permitem que voc habilite NAT reverso para servidores
publicados na intranet. H uma srie de protocolos Server que voc pode usar para criar
Server Publishing Rules para a direita fora da caixa, ou voc pode criar seus Protocolos
prprio servidor. Alguns dos protocolos de servidor tem filtros de aplicativos que
tornam o protocolo mais seguro, ou que realizam algum nvel de protocolo de validao.
Voc viu tambm que voc pode personalizar o protocolo e comportamento de
redirecionamento ao configurar o Server Publishing Rule. Divirta-se com Server
Publishing Rules e me avise se voc tiver qualquer problema com eles!