В этой статье я покажу вам, как пустить трафик сервера FTP через сервер TMG для исходящих соединений при помощи правил брандмауэра и для входящих соединений при помощи правил публикования сервера TMG. Еще я приведу особенные суждения по поводу FTP в Forefront TMG.

Начнем

Замечание:Не запамятовывайте, что информация в данной статье базирована на версии release candidate Microsoft Forefront TMG, потом чего-нибудть может обменяться.

Несколько месяцев вспять Microsoft выпустила RC 1 (Release Candidate) Microsoft Forefront TMG (Threat Management Gateway), в каком было огромное количество новых замечательных способностей.

Одной из таких новых способностей Forefront TMG стала способность пускать трафик сервера FTP через брандмауэр в обоих направлениях. Это делается в форме правил доступа брандмауэра для исходящего доступа к FTP и при помощи правил публикования сервера для входящего доступа к FTP через публикуемый сервер FTP. Этот сервер размещается в вашей внутренней сети либо в периметрической сети, известной также как DMZ (если вы не используете общественные Айпишника для сервера FTP в DMZ).

Для начала я покажу вам деяния, которые нужно выполнить, чтоб сделать правило в брандмауэре, которое откроет доступ к FTP для исходящих соединений через TMG.

Правило доступа к FTP

Сделайте новое правило доступа, разрешающее протокол FTP для ваших клиентов. Если вы желаете открыть доступ к FTP для ваших клиентов, они должны быть клиентами Secure NAT либо TMG, известными в прошлых версиях Forefront TMG как клиенты брандмауэра.

Направьте внимание, пожалуйста:Если вы используете клиент Web proxy, помните, что при помощи этого типа клиента вероятен доступ к FTP только для чтения, и что вы не сможете использовать традиционный клиент FTP для доступа к FTP, для него вероятен только доступ через web-браузер с некими ограничениями.

На последующей картинке показано правило доступа к FTP.

Набросок 1: Правило доступа к FTP

Один из отлично узнаваемых, начиная с ISA Server 2004, подводных камешков – по дефлоту после сотворения правила доступа к FTP, это правило позволяет доступ к FTP только с правом чтения из-за суждений безопасности, чтоб запретить юзерам загружать секретные данные за пределами организации без соответственного разрешения. Если вы желаете разрешить загрузки на FTP, вам необходимо будет щелкнуть правой кнопкой мыши на правиле доступа к FTP, а потом щелкнуть Configure FTP.

Набросок 2: Configure FTP

Все, что вам необходимо сделать, – это убрать флаг read only, подождать установления нового FTP-соединения, и юзеры получат все нужные разрешения для воплощения загрузок на FTP.

Набросок 3: Разрешение на запись через TMG

Публикование сервера FTP

Если вы желаете разрешить входящие соединения по FTP с вашими внутренними серверами FTP либо с серверами FTP, расположенными в DMZ, вам пригодится сделать правила публикования серверов, если сетевым отношением меж наружной и внутренней сетью/DMZ является NAT. Если вы используете сетевое отношение маршрутизации, может быть внедрение правила брандмауэра для разрешения доступа к FTP.

Чтоб получить доступ к серверу FTP в вашей внутренней сети, сделайте правило публикования сервера FTP.

Просто запустите мастер Server Publishing Rule Wizard и следуйте инструкциям.

В качестве протокола вам необходимо избрать определение протокола FTP Server, разрешающее входящий доступ к FTP.

Набросок 4: Публикование протокола FTP-Server

Стандартное определение протокола FTP Server употребляет связанный стандартный протокол, который можно использовать для проверки NIS в случае, если подпись NIS доступна.

Набросок 5: Характеристики протокола FTP-Server

Стандартное определение протокола FTP Server открывает FTP-порт 21 для TCP для входящего доступа и определение протокола связано с фильтром доступа к FTP, отвечающего за работу с портом протокола FTP (данные FTP и порт управления FTP).

Набросок 6: Порты FTP и связывание фильтра доступа к FTP

Active FTP

Одно из конфигураций в Microsoft Forefront TMG состоит в том, что брандмауэр сейчас не разрешает соединения Active FTP по дефлоту из суждений безопасности. Вам необходимо вручную включить возможность использовать соединения Active FTP. Можно подключить эту возможность в свойствах фильтра доступа к FTP. Перейдите к системному узлу в консоли TMG management console, изберите вкладку Applicaton Filters, изберите фильтр FTP Access filter и в панели задач щелкните Configure Selected Filter (Набросок 7).

Набросок 7: Характеристики фильтра FTP Access filter

В свойствах фильтра FTP access filter изберите вкладку FTP Properties, включите Allow Active FTP Access и сохраните конфигурациюв хранилище TMG.

Набросок 8: Разрешение для Active FTP через TMG

FTP-оповещения

В Forefront TMG предопределено огромное количество опций оповещений для разных компонент и событий. Одно из их – функция оповещения FTP Filter Initialization Warning. Эти оповещения информирует админа, когда фильтру FTP не удалось парсировать команду разрешения FTP.

Набросок 9: Настройка оповещений FTP

Все деяния для оповещений фактически те же, что и в ISA Server 2006, так что тут нет ничего нового для опытнейших админов ISA.

Заключение

В этой статье я показал вам некие методы открыть доступ к FTP через сервер TMG. Есть несколько подводных камешков при реализации FTP. Вот один из таких подводных камешков: с момента выпуска ISA Server 2004, разрешение доступа к FTP для записи через брандмауэр появилось в первый раз в Forefront TMG. Forefront TMG не разрешает соединения с FTP в режиме Active Mode по дефлоту, потому вам необходимо вручную активировать эту функцию, если вам нужна такая конфигурация.