Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Блокировка Skype и прочих IM протоколов в Forefront TMG

Рубрика: TMG
Метки:
Понедельник, 12 июля 2010 г.
Просмотров: 22322
Подписаться на комментарии по RSS


Я мало где встречал более легкий способ блокирования систем мгновенного обмена сообщения (IM) чем в Forefront Threat Management Gateway (TMG).Если вы знакомы с любой из ранних версий ISA сервер, вы опреленно должны понимать затруднения, с которыми сталкивается администратор при попытке запретить доступ к IM.

В этой статье я покажу вам как заблокировать Skype, Google Talk, Yahoo Messenger, Live Messenger, и прочее с помощью Forefront TMG 2010.

Перед тем как мы приступим к пошаговой процедуре настройки я бы хотел чтобы вы знали, благодаря каким функциям это возможно. 

  • Microsoft Forefront TMG 2010 теперь умеет осуществлять URL Filtering. URL filtering позволяет вам блокировать веб-контент на основа предопределенных категорий, подобных Chat, Social Networking, или Pornography.
  • Ещё одной новой функцией в TMG 2010 является Outbound HTTPS inspection. Данная фукнция позволяет TMG осуществлять контроль всего пользовательского HTTPS трафика

С помощью этих двух функций мы можем с легкостью заблокировать любые IM сети. Теперь рассмотрим вкратце процедуру настройки:

  • На вашем TMG сервере должен быть разрешен только веб-трафик (HTTP и HTTPS). Я противник создания правила разрешающего все из внутренней сети во внешнюю.
  • Включаем проверку HTTPS.
  • Добавляем запрещающее правило, в которое включаем URL категорию “Chat”.

Зачем нам нужна проверка HTTPS?

Многие IM клиенты и программное обеспечение, например Skype, пытаются подключиться по динамическому UDP порту и часто с помощью HTTPS. Если у вас будет включена проверка HTTPS трафика, TMG сможет определить, что запрашивается доступ к запрещенному ресурсы и заблокирует данное соединение.

1. В конслоли Forefront TMG перейдите в запрещающее правило Web Access Policy. Если у вас нет данного правила, нажмите на Web Access Policy и выберите в правой панели пункт Configure Web Access Policy.

image

2. Перейдите в вкладку “To”. Нажмите кнопку Add.

image

3. Разверните раздел URL Categories. Добавьте категорию “Chat” в список..

image

 

4. Нажмите OK и Apply. Подождите немного, пока ваши изменения синхронизируются. (Совет: вы можете проверить это в разделе Monitoring > Configuration)

 

Теперь лучшая часть данной статьи: попытайтесь подключиться к Skype, или любому другому средству мгновенного обмена сообщениями. Веб-версии мессенжеров также недоступны!

image 

image

image

image

 

image

image

 

Таким же образом вы можете блокировать P2P сети (peer-to-peer) и аналогичные им сети, подобные eMule, Kazaa, eDonkey, BitTorrent и прочее с помощью TMG. Для этого в шаге 3 выберите категорию “P2P/File sharing”

 

 

Интересное:

Данный блог с самого начала ведеться на неплохом на мой взгляд движке Maxsite CMS. Однако в связи с грядущими изменениями и амбициозными планами по расширению блога мне явно не хватает возможностей данного движка. Я провел небольшое исследование и решил, что лучшим движком для моего будущего портала будет Drupal. Создание сайтов на Drupal намного проще, у него на порядок больше и возможностей, и сообщество, и качество.

Ford Украина - лучший сайт для продажи вашего автомобиля.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Комментариев: 4

  1. Есть ли 4то то похожее для Win 2003?

  2. Необходимо добавить, что данный функционал появляется после покупки подписки.

  3. необязательно покупать подписку, попробуйте ввести вместо номера лицензии все единицы smile вуаля

  4. это ведь заблокирует web доступ, но ведь тот же скайп не только get и post использует для доступа к серверам регистрации, да и вообще этих серверов в Интернете куча, как вы их все в базу-то положите?

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)