61.3 Forefront TMGのポリシーとルールの作成

Forefront TMG 2010をインストールした後、デフォルトのファイアウォール・ポリシーが、Forefrontをホストするコンピュータに対するすべてのトラフィックを拒否するため、そのホストに対して、他のコンピュータからpingを実行できなくなります。

この項では、次の操作に必要な情報を提供します。

• Forefront TMG用カスタム・ポリシーの作成

• Forefront TMGファイアウォール・ポリシー・ルールの作成

• Forefront TMGプロキシ構成の確認

61.3.1 Forefront TMG用カスタム・ポリシーの作成

カスタムForefrontファイアウォール・ポリシーを作成できます。

前提条件:

ベンダーのドキュメントに従ってForefront TMG 2010をインストールします。

デフォルトのファイアウォール・ポリシーをオーバーライドするカスタム・ポリシーを作成するには:

1. 「スタート」→「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」の順に選択して、Forefront TMGコンソールを開きます。
2. 左側のペインの「ファイアウォール ポリシー」をクリックします。
3. 右側のペインで、「アクセス規則の作成」をクリックして、カスタム・ポリシーを作成します。
4. 次の属性と値を割り当てて、ルールを作成します。

   • 名前: カスタム・ポリシーの名前

   • アクション = 許可

   • プロトコル = すべての出力方向

   • マルウェア検出 = このルールに対してはマルウェア検出を有効にしない

   • 出力元 = 外部、内部、ローカル・ホスト

   • 出力先 = 外部、内部、ローカル・ホスト

   • 条件 = すべてのユーザー

5. 「次へ」をクリックして、アクセス規則を作成し、「適用」をクリックします。
6. Forefront TMGを再起動して、変更を有効にします。

   • ファイアウォール・サービスの停止ではnet stop fwsrvコマンドが使用されます。

   • ファイアウォール・サービスの開始ではnet start fwsrvコマンドが使用されます。

7. 「Forefront TMGファイアウォール・ポリシー・ルールの作成」に進みます。

61.3.2 Forefront TMGファイアウォール・ポリシー・ルールの作成

リソースを保護するため、Forefront TMGコンソールを使用してファイアウォール・ポリシーを作成する必要があります。

認証の基本設定に対してリスナーを作成する際、「HTTP 経由でのクライアントの認証を許可する」と「すべてのユーザーに認証を要求する」を選択してください。そのようにされていない場合、TMGプロキシを使用して公開済Webサイトにアクセスできなくなります。

TMGサーバーは、公開済Webサーバーへの認証を行う際、「認証の委任」を使用します。

ノート:

IISとForefront TMGは同じ(または別々の)コンピュータにインストールできます。ここでは、両方が同じホスト上にインストールされている状態としています。

デフォルトのファイアウォール・ポリシーをオーバーライドするカスタム・ポリシーを作成するには:

1. 「スタート」→「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」の順に選択して、Forefront TMGコンソールを開きます。
2. 左側のペインの「ファイアウォール ポリシー」をクリックします。
3. 「タスク」タブで「Webサイトの公開」をクリックします。
4. 「Web公開ルールの名前」フィールドにわかりやすいルール名を入力し、「次へ」をクリックします。
5. 「ルールの動作の選択」ページで、「許可」オプションが選択されていることを確認し、「次へ」をクリックします。
6. 「公開の種類」で、「1つのWebサイトまたは負荷分散装置を公開する」オプションが選択されていることを確認し、「次へ」をクリックします。

   ステップ7は、Webサーバーとのオープンな(保護されていない)接続のための構成を示しています。保護されている通信を使用する場合は、Forefront TMG Serverのドキュメントを参照してください。

7. 「サーバー接続セキュリティ」ページで、「公開されたWebサーバーまたはサーバー ファームへの接続に、セキュリティで保護されていない接続を使用する」をクリックし、「次へ」をクリックします。
8. 内部公開の詳細を設定するには、次のステップを実行します。

   • 「内部サイト名」フィールドに、IIS/apache Webサーバー・ホストの内部的にアクセス可能な名前(たとえばiis_host.us.example.com)を入力します。

   • 「コンピュータ名またはIPアドレスを使用して、公開されたサーバーに接続する」チェック・ボックスを選択します(またはIIS Webサーバー・ホストのIPアドレスを入力します)。

   • 「Next」をクリックします。

9. リソースの保護: 次のステップにより、Webサイト内の特定のフォルダ内のリソース(または1つのリソース)を保護します。

   ノート:

   フォルダは、対応するWebサーバーのhtdocs/wwwroot内に存在している必要があります。

   • リソースを含むフォルダ: 「パス」フィールドにフォルダ名を入力すると、「Webサイト」フィールドに公開済Webサイトの完全パスが表示されます(Res/*など)。

   • 1つのリソース: リソース名(たとえばtest.html)を入力します。

   • 「Next」をクリックします。

10. 「要求の許可」リストで、次の操作を実行します。

    • ドメイン名(たとえばmyhost.example.com)をクリックしします。

    • 「パブリック名」フィールドに、Forefront TMGがインストールされているホストの公開アクセス可能な完全修飾Webサイト・ドメイン名を入力します(たとえばmyhost.example.com)。

    • 「Next」をクリックします。

11. 「Webリスナー」リストで、このWeb公開ルールに使用するWebリスナーをクリックするか、新しいWebリスナーを次のように作成します。

    ノート:

    リスナーは、必要に応じてSSLモードでも構成できます。Forefront TMGのドキュメントを参照してください。

    • 「新規作成」をクリックし、新しいWebリスナーのわかりやすい名前を入力して、「次へ」をクリックします。

    • 「Do not require SSL secured connections with clients」をクリックし、「Next」をクリックします。

    • 「次のネットワークからの要求をリッスン」リストで、必要なネットワーク(外部、内部、Localhost)を選択し、「次へ」をクリックします。

    • 表示されるメッセージに対して「いいえ」をクリックします。

    • 「クライアントがForefront TMGに資格証明を提供する方法を選択してください」リストで、「認証なし」をクリックし、「次へ」をクリックします。

    • 「シングル サインオンの設定」ページで、「次へ」をクリックし、「完了」をクリックします。

12. 「Webリスナーの選択」ページ:

    • 「編集」をクリックします。

    • 「接続」タブをクリックします。

    • ポート属性として、HTTP有効接続用の未使用ポートを指定します(これがForefront TMGポートになります)。

    • 「適用」をクリックし、「OK」をクリックします。

    • 「Next」をクリックします。

    • 「Single Sign On Settings」ページで、「Next」をクリックし、「Finish」をクリックします。

13. 認証の委任: 次のステップにより、公開されたWebサーバーをForefront TMGが認証する方法を選択します。

    • 「委任できません。クライアントは直接認証できません」をクリックします。

    • 「Next」をクリックします。

14. 「User Sets」ページで、次の手順を実行します。

    • 「ユーザー セット」フィールドから、「すべてのユーザー」(デフォルトのユーザー設定)を選択して、リクエストに適用するルールを設定します。

    • 「次へ」をクリックして、「完了」をクリックします。

15. 「Apply」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。
16. 新しく作成したファイアウォール・ポリシーをダブルクリックします。
17. ブリッジ:

    • 「ブリッジ」タブを開きます。

    • HTTPポート属性に対してリクエスト・リダイレクト用の適切な未使用ポートを指定します(これが、IISまたはApache Webサーバー・ポートになります)。

18. 「Apply」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。
19. IISまたはApache Webサーバー。
20. Forefront TMGを再起動して、変更を有効にします。

    • ファイアウォール・サービスの停止ではnet stop fwsrvコマンドが使用されます。

    • ファイアウォール・サービスの開始ではnet start fwsrvコマンドが使用されます。

21. 作成したばかりのルールをダブルクリックします。

    • 「リンクの変換」タブを開きます。

    • 「このルールにリンク変換を適用する」が選択されていることを確認します。

    • 「マッピング」ボタンをクリックして、Forefront TMGとIISまたはApache間に作成されたマッピングを表示します。

22. 「Forefront TMGプロキシ構成の確認」に進みます。

61.3.3 Forefront TMGプロキシ構成の確認

Forefront TMGプロキシ構成を確認するには、ただTMGポートを使用して保護対象リソースにアクセスします。

Forefront TMGプロキシ構成を確認するには::

1. 1つの保護対象リソース: 保護対象リソースがあるTMGホストのURLとポートを入力します。次に例を示します。

   	http://TMG_hostname:TMG_port/resource_name
   

2. 保護対象フォルダ: リソースを含むフォルダがあるTMGホストのURLとポートを入力します。次に例を示します。

   	http://TMG_hostname:TMG_port/folder-name/resource_name
   

3. 保護されたリソースにアクセスしてみて、問題がないことを確認します。