前沿TMG -隔离认证流量

Question

我正在运行最前线的TMG SP1汇总3。所有的桌面客户端都会安装防火墙客户端。服务器不会。

我想根据已在一条规则中成功通过身份验证的流量和未被认证为另一条规则的流量来隔离我的出站网络流量。这种隔离最终将被用来以不同的方式对待交通。

考虑到我有两个内部->外部HTTP / HTTPS允许规则--第一个规则需要身份验证，第二个规则不需要--这会提供所需的行为吗？我知道，任何要求身份验证的规则，如果阻塞通信量，就会阻止任何未启用身份验证的通信。我只是有点模糊，是否会出现一个类似的问题会出现一个允许声明。我还担心，添加这样的包含HTTP / HTTPS身份验证的规则是否会影响任何非HTTP*规则，例如，我希望在规则链中保持较低的SMTP。

Answer 1

我构建了一个测试环境，并将我建议的配置应用到单个IP上。不幸的是，如果在最前线使用经过身份验证的规则，则身份验证不会被视为规则的一部分，而是被后处理--所有流量都被路由到该规则，如果流量是匿名的，则自动丢弃。

我曾希望，在设计良好的产品中，用户标准将被视为主要规则定义的一部分--如果不满足标准，流量将转到链中的下一个规则。事实并非如此。

Answer 2

答案上图描述了一个规则排序问题。

匿名规则必须在经过身份验证的规则之前进行处理；不可能根据您认为客户端最终会走向何处而推测请求客户端身份验证。

在HTTP术语中，第一个GET总是匿名的，因此必须先使用anon规则才能避免身份验证。

实际上，这意味着您可以有多个引用同一个目标的身份验证规则，或者首先有一个匿名规则，但不是一个不会导致用户身份验证的经过身份验证的规则，然后是一个匿名规则。我不确定有什么设计能适应这种情况。

web代理客户端的Auth规则按协议、源、命名空间和其他各种旋钮划分，因此，您可以使用不一定对SMTP进行身份验证的HTTP规则(顶部提示:将web与非web协议规则分开)；有仅适用于源子网或目标URL集的规则，等等。

仍然是对ISA/TMG规则处理的最佳参考：

http://technet.microsoft.com/en-us/library/bb794766.aspx