Configurar el filtrado de URL en la puerta de enlace web segura de Forefront TMG
Publicada: noviembre de 2009
Se aplica a: Forefront Threat Management Gateway (TMG)
En este tema se proporciona la siguiente información sobre cómo configurar la característica de filtrado de URL en la puerta de enlace web segura de Forefront TMG:
Requisitos previos
Información general sobre la configuración
Pasos de configuración
Requisitos previos
El filtrado de URL está basado en la suscripción y forma parte de la licencia de Forefront TMG Web Security Service. Para obtener información sobre las licencias, vea How to Buy (https://go.microsoft.com/fwlink/?LinkId=179848).
El filtrado de URL permite o bloquea el acceso a los sitios solicitados de acuerdo con las categorías de URL predefinidas. Cuando no se encuentra la categorización del sitio en la memoria caché de Forefront TMG, Forefront TMG consulta la categoría en Microsoft Reputation Services (MRS). Para consultar el sitio de MRS remoto, el servidor de Forefront TMG debe estar conectado a Internet.
Información general sobre la configuración
La característica de filtrado de URL forma parte de la directiva de acceso web de Forefront TMG. El proceso de configuración se compone de las fases siguientes:
Al definir la directiva de acceso web de la organización, utilice el filtro para excluir los tipos de categorías de destino web que no desea que estén accesibles para los usuarios, como sitios malintencionados o improductivos. Para obtener más información, vea Bloquear los destinos en las reglas de directiva de acceso web.
Si es pertinente, defina los períodos de tiempo o los momentos concretos en los que el acceso está restringido. Defina, por ejemplo, que el acceso a los sitios improductivos se bloquee únicamente durante el horario laboral. Para obtener más información, vea Definir el período de actividad de una regla.
Si es necesario, puede omitir la categorización existente. Cuando los usuarios solicitan acceso a un sitio web y el acceso al sitio web está bloqueado, reciben una notificación de denegación que incluye la categoría de solicitud denegada; el texto de la notificación se puede personalizar. Si sospecha de que un sitio está categorizado incorrectamente, compruebe su categorización y, si se confirma su sospecha, asígnele la categoría correcta. Para obtener más información, vea Buscar e invalidar la categoría de URL de un sitio.
Puede informar de los problemas de clasificación a Microsoft, aumentando así la probabilidad de que MRS trate las lagunas de cobertura y exactitud específicas de su organización. Para obtener información, vea Comentarios e informes de errores de Microsoft Reputation Services (https://go.microsoft.com/fwlink/?LinkId=178581).
Puede personalizar las notificaciones de denegación que los usuarios reciben cuando se bloquea el acceso. Para cada regla de la directiva de acceso web, puede seleccionar una de las siguientes opciones de personalización:
Personalizar el mensaje de denegación de acceso predeterminado. Para obtener más información, vea Personalizar el mensaje de denegación de acceso predeterminado.
Redirigir a los usuarios a una página web que contenga el mensaje personalizado. Para obtener más información, vea Redirigir a los usuarios a una página de denegación de acceso personalizada.
Pasos de configuración
Los siguientes procedimientos le guiarán en la configuración del filtrado de URL.
Bloquear los destinos en las reglas de directiva de acceso web
En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.
En el panel Tareas, haga clic en Configurar directiva de acceso web.
En la página Reglas de directiva de acceso web del Asistente para directivas de acceso web, permita que Forefront TMG cree una regla predeterminada que bloquee el acceso a los sitios web que no desea que estén accesibles para los usuarios.
En la página Destinos web bloqueados, bloquee el acceso a las categorías de URL y conjuntos de categorías de URL necesarios.
Después de finalizar el asistente, en la barra Aplicar cambios, haga clic en Aplicar.
Definir el período de actividad de una regla
En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.
En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar, haga clic en Propiedades y, a continuación, haga clic en la pestaña Programación.
En la lista Programar, seleccione una de las opciones siguientes:
Siempre, para especificar que la regla siempre es aplicable.
Fines de semana, para especificar que la regla solo se aplica en sábado y domingo.
Horas laborables, para especificar que la regla está activa de lunes a viernes, desde las 9:00 hasta las 17:00.
Nota
Cuando modifica una regla para que solo se aplique en momentos determinados (mediante la configuración de la programación), la programación modificada solo se aplica a las conexiones nuevas. El tráfico de las conexiones existentes seguirá pasando, aunque se produzca en un momento no permitido.
Puede modificar los días y las horas de las programaciones predeterminadas, o crear nuevas, como se indica a continuación:
En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.
En la ficha Herramientas, haga clic en Programaciones.
Para modificar una programación existente, haga clic para expandir Programaciones y, a continuación, haga doble clic en la programación que desea modificar. En la pestaña Programación, seleccione un intervalo de tiempo y, a continuación, seleccione Activo o Inactivo.
Para crear una nueva programación, en la barra de herramientas situada bajo Programaciones, haga clic en Nueva y, a continuación, en la página de propiedades Nueva programación, especifique la configuración de la programación.
Buscar e invalidar la categoría de URL de un sitio
En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.
En el panel Tareas, haga clic en Consultar categoría de URL.
En la pestaña Consulta de categorías, escriba una dirección URL o una dirección IP y, a continuación, haga clic en Consulta. El resultado de la categoría se muestra en la pestaña, así como cierta información acerca del origen de la categorización, como la invalidación, la dirección IP o el alias de dirección URL.
Para cambiar la categorización de un sitio, copie la dirección URL o dirección IP, haga clic en la pestaña Invalidación de categorías de URL y, a continuación, haga clic en Agregar.
En Invalidar la categoría de URL predeterminada para este patrón de URL, escriba una dirección URL con el formato: www.contoso.com/\*.
Nota
- Todas las direcciones URL deben incluir un nombre de host y una ruta de acceso, y pueden incluir una cadena de consulta y caracteres de escape (como “%20” para representar un espacio).
- No incluya un protocolo (como HTTP://) con la dirección URL.
- Forefront TMG no admite el uso de direcciones URL de nombres de dominio internacionalizados (IDN).
- Todas las direcciones URL deben incluir un nombre de host y una ruta de acceso, y pueden incluir una cadena de consulta y caracteres de escape (como “%20” para representar un espacio).
En Mover patrón de URL a esta categoría de URL, seleccione una categoría de URL correcta.
Haga clic en Aceptar. Se cierra el diálogo Invalidación de categorías de URL. Haga clic en Aceptar de nuevo y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Personalizar el mensaje de denegación de acceso predeterminado
En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.
En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Propiedades.
En la pestaña Acción, en Acción de solicitud URL denegada, compruebe que se ha seleccionado Mostrar notificación de denegación al usuario. En el cuadro de Agregar texto personalizado o HTML a la notificación (opcional), escriba el mensaje que desea mostrar a los usuarios que intenten obtener acceso a los sitios web bloqueados.
Nota
Puede usar etiquetas HTML, como:
<a href="mailto:admin@contoso.com?subject=Access to Web site denied">Contact the system administrator</a
>.
Puede exponer la categoría de URL del sitio web bloqueado a los usuarios seleccionando Agregue la categoría de la solicitud denegada a la notificación. Esta opción solo está disponible cuando el filtrado de URL está habilitado.
Redirigir a los usuarios a una página de denegación de acceso personalizada
En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.
En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Propiedades.
En la pestaña Acción, bajo Acción de solicitud URL denegada, seleccione Redirigir el cliente web a la siguiente dirección URL y, a continuación, escriba la dirección URL completa con el formato: http://URL.