Назад | Перейти на главную страницу

Правило TMG для Azure

Прежде всего, я хотел бы сказать, что я не системный администратор или сетевой администратор ... я разработчик ... При этом давайте перейдем к вопросу.

Я провожу несколько тестов (скажем, исследование), чтобы увидеть, будет ли платформа Azure полезной и соответствовать нашим требованиям. Проблема в том, что наш TMG продолжает блокировать все (SQL Azure, удаленный рабочий стол и т. Д.), И поскольку мы должны просить администратора сети продолжать открывать исключения для адресов баз данных и других служб, ПЛЮС тот факт, что мы открываем новые серверы каждый день ПЛЮС тот факт, что этот парень - полная тупица, мне было интересно, есть ли какое-то правило tmg «Один, чтобы править всеми», которое разрешило бы доступ ко всем службам Azure ...

что-то вроде "Разрешить все с / на * .microsoft.net"

ответ, который я ищу, - это то, что я могу представить своему сетевому администратору, и он просто реализует ... TKS ALL !!!

Стандартная речь для пользователей в этой ситуации: К сожалению, TMG не блокирует такого рода доступ с помощью правил веб-доступа по умолчанию, которые поставляются с продуктом. Ваш администратор блокирует не только конфигурацию по умолчанию. Поэтому политика вашей сети предусматривает блокировку этих сайтов, и все, что мы можем вам помочь, будет нарушением вашей сетевой политики.

Тем не менее, ваша точная просьба, разрешите все *.microsoft.[com|net] можно сделать, и это должно быть тривиально для администратора, который знает, как настроить TMG. Если они откажут в этом запросе, вам придется либо принять это через свою голову (что, как правило, не одобряется большинством политиков компании), либо смириться с дрянной ситуацией. Если вы думаете о том, чтобы переборщить с этим, определенно подкрепите его аргументом, основанным на времени, потраченном на такие запросы (зарплата, потеря производительности и т. Д.).

Даже если это не лучший подход (с моей точки зрения, ваш сетевой администратор слишком много внимания уделяет старым методам защиты периметра сети), вы можете попросить вашего сетевого администратора разрешить любой трафик на IP-адреса Microsoft Datacenter.

Диапазоны IP-адресов Microsoft Azure Datacenter хорошо документированы в XML-файле, который можно загрузить здесь: http://www.microsoft.com/en-us/download/details.aspx?id=41653

Вы также можете создать правило с доменным именем Microsoft, но им также будет сложно управлять (а Microsoft не предоставляет полный и обновленный список, насколько я знаю):

* .core.windows.net -> Хранилище Azure

* .cloudapp.net -> Облачная служба, ВМ

* .msapproxy.net => Прокси приложения Azure AD

* .trafficmanager.net ==> Azure CDN

* .microsoftonline.com ==> Вход в Azure AD

* .windowsazure.com ==> классический портал Azure

* .azure.com => Новый портал Azure и многое другое

С уважением