TMG Rule для Azure
Прежде всего, я хотел бы сказать, что я не системный администратор или сетевой администратор... я - разработчик... Сказанное позволяет перейти к вопросу.
Я провожу некоторые тесты (скажем, исследование), чтобы выяснить, будет ли платформа Azure полезной и соответствовать нашим требованиям. Проблема в том, что наш TMG продолжает блокировать все (SQL Azure, Удаленный рабочий стол и т. Д.), И, поскольку мы должны попросить сетевого администратора продолжать открывать исключения для адресов баз данных и других служб, плюс тот факт, что мы открываем новые серверы каждый день, плюс тот факт, что этот парень - полный вздор. Мне было интересно, есть ли какое-то правило "Один, чтобы управлять ими всеми", которое разрешает доступ ко всем службам Azure...
что-то вроде "Разрешить все от / до *.microsoft.net"
ответ, который я ищу, - это то, что я могу представить своему сетевому администратору, и он просто реализует... TKS ALL!!!
2 ответа
Стандартная речь для пользователей в этой ситуации: К сожалению, TMG не блокирует такой доступ с помощью правил веб-доступа по умолчанию, которые поставляются с продуктом. Ваш администратор блокирует больше, чем конфигурация по умолчанию. Поэтому политика вашей сети блокирует эти сайты, и все, что мы могли бы вам помочь, нарушает вашу сетевую политику.
Тем не менее, ваш точный запрос, разрешить все, чтобы *.microsoft.[com|net] может быть сделано, и должно быть тривиально для администратора, который знает, как настроить TMG. Если они откажутся от этого запроса, то вам придется либо взять его на себя (что обычно не одобряется политикой большинства компаний), либо жить в дурацкой ситуации. Если вы думаете о том, чтобы подумать над этим вопросом, обязательно подкрепите его аргументом, основанным на потере времени на такие запросы (зарплата / зарплата, потеря производительности и т. Д.).
Даже если это не самый лучший подход (на мой взгляд, сетевой администратор слишком сосредоточен на старых методах защиты периметра сети), vous может попросить сетевого администратора разрешить каждый трафик на IP-адреса Microsoft Datacenter.
Диапазоны IP-адресов Microsoft Azure Datacenter хорошо задокументированы в файле XML, доступном для загрузки здесь: http://www.microsoft.com/en-us/download/details.aspx?id=41653
Вы также можете создать правило с именем домена Microsoft, но им будет сложно управлять (и, насколько мне известно, Microsoft не предоставляет полный и обновленный список):
*.core.windows.net -> хранилище Azure
*.cloudapp.net -> Облачный сервис, ВМ
*.msapproxy.net => Прокси приложения Azure AD
*.trafficmanager.net ==> Azure CDN
*.microsoftonline.com ==> Вход в Azure AD
*.windowsazure.com ==> Классический портал Azure
*.azure.com => Новый портал Azure и многое другое
С уважением