Понимание и установка клиентов ISA Firewall

Опубликовано: 15 Апреля, 2023




Резюме. Этот учебник был создан, чтобы помочь вам понять, почему используется клиент брандмауэра, а также понять его ограничения и преимущества по сравнению с другими клиентами ISA. Обратите внимание: это руководство не предназначено для подробного описания того, как настроить клиент брандмауэра.

  1. Клиенты брандмауэра — это компьютеры Windows с установленными на них клиентами брандмауэра ISA. Его можно установить на все платформы Windows, кроме Windows 3.x, так как эта операционная система 16-битная. Этот клиент не работает на платформах, отличных от Windows или Microsoft.
  2. Клиенты брандмауэра ISA позволяют осуществлять управление доступом и ведение журналов на основе пользователей или групп. Это означает, что когда пользователь получает доступ к ресурсу, если он принадлежит к списку пользователей или группе пользователей, которые вы указали в своих правилах, ему будет разрешен доступ к ресурсу. Вы также можете зарегистрировать, к чему пользователь имеет доступ, по его имени пользователя. Это полезно для отчетности.
  3. Клиенты брандмауэра могут передавать учетные данные пользователя на ISA Server для протоколов, требующих аутентификации. Защищенные клиенты NAT этого не делают.
  4. Программное обеспечение клиента брандмауэра способно автоматически настраивать клиент веб-прокси или (браузер).
  5. Он также обновляет LAT клиентских компьютеров брандмауэра Windows и записи DNS клиентов.
  6. Клиент брандмауэра запускает приложения Winsock, которые используют службу брандмауэра ISA Server.
  7. Клиент брандмауэра можно отключить на панели управления, а также можно отключить, щелкнув его правой кнопкой мыши и выбрав «Отключить», или дважды щелкнув его и сняв флажок «Включить». Не забудьте закрыть все приложения, использующие возможности Winsock или брандмауэра, прежде чем отключать это программное обеспечение.

    Изображение 4950

    Изображение 4951


  8. Когда клиент брандмауэра или приложение Winsock отправляет запрос на доступ к ресурсу в Интернете, клиент проверяет свою копию таблицы локальных адресов (LAT), а также файл locallat.txt, чтобы узнать, находится ли указанный компьютер в локальной сети. Если компьютер не находится в LAT, то запрос отправляется службе брандмауэра ISA Server. Все вызовы API, сделанные приложением Winsock, отправляются клиенту брандмауэра, а затем перенаправляются в службу брандмауэра. Служба брандмауэра обрабатывает запрос, перенаправляя его в соответствующее место назначения, если это разрешено.

    Изображение 26319


  9. Клиент брандмауэра получает копию LAT каждые 6 часов, скопированную через канал управления *, и вся старая информация LAT перезаписывается. Пользовательский LAT хранится в locallat.txt, а LAT клиента брандмауэра хранится в msplat.txt. Оба этих файла проверяются перед отправкой запроса в службу брандмауэра.
  10. Специальные изменения конфигурации хранятся в файле wspcfg.ini. Хороший пример использования этого файла — когда публикуется сервер, расположенный во внутренней сети. Я бы рекомендовал использовать клиент Secure NAT, если доступ к брандмауэру Winsock не требуется.
  11. Клиентские компьютеры ISA не могут работать одновременно с клиентом Secure NAT и брандмауэром, вы должны сделать выбор между ними.
  12. Клиент ISA Firewall поддерживает только протоколы TCP и UDP. Используйте Secure NAT для отправки запросов по другим протоколам.
  13. Клиент брандмауэра использует канал управления для ответа на любые DNS-запросы, которые у него могут быть. Используемый DNS-сервер будет настроен на внешнем интерфейсе ISA-сервера. Помните, что внутренняя сеть DNS не будет работать, если вы не настроили внутренний DNS-сервер на вашей локальной клиентской машине брандмауэра ISA. Используйте WINS, чтобы устранить это ограничение.
  14. Таблица локальных доменов или LDT используется клиентом брандмауэра, чтобы определить, является ли домен локальным или общедоступным.
  15. Клиенты брандмауэра ISA не поддерживаются, если сервер ISA установлен в режиме кэширования.

*(Канал управления — это средство для клиента брандмауэра ISA и службы брандмауэра для передачи информации. Аутентификация, информация LAT и запросы разрешения имен — примеры того, что отправляется в канале управления. Примечание: по этому каналу не передаются никакие данные. TCP и UDP порт 1745 используется для согласования портов и DNS-запросов.)


Важно понимать, как работает клиент брандмауэра, чтобы выбрать подходящий клиент ISA для вашей организации. Клиенты брандмауэра также позволяют более точно контролировать приложения Winsock. Обычно пользователи пытаются использовать IRC и другие приложения Winsock, и если они настроены как обычные пользователи веб-прокси, это может оказаться для них проблемой. Информация, которую я выделил выше, поможет вам решить, является ли клиент брандмауэра тем клиентом, который вам нужен, и, надеюсь, сэкономит ваше время.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023