Меню Рубрики

Клиент межсетевого экрана isa server для windows 7

Версии клиента межсетевого экрана

Ниже представлены версии клиента межсетевого экрана.

    Клиент межсетвого экрана 2000. Выпущен с ISA Server 2000

Клиент межсетвого экрана 2004. Выпущен с ISA Server 2004

Клиент межсетвого экрана 2006. Выпущен с ISA Server 2006

Клиент межсетевого экрана для ISA Server. Возможна загрузка из Интернета с поддержкой для 32- и 64-разрядных систем

В следующей таблице перечислены операционные системы, поддерживающие ПО клиента межсетевого экрана.

Windows Server 2003 с пакетом обновления 1 (SP1)

Windows XP (со всеми пакетами обновлений)

Windows 2000 Server

Windows NT® Server 4.0

Windows Millennium Edition

Windows 98 (второе издание)

Канал управления шифрованием

ПО клиента межсетевого экрана, предоставляемое с ISA Server 2004, ISA Server 2006 и загрузкой из Интернета, поддерживает канал управления шифрованием TCP, который шифрует учетные данные клиента межсетевого экрана, отправляемые с каждым запросом. Этот заданный по умолчанию параметр блокирует следующие подключения клиента к Forefront TMG:

    Любая версия ПО клиента межсетевого экрана, выпущенная до выхода клиента межсетевого экрана для ISA Server 2004.

Любая версия ПО клиента межсетевого экрана, установленного на компьютеры с Windows NT Server 4.0, Windows Millennium Edition или Windows 98.

Для поддержки подключений старых клиентов этот заданный по умолчанию параметр шифрования можно отключить.

Обработка запросов клиента межсетевого экрана

Обработка запросов клиентов, работающих с ПО клиента межсетевого экрана, осуществляется следующим образом.

    При попытке приложения Winsock, работающего на клиентском компьютере, выполнить разрешение имени узла, клиент межсетевого экрана проверяет таблицу локальных доменов (LDT).

Если суффикс имени узла присутствует в таблице LDT, клиент завершает процесс разрешения имени, используя механизм разрешения имен Winsock. В противном случае клиент выводит запрос на разрешение имени Forefront TMG.

Когда Forefront TMG разрешает имя от имени клиента, используются параметры DNS, которые настроены в адаптере сети, получающей запросы клиента.

Разрешенный IP-адрес возвращается клиенту. Если адрес находится в таблице локальных адресов (LAT) или в файле Locallat.txt, происходит прямое подключение клиента. Если адрес отсутствует, служба межсетевого экрана обрабатывает запрос на компьютере Forefront TMG в соответствии с правилами доступа. Если служба Winsock располагает IP-адресом и не требуется разрешения имени, выполнять описанные выше действия не нужно.

Обработка веб-запросов выполняется следующим образом.

    Запросы из веб-прокси приложений, установленных на компьютерах с клиентом межсетевого экрана, отправляются непосредственно веб-прокси-прослушивателю.

Если настройки веб-прокси отсутствуют, веб-запросы от клиента межсетевого экрана обрабатываются в соответствии с описанными выше (с 1 по 4) действиями. Трафик передается в веб-прослушиватель на сервер Forefront TMG для обработки. Этот процесс называется прозрачным преобразованием сетевых адресов (NAT).

Разрешение имен

Компьютеры с установленным ПО клиента межсетевого экрана имеют параметры для каждого приложения, которые определяют возможность выполнения разрешения имен Forefront TMG от имени клиента. По умолчанию обработка разрешения имен для запросов приложения Winsock, работающих на компьютере с клиентом межсетевого экрана, выполняется следующим образом.

    Числа с разделительными точками или имена доменов Интернета перенаправляются на компьютер Forefront TMG для разрешения имен.

Разрешение неизвестных имен выполняется на локальном компьютере.

Это заданное по умолчанию поведение можно изменить, отредактировав параметр настройки «NameResolution» с помощью следующих значений.

    NameResolution=L. Это значение параметра указывает, что запрос приложения должен быть разрешен на локальном компьютере.

NameResolution=L. Это значение параметра указывает, что запрос приложения должен быть разрешен сервером Forefront TMG.

Этот параметр можно изменить, если нужно точно знать место выполнения разрешения имени для приложения. Можно указать, что параметры будут применяться ко всем приложениям, изменив параметр в файле Common.ini или Application.ini для конкретного приложения. Дополнительные сведения см. в разделе Параметры настройки клиента межсетевого экрана.

Если для доменов и компьютеров настроен прямой доступ, компьютеры с клиентом межсетевого экрана пытаются разрешить имена без перехода через Forefront TMG. Для правильного разрешения имен на клиентских компьютерах в параметрах TCP/IP должен быть указан сервер DNS. В частности, компьютеры должны разрешать имена опубликованных ресурсов на внутренних IP-адресах.

Если в приложениях параметру «NameResolution» задано значение «L» или «R», этот параметр переопределяет все параметры прямого доступа. Например, если параметру «NameResolution» для FWC_Application.exe задано значение «R», запросы на разрешение FQDN всегда обрабатываются Forefront TMG для этого приложения независимо от записей в файлах Common.ini или Application.ini.

Проверка подлинности

Клиент межсетевого экрана отправляет данные о пользователе на сервер Forefront TMG с каждым запросом. Эти учетные данные можно использовать при создании правил доступа, применяемых к определенным пользователям и группам. Пользователь должен войти в систему с учетной записью пользователя службы каталогов Active Directory®. В случае с рабочими группами пользователи должны использовать учетные записи, зеркально отображаемые на сервере Forefront TMG. При отправке учетных данных на компьютер Forefront TMG имя пользователя заносится в журналы межсетевого экрана Forefront TMG. Это облегчает отслеживание трафика клиента межсетевого экрана.

Источник

Установка и настройка ISA сервера

Операционная система Клиент межсетевого экрана 2000 Клиент межсетевого экрана 2004 Клиент межсетевого экрана 2006 Клиент межсетевого экрана для ISA Server

Нам понадобится дистрибутив ISA сервера, набор последних обновлений к нему, и собственно машина, на которую все это будет устанавливаться. Требования на сегодняшний день не такие уж заоблачные процессор 300MHz, 256 Mb памяти, 20 Mb свободного места на диске плюс от 100 Mb для кэширования данных. ОС Windows 2000 S, AS, DS ну и все последние обновления к ним (без SP 1 не установиться точно).
Если собираетесь устанавливать сервер в режиме Firewall или Integrated понадобиться минимум 2 сетевых адаптера. Для установки в режиме WEB proxy достаточно одного.

Настройки сетевых адаптеров

WAN – интерфейс, «смотрящий» в Интернет должен иметь реальный IP адрес

Например:
IP — 213.150.15.194
Mask — 255.255.255.240
GW – 213.150.15.193
DNS – не указываются.`

На внешнем интерфейсе убираем привязки Client for Microsoft Network и File and Printer Sharing for Microsoft Networks

LAN – интерфейс, «смотрящий» в локальную сеть

Например:
IP – 192.168.0.1
Mask — 255.255.255.0
GW — не указывается
DNS — 192.168.0.2, 192.168.0.3

Запускаем установочный дистрибутив, перед нами появляется вот такой экран.

Приступим к расшифровке того что мы видим. Первые три пункта оставляем пока без внимания ( хотя со вторым стоит ознакомиться ) переходим ко второй колонке.

  • Run ISA Server Enterprise initialization — эта кнопочка позволяет провести предварительные настройки AD для возможности хранения параметров ISA сервера непосредственно в AD. Для запуска необходимы следующие условия: сервер, на котором производится установка ISA сервер, должен быть членом домена, у пользователя, запускающего инициализацию, должны быть права администратора домена и схемы. Данная конфигурация рекомендуется при использовании сложной структуры, включающей несколько ISA серверов и требующих централизованного администрирования.
  • Install ISA server — тут наверно пояснений не требуется, если сложных структур нет, жмем ее.

Далее предлагают согласиться с Microsoft в части лицензионного соглашения и ввести код продукта. По окончании несложной процедуры появляется очередное окно мастера, утверждающего, что он согласен послушать ваши пожелания относительно набора устанавливаемых компонентов и места окончательного базирования продукта.

Указываем место, где будет установлен ISA сервер и выбираем предпочтительный вариант установки ( Typical , Custom , Full ). Для задачи предоставления доступа к ресурсам Internet вполне достаточно варианта Typical, его и выбираем. Далее выпадет вот такое предупреждение если не была выполнена процедура подготовки AD.

Продолжаем установку нажав YES .

Вот здесь нам и предложат выбрать три варианта установки ISA сервера:

Итак, как уже говорилось выше для предоставления доступа к ресурсам Интернет нам подходит Firewall Mode или Integrated Mode . Разница двух режимов заключается в возможности кэширования запросов пользователей (Integrated позволяет Firewall — нет). Выбираем требуемый вариант, далее речь будет идти о системе установленной в Integrated Mode .
В процессе установки сообщат, что был потушен IIS сервер и для дальнейшего использования приложений IIS необходимо использовать порты отличные от 80 и 8080

Далее программа установки предлагает выбрать место расположения файлов кэширования и размер в Mb, отведенный под эту задачу. Желательно разместить его на отдельном физическом диске (это увеличит производительность).

Задаем требуемые параметры и жмем Ok .

Следующее окно предлагает настроить всеми любимую LAT (таблицу локальных адресов) Здесь стоит остановиться поподробнее.
В эту таблицу необходимо включить все диапазоны локальных адресов имеющихся в сети. Обычной практикой является добавление в LAT диапазонов частных сетей 10.0.0.0 -10.255.255.255, 192.168.0.0-192.168.255.255 и 172.16.0.0 – 172.31.255.255. Хотя все зависит от адресов используемых в конкретной сети.
Есть возможность построить LAT автоматически на основании таблицы маршрутизации сетевого адаптера сервера.

После построения LAT установка завершается. Дальше будем настраивать то, что установили, а именно ISA сервер.

Далее устанавливаем все имеющиеся в наличии пакеты обновления для ISA сервера, а так же ISA server FP1 или более поздний.

Теперь установка завершена окончательно, идем в Start -> Programs -> Microsoft ISA server и запускаем ISA management .

Перед нами консоль управления сервером ISA слегка обрезанная.

Для начала открываем вкладку Policy Elements и последовательно настраиваем элементы политик, которые нас интересуют. А интересовать нас могут следующие вещи:

1. Schedules – расписания, здесь настраиваются различные параметры связанные со временем (рабочее, нерабочее время), далее при настройке правил доступа используются настроенные здесь элементы.

2. Bandwidth Proprieties – приоритеты пропускной способности, Данные элементы позволяют определить приоритеты использования канала доступа для разных групп, протоколов, и т.п. В общем вещь полезная, вот только работать начинает при максимальной загрузке канал.

3. Destination Sets – здесь создаются наборы внешних ресурсов, далее используются в создаваемых правилах.

4. Client Address Sets здесь создаются группы клиентов ISA сервера по IP адресам, далее используются в создаваемых правилах.

5. Protocol Definitions – здесь присутствует набор описаний протоколов, здесь же можно создавать свои определения протоколов, далее используются в создаваемых правилах.

6. Content Groups – создаются наборы содержимого определенного типа (HTML, Media и пр.) есть ряд готовых наборов, но при необходимости можно создать дополнительные.

7. Dial-up entries – записи для Диал ап соединений.

В ISA сервере используется принцип Запрещено все, кроме явно указанного, поэтому после установки системы ходить через нее в Интернет нельзя. Будем делать можно, т.е. создадим правило, согласно которому можно все, всем и всегда ( имеется ввиду входящий трафик инициированный исходящими запросами ).

Нажимаем правой кнопкой мыши на вкладку Protocol Rules далее выбираем New – new rule . Перед нами окно мастера создания правил.

1. Вводим имя нового правила Allow_All и нажимаем Next

2. Так как это разрешающее правило выбираем Allow и жмем Next

3. Разрешаем весь трафик или, при необходимости определенные типы протоколов, в нашем случае разрешаем все и нажимаем Next .

4. В этом окне указывается — когда применяется данное правило (в нашем случае оставляем Always ), в других случаях выбирается требуемые временные интервалы, определенные в Schedules .

5. Здесь указывается — для кого применять указанное правило:

  • Для всех ( Any request )
  • Для определенных IP адресов ( Specific computers ) здесь выбирается определенный ранее Client Address Set
  • Для определенных пользователей и групп ( Specific users and groups ) использовать можно локальные записи ISA сервера, а также доменные учетные записи при условии, что ISA сервер является членом домена.

Оставляем Any request и нажимаем Next .

6. Здесь проверяем все ли правильно задали и если наши предположения подтвердились жмем Finish .

На этом настройка правила разрешающего всем всегда использовать Интернет закончено.

Теперь перейдем к настройкам клиентов.

  1. Для простой структуры сети с одной подсетью указываем в параметрах сетевого интерфейса клиента Default Getaway внутренний IP адрес ISA сервера . В случае сложной структурой сети с большим количеством подсетей и маршрутизаторов необходимо указать в качестве шлюза по умолчанию адрес ближайшего к клиенту маршрутизатора и прописать в таблицах маршрутизации — где искать ISA сервер и выход в Интернет.
  2. В настройках обозревателя необходимо указать Ваш ISA сервер в качестве прокси сервера. Порт на котором ISA сервер принимает запросы клиентов – 8080.
  3. Для полноценной работы настоятельно рекомендуется установить на клиентскую машину Firewall Client .
  4. Дистрибутив клиента находится на ISA сервере в папке MSPCLNT, процесс установки тривиален, и в дополнительном описании не нуждается.

Проделав указанные манипуляции, мы организовали доступ к ресурсам Интернет для всех пользователей локальной сети без всяких ограничений.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Клиент активации windows 7 как отключить
  • Классные темы на компьютер для windows 7
  • Классический рабочий стол для windows 10
  • Классический рабочий стол windows 10 как включить
  • Классический пуск в windows 8 с classic shell