Клиенты ISA - Часть 3 : The Firewall Client

Определения:

Auto-detection - Это - особенность ISA (WPAD), которая позволяет компьютерам LAT и Internet Explorer (v 5.0 или выше) конфигурировать себя, чтобы работать должным образом с сервером ISA.

DNS - Службы именования доменов (Domain Name Services); сервисы, постоянно находящиеся на компьютере, которые отвечают на запрос по разрешению имени. Запрос зависит от многих параметров настройки сервера.

FQDN - Точно Определенное Имя Домена (Fully Qualified Domain Name); это - имя компьютера, которое указывает его логическую ассоциацию на основании структуры домена, связанную с именем. Например, http://www.microsoft.com/ указывает на то, что главный компьютер по имени “www”, "живет" в домене “microsoft” под доменом верхнего уровня “com”. Эти имена всегда отделяются точками “.” и также они известны как “пунктирное десятичное число”.

FWC - Клиент Firewall; используется в этой статье, для указания программного обеспечения FWC непосредственно на LAT host.

GUID - Глобально Уникальный Идентификатор (Globally Unique IDentifier); это - очень большое число, которое гарантированно будет уникальным. ISA использует его, чтобы идентифицировать различные способы его конфигурации.

LAT host - Это - компьютер, который работает в подсети, которая определена в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.

Имя NetBIOS - см. “unqualified name”

Record. Это элемент в DNS-зоне, который представляет единственный элемент, такой как хост, почтовый сервер или сервер в другой зоне.

Secondary Protocol. Любой протокол, используемый приложением, который отличается от протокола, предназначенного для создания начального (первичного) соединения через ISA считается вторичным (Secondary) протоколом.

TTL. Время существования (Time-to-live) - показывает как долго (в секундах), запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.

Unqualified name. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.

VIP - Виртуальный IP (Virtual IP) это допустимый IP-адрес, который назначен либо на NLB-кластер, либо на аппаратное устройство совместной загрузки.

WINS. Службы Интернет-имен Windows (Windows Internet Name Services); это служба разрешения имен, похожая на DNS, за исключением того, что она работает строго с NetBIOS-именами.

WPAD. Автообнаружение прокси Windows (Windows Proxy Auto Detection); функция ISA, которая поддерживается Internet Explorer 5.0 или выше. Когда настроено правильно, позволяет IE конфигурироваться динамически.

Режимы работы ISA:

Cache. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall, для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper.

Firewall. Это сочетание служб Firewall и Web Proxy, без службы Web Cache. Все основные функции ISA поддерживаются в этом режиме, а так же поддерживаются все типы клиентов. Но для работы в этом режиме необходимо как минимум две сетевых карты, одна внешняя, другая внутренняя (LAT).

Integrated. Это самый полный, самый функциональный режим. Web Proxy, Firewall и Web Caching - все вместе они самым наилучшим способом "пережевывают" пакеты. Отличие режима Firewall от этого заключается только в службе Web Caching.

Клиенты ISA:

SecureNAT. Это LAT-хост, который по умолчанию имеет роутинг на ISA через сеть, т.к. он является только средством связи с Интернет. В простой сети (без маршрутизаторов) у этого клиента шлюзом по умолчанию является первичный внутренний IP адрес ISA. В сложных (маршрутизированных) сетях это дело усложняется.

Firewall. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.

Web Proxy. Это простое обычное приложение (IE или другое Web-приложение) на LAT-хосте, которое использует прокси-запросы и порт для доступа в Интернет.

Сравнение функций

Примечания:

1. Любое приложение, работающее на LAT-хосте, может быть клиентом Web Proxy если:

  a) приложение (браузер, клиент FTP, и т.д.) должно быть CERN-совместимо, т.е. подразумевает характерный метод формирования прокси-запроса.

  b) оно предоставляет возможность назначить имя или IP адрес И порт для использования прокси-запросов.

2. Автораспознавание ISA для клиентов Web Proxy ограничено Internet Explorer версии 5.0 или выше и очень чувствительно к результатам разрешения внутренних имен.

3. Автораспознавание ISA для клиентов Firewall очень чувствительно к настройкам, особенно к настройкам разрешения имен.

4. Ограничения только на загрузку по HTTP, HTTPS и FTP.

5. Может использовать какой-нибудь простой протокол (без вторичных соединений), соответствующий Protocol и Site and Content rules, определенных в ISA.

6. Может использовать все незапрещенные в ISA протоколы.

Клиент Firewall:

Этот клиент наиболее универсальный, потому что имеет уникальную способность работать "в зависимости от приложения" и определять, как будет действовать и с какой информацией приложение должно работать. К тому же, это - единственный клиент, который может использовать вторичные протоколы. Вторичные протоколы делают FWC необходимым для приложений, таких как передача сообщений; потоковых носителей, FTP-протокола и т.д. Для большинства людей это также самый труднопонимаемый клиент, потому что он зависит от "конфигурации приложений".

• Операционные режимы ISA сервера, которые поддерживают этого клиента: Firewall, Integrated. Обратите внимание, что режим Cache не указан, т.к. режим Cache не устанавливает Firewall-сервис, который необходим для работы Firewall и SecureNAT клиентов.
  
• Разрешение Имен (Name Resolution) - Это действительно интересно, потому что нет "правильного ответа" на вопрос, как Firewall-клиенты  решают имена. Они могут использовать Firewall-сервисы ISA, функциональные возможности DNS, или они могут действовать подобно клиентам SecureNAT и разрешать составные имена самостоятельно. Это зависит от параметров настройки в разделе Client Applications  (обсуждено позже). В любом случае, они всегда разрешают непреобразованные (unqualified) имена, без использования сервиса Firewall ISA-сервера.
  
• Аутентификация пользователя (User Authentication) - Firewall-клиенты, подобно (Web Proxy)-клиентам, могут подтверждать подлинность на сервере ISA, предоставляя доверительные грамоты (credentials) интерактивно вошедшего пользователя, или как определено при использовании CredTool.exe.
  
• Доступность протокола (Protocol availability)- Firewall-клиенты могут использовать те протоколы, которые:
  
1. Разрешены в Access Policy, Protocol Rules
2. Не ограничены с помощью Site and Content Rules
3. Определены, как имеющие вторичные подключения

Файлы Конфигурации (Configuration Files) - два файла объединяются на Lat-host в \Program Files\Microsoft Firewall Client\internal_setup\, для  определения параметров настройки для программного обеспечения FWC и как оно отвечает на запросы Winsock от приложений и сервисов:
mspclnt.ini; этот файл содержит основной объем данных конфигурации и содержит экземпляры содержимого wspad.dat
msplat.ini; содержит все записи, сделанные в Network Configuration, Local Address Table, и постоянно находится на каждом клиенте, чтобы поддерживать совместимость с Proxy-2  (файл wspcfg.dat). Этот файл также содержит еще две подсети:

224.0.0.0-255.255.255.254 это - стандартная широковещательная подсеть. Так как ISA не передает широковещательный протокол, он должен быть определен как местный.

127.0.0.0-127.255.255.255 это - стандартный набор адресов “localhost”. Ни один из адресов в этом диапазоне не используется вне хоста, работающего на  TCP/IP, так что они никогда не должны видеться ISA.

Эти оба файла отсылаются ISA-серверу в течение инсталляции FWC. Когда пользователь нажимает кнопку Update Now в диалоге конфигурации FWC , происходит следующее:

1. FWC делает запрос на http:///wspad.dat, чтобы получить параметры настройки, которые сохранены как mspclnt.ini, если установлена галочка "ISA Firewall automatic discovery in Firewall Client".

2. Затем FWC создает подключение к ISA по TCP-1745 , чтобы получить данные для msplat.ini и одновременно для mspclnt.ini.

Имейте в виду, что плохое внутреннее разрешение имен может сделать этот процесс крайне медленным либо вообще вызвать ошибку.