ISA&TMG三种客户端模式介绍(二)之防火墙客户端

在企业运维管理中,防火墙客户端是已安装并启用了防火墙客户端软件的计算机,位于受 ISA 服务器保护的网络中。安装防火墙客户端的方法可以分别在每台客户端计算机上安装防火墙客户端,或使用 Windows 软件安装管理单元集中管理防火墙客户端软件的分发。

防火墙客户端使用公用的 Winsock 提供程序。设置防火墙客户端时,并没有配置各个 Winsock 应用程序, 而是使防火墙客户端软件中的动态链接库 (FwcWsp.dll) 成为所有 Winsock 应用程序透明使用的 Winsock 分层服务提供程序。防火墙客户端分层服务提供程序可拦截来自客户端应用程序的 Winsock 函数调用,并在目标为本地目标时将请求路由到原始基础服务提供程序,或目标为远程目标时透明地路由到 TMG/ISA 服务器计算机上的防火墙服务中。

防火墙客户端版本支持防火墙客户端和 ISA 服务器之间通过更为安全的方式进行通信。通过 TCP 控制通道将防火墙客户端凭据和每个请求一起透明发送,并将这些凭据加密,使其不会受到拦截。

防火墙客户端如何处理 IP 地址请求?

1、当客户端计算机上的 Winsock 应用程序试图连接到某个 IP 地址时,防火墙客户端会检查本地域表以确定 IP 地址是在内部网络中,还是在外部网络中。如果在本地域表中找到该域名,则会由客户端来完成名称解析。否则,客户端会将请求传递给外部 DNS 服务器,请求 ISA 服务器代表它对域名进行解析。

2、当 ISA 服务器代表防火墙客户端解析客户端请求时,会按照与接收防火墙客户端请求的网络相关联的网络适配器上配置的 DNS 设置完成名称解析。会将解析的 IP 地址返回给防火墙客户端计算机,然后该计算机向目标发送请求。ISA 服务器可根据为网络适配器配置的 DNS 生存时间 (TTL) 缓存为防火墙客户端所做的 DNS 查询的结果。

3、名称解析返回目标服务器的 IP 地址后,防火墙客户端会检查本地地址表和 Locallat.txt,以确定该地址是否为本地地址。对于内部地址,客户端会直接进行连接。否则,会将请求发送到 ISA 服务器计算机上的防火墙服务。

我们来看看防火墙客户端的名称解析方式:

如果安装了防火墙客户端的计算机对每一个应用程序都有设置,这些设置指定 ISA 服务器是否代表客户端进行名称解析。默认情况下,按如下方式为在防火墙客户端计算机上运行的 Winsock 应用程序请求进行名称解析:

将用点分隔的十进制符号或 Internet 域名重定向到 ISA 服务器计算机进行名称解析。

非限定名称在本地计算机上进行解析。

也可以通过将 NameResolution 配置设置修改为下列值来更改此默认行为来让名称解析交由远端TMG/ISA服务器处理:

NameResolution=L。此设置用于指定应在本地计算机上解析应用程序请求。

NameResolution=R。此设置用于指定应由 ISA 服务器计算机解析应用程序请求。

但是如果想要确定应用程序的名称解析发生的地点,则修改此设置很有用。

当指定域和计算机进行直接访问时,防火墙客户端计算机将试图对名称进行解析,而不通过 ISA 服务器。客户端计算机将需要在 TCP/IP 参数中指定 DNS 服务器,从而可以正确地解析名称。特别是这些客户端计算机必须能将已发布资源的名称解析为内部 IP 地址。

如果应用程序的 NameResolution 设置指定为 L 或 R,则此设置会改写任何直接访问设置。例如,如果将 NameResolution 设置指定为 FWC_Application.exe = R,则该应用程序的 FQDN 解析请求始终由 ISA 服务器处理,而不管 ISA 服务器防火墙客户端配置文件中的项目是否将请求目标指定为本地目标。

对于身份,防火墙客户端又如何进行身份验证呢?

防火墙客户端会将用户信息随每个请求一起发送给 ISA 服务器计算机。这样您就可以创建适用于特定组和用户的访问规则。用户必须使用 Active Directory? 目录服务用户帐户进行登录,如果使用工作组方案,则使用 ISA 服务器计算机上镜像的用户帐户进行登录。将用户名发送到 ISA 服务器计算机时,会在 ISA 服务器防火墙日志中记录该用户名。这使跟踪防火墙客户端通讯变得简单。

以上就是一些简单地关于防火墙客户端的介绍,分享一下,嘿嘿~

本文转自wangtingdong 51CTO博客,原文链接:http://blog.51cto.com/tingdongwang/686269,如需转载请自行联系原作者

上一篇:孤军大作战!疯狂DIY 1U硬件防火墙实录(一)
下一篇:Juniper防火墙配置备份