Microsoft ISA Server 2006 использует различные уровни связи для защиты корпоративной сети. На пакетном уровне ISA Server реализует политику межсетевого экрана. Таким образом ISA Server управляет данными на сетевом интерфейсе, оценивая трафик перед тем, как он достигнет какого-либо ресурса. Прохождение данных разрешается только после обработки правил службой межсетевого экрана Microsoft для определения, должен ли выполняться запрос.
Архитектура ISA ServerКак показано на рисунке, ISA Server защищает три типа клиентов: клиент межсетевого экрана, клиент SecureNAT и клиент веб-прокси.
Клиент межсетевого экрана. Компьютеры, на которых установлено и запущено программное обеспечение клиента межсетевого экрана. Запросы клиентов межсетевого экрана направляются службе межсетевого экрана на компьютере ISA Server для определения, разрешен ли доступ. После этого они могут быть отфильтрованы фильтрами приложений и другими надстройками. Служба межсетевого экрана также может кэшировать запрашиваемые объекты или выдавать объекты из кэша ISA Server.
Клиенты SecureNAT. Компьютеры, на которых не установлено программное обеспечение клиента межсетевого экрана. Запросы клиентов SecureNAT направляются сначала драйверу преобразования сетевых адресов (NAT), который заменяет глобальный IP-адрес Интернет внутренним IP-адресом клиента SecureNAT. Запросы клиентов после этого направляются службе межсетевого экрана для определения, разрешен ли доступ. Наконец, они могут быть отфильтрованы фильтрами приложений и другими расширениями. Служба межсетевого экрана также может кэшировать запрашиваемые объекты или выдавать объекты из кэша ISA Server.
Клиенты веб-прокси. Веб-приложения, совместимые с CERN. Запросы клиентов веб-прокси направляются службе межсетевого экрана на компьютере ISA Server для определения, разрешен ли доступ. Служба межсетевого экрана также может кэшировать запрашиваемые объекты или выдавать объекты из кэша ISA Server.
Независимо от типа клиента, когда ISA Server получает HTTP-запрос, клиент рассматривается как клиент веб-прокси. Даже если HTTP-запрос делает клиент межсетевого экрана или клиент SecureNAT, клиент рассматривается как клиент веб-прокси. Это имеет особые последствия при проверке подлинности клиентов.
Компьютеры клиента межсетевого экрана и компьютеры клиентов SecureNAT могут также являться клиентами веб-прокси. Если веб-приложение на компьютере явно настроено для использования ISA Server, все веб-запросы посылаются напрямую в службу межсетевого экрана, включая HTTP, FTP и HTTPS. Все остальные запросы обрабатываются сначала службой межсетевого экрана.
В следующей таблице приведено сравнение клиентов ISA Server.
Функция | Клиент SecureNAT | Клиент межсетевого экрана | Клиент веб-прокси |
---|---|---|---|
Установка | Да, требуются некоторые изменения конфигурации сети | Да | Нет, требуется настройка веб-обозревателя |
Поддержка операционных систем | Любая операционная система с поддержкой TCP/IP | Только платформа Windows | Все платформы, но посредством веб-приложения |
Поддержка протоколов | Фильтры приложений для протоколов с несколькими подключениями | Все Winsock-приложения | HTTP, HTTPS и FTP |
Поддержка проверки подлинности на уровне пользователя | Да, только для VPN -клиентов | Да | Да |
Дополнительные сведения о клиентах см. в разделе Принципы работы внутренних клиентов ISA Server 2006 на веб-узле технического центра Microsoft ISA Server(http://www.microsoft.com).