Клиент межсетевого экрана - это компьютер, на котором установлено и запущено ПО клиента межсетевого экрана и который находится в сети, защищенной с помощью Шлюз Microsoft Forefront Threat Management. Клиент межсетевого экрана позволяет приложениям Windows Socket (Winsock) отправлять запросы в удаленные расположения с использованием службы межсетевого экрана Майкрософт. Настройка клиента межсетевого экрана не подразумевает конфигурацию отдельных приложений Winsock. Библиотека динамической компоновки (FwcWsp.dll) в ПО клиента межсетевого экрана выполняет роль многоуровневого поставщика услуг Winsock (LSP), который работает со всеми приложениями Winsock. LSP клиента межсетевого экрана перехватывает вызовы функций Winsock из клиентских приложений и направляет запросы поставщику услуг исходной базы для локальных расположений или в службу межсетевого экрана на сервер Forefront TMG для удаленных расположений. При установке клиента межсетевого экрана в папку \Program Files\Microsoft Firewall Client 2004 будут установлены следующие файлы.
- FwcAgent.exe
- FwcCreds.exe
- FwcMgmt.exe
- FwcRes.dll
- FwcWsp.dll
- ISAClient.htm
Версии клиента межсетевого экрана
Ниже представлены версии клиента межсетевого экрана.
- Клиент межсетвого экрана 2000. Выпущен с ISA Server 2000
- Клиент межсетвого экрана 2004. Выпущен с ISA Server 2004
- Клиент межсетвого экрана 2006. Выпущен с ISA Server 2006
- Клиент межсетевого экрана для ISA Server. Возможна загрузка из
Интернета с поддержкой для 32- и 64-разрядных систем
В следующей таблице перечислены операционные системы, поддерживающие ПО клиента межсетевого экрана.
Операционная система | Клиент межсетевого экрана 2000 | Клиент межсетевого экрана 2004 | Клиент межсетевого экрана 2006 | Клиент межсетевого экрана для ISA Server |
---|---|---|---|---|
Windows Vista® |
Не поддерживается |
Не поддерживается |
Не поддерживается |
Поддерживается |
Windows Server 2003 с пакетом обновления 1 (SP1) |
Поддерживается |
Поддерживается |
Поддерживается |
Поддерживается |
Windows XP (со всеми пакетами обновлений) |
Поддерживается |
Поддерживается |
Поддерживается |
Поддерживается |
Windows 2000 Server |
Поддерживается |
Поддерживается |
Поддерживается |
Поддерживается |
Windows NT® Server 4.0 |
Поддерживается |
Поддерживается |
Поддерживается |
Не поддерживается |
Windows Millennium Edition |
Поддерживается |
Поддерживается |
Поддерживается |
Не поддерживается |
Windows 98 (второе издание) |
Поддерживается |
Поддерживается |
Поддерживается |
Не поддерживается |
Windows 98 |
Поддерживается |
Не поддерживается |
Не поддерживается |
Не поддерживается |
Windows 95 |
Поддерживается |
Не поддерживается |
Не поддерживается |
Не поддерживается |
Канал управления шифрованием
ПО клиента межсетевого экрана, предоставляемое с ISA Server 2004, ISA Server 2006 и загрузкой из Интернета, поддерживает канал управления шифрованием TCP, который шифрует учетные данные клиента межсетевого экрана, отправляемые с каждым запросом. Этот заданный по умолчанию параметр блокирует следующие подключения клиента к Forefront TMG:
- Любая версия ПО клиента межсетевого экрана, выпущенная до
выхода клиента межсетевого экрана для ISA Server 2004.
- Любая версия ПО клиента межсетевого экрана, установленного на
компьютеры с Windows NT Server 4.0, Windows Millennium Edition или
Windows 98.
Для поддержки подключений старых клиентов этот заданный по умолчанию параметр шифрования можно отключить.
Обработка запросов клиента межсетевого экрана
Обработка запросов клиентов, работающих с ПО клиента межсетевого экрана, осуществляется следующим образом.
- При попытке приложения Winsock, работающего на клиентском
компьютере, выполнить разрешение имени узла, клиент межсетевого
экрана проверяет таблицу локальных доменов (LDT).
- Если суффикс имени узла присутствует в таблице LDT, клиент
завершает процесс разрешения имени, используя механизм разрешения
имен Winsock. В противном случае клиент выводит запрос на
разрешение имени Forefront TMG.
- Когда Forefront TMG разрешает имя от имени клиента,
используются параметры DNS, которые настроены в адаптере сети,
получающей запросы клиента.
- Разрешенный IP-адрес возвращается клиенту. Если адрес находится
в таблице локальных адресов (LAT) или в файле Locallat.txt,
происходит прямое подключение клиента. Если адрес отсутствует,
служба межсетевого экрана обрабатывает запрос на компьютере
Forefront TMG в соответствии с правилами доступа. Если служба
Winsock располагает IP-адресом и не требуется разрешения имени,
выполнять описанные выше действия не нужно.
- Обработка веб-запросов выполняется следующим образом.
- Запросы из веб-прокси приложений, установленных на компьютерах
с клиентом межсетевого экрана, отправляются непосредственно
веб-прокси-прослушивателю.
- Если настройки веб-прокси отсутствуют, веб-запросы от клиента
межсетевого экрана обрабатываются в соответствии с описанными выше
(с 1 по 4) действиями. Трафик передается в веб-прослушиватель на
сервер Forefront TMG для обработки. Этот процесс называется
прозрачным преобразованием сетевых адресов (NAT).
- Запросы из веб-прокси приложений, установленных на компьютерах
с клиентом межсетевого экрана, отправляются непосредственно
веб-прокси-прослушивателю.
Разрешение имен
Компьютеры с установленным ПО клиента межсетевого экрана имеют параметры для каждого приложения, которые определяют возможность выполнения разрешения имен Forefront TMG от имени клиента. По умолчанию обработка разрешения имен для запросов приложения Winsock, работающих на компьютере с клиентом межсетевого экрана, выполняется следующим образом.
- Числа с разделительными точками или имена доменов Интернета
перенаправляются на компьютер Forefront TMG для разрешения
имен.
- Разрешение неизвестных имен выполняется на локальном
компьютере.
Это заданное по умолчанию поведение можно изменить, отредактировав параметр настройки "NameResolution" с помощью следующих значений.
- NameResolution=L. Это значение параметра указывает, что запрос
приложения должен быть разрешен на локальном компьютере.
- NameResolution=L. Это значение параметра указывает, что запрос
приложения должен быть разрешен сервером Forefront TMG.
Этот параметр можно изменить, если нужно точно знать место выполнения разрешения имени для приложения. Можно указать, что параметры будут применяться ко всем приложениям, изменив параметр в файле Common.ini или Application.ini для конкретного приложения. Дополнительные сведения см. в разделе Параметры настройки клиента межсетевого экрана.
Если для доменов и компьютеров настроен прямой доступ, компьютеры с клиентом межсетевого экрана пытаются разрешить имена без перехода через Forefront TMG. Для правильного разрешения имен на клиентских компьютерах в параметрах TCP/IP должен быть указан сервер DNS. В частности, компьютеры должны разрешать имена опубликованных ресурсов на внутренних IP-адресах.
Если в приложениях параметру "NameResolution" задано значение "L" или "R", этот параметр переопределяет все параметры прямого доступа. Например, если параметру "NameResolution" для FWC_Application.exe задано значение "R", запросы на разрешение FQDN всегда обрабатываются Forefront TMG для этого приложения независимо от записей в файлах Common.ini или Application.ini.
Проверка подлинности
Клиент межсетевого экрана отправляет данные о пользователе на сервер Forefront TMG с каждым запросом. Эти учетные данные можно использовать при создании правил доступа, применяемых к определенным пользователям и группам. Пользователь должен войти в систему с учетной записью пользователя службы каталогов Active Directory®. В случае с рабочими группами пользователи должны использовать учетные записи, зеркально отображаемые на сервере Forefront TMG. При отправке учетных данных на компьютер Forefront TMG имя пользователя заносится в журналы межсетевого экрана Forefront TMG. Это облегчает отслеживание трафика клиента межсетевого экрана.