Шлюз Microsoft Forefront Threat Management обеспечивает защиту трех типов клиентов во внутренних корпоративных сетях.
- Клиенты SecureNAT
- Клиенты веб-прокси
- Клиенты межсетевых экранов
Выбор клиента для развертывания зависит от сценария развертывания Forefront TMG и инфраструктуры существующей сети. В следующей таблице представлены требования к клиентам и другие сведения.
| Средство | Клиент SecureNAT | Клиент межсетевого экрана | Клиент веб-прокси |
|---|---|---|---|
|
Подробные сведения об установке |
Установка не требуется. Шлюз клиента, заданный по умолчанию, должен направлять запросы на сервер Forefront TMG. Дополнительные сведения см. в разделе Клиенты SecureNAT. |
На клиентские компьютеры необходимо установить ПО клиента межсетевого экрана. Дополнительные сведения см. в разделе Клиенты межсетевого экрана. |
Установка не требуется. CERN-совместимые приложения, например веб-обозреватели, отправляют запросы для веб-прокси на сервер Forefront TMG. Дополнительные сведения см. в разделе Клиенты веб-прокси. |
|
Поддержка операционных систем |
Любая ОС, поддерживающая TCP/IP. |
ОС Windows. Полный список поддерживаемых операционных систем см. в разделе Клиенты межсетевого экрана. |
Любая платформа с CERN-совместимым приложением. Клиенты SecureNAT и межсетевых экранов, отправляющие запросы из таких приложений, действуют как клиенты веб-прокси. |
|
Поддержка протоколов |
Поддержка всех простых протоколов. Комплексным протоколам, требующим несколько основных или дополнительных подключений, необходим фильтр приложений Forefront TMG. |
Поддержка всех приложений Winsock. |
Поддержка HTTP, HTTPS и FTP для запросов на загрузку. |
|
Проверка подлинности на уровне пользователя |
Не представляет учетные данные и не может пройти проверку подлинности Forefront TMG. |
Автоматически отправляет учетные данные клиента с запросами на сервер Forefront TMG. |
Может пройти проверку подлинности, если Forefront TMG запросит учетные данные. При включении анонимного доступа учетные данные не предоставляются. |
|
Рекомендации |
Используйте для клиентов, отличающихся от Windows. Используйте, если требуется поддержка протоколов, которые отличаются от TPC или UDP (например, ICMP или GRE). Настройте опубликованные не веб-серверы в качестве клиентов SecureNAT, если требуется передать исходный IP-адрес клиента на опубликованный сервер. |
Используйте, если требуется поддержка для дополнительных протоколов. Используйте для строгого управления доступом. Запись имен пользователей в журналы. |
Используйте для веб-доступа на основе пользовательских учетных записей через прокси-сервер и формирования цепочки веб-запросов на вышестоящие прокси-серверы. Хорошая производительность, связанная с передачей веб-запросов непосредственно на фильтр веб-прокси. |
Обработка запросов клиентов
Способ обработки Forefront TMG запроса от клиента в его внутренней сети зависит от конфигурации клиентского компьютера и типа сделанного запроса. Например:
- на компьютере с установленным и запущенным ПО клиента
межсетевого экрана запросы, созданные приложениями, которые
используют API Winsocks, перехватываются этим ПО. Если
запрашивается локальный адрес, выполняется прямое подключение. В
противном случае запрос отправляется в службу межсетевого экрана на
компьютер Forefront TMG.
- На компьютере с клиентом межсетевого экрана или клиентом
SecureNAT, где не настроены параметры клиента веб-прокси,
веб-запросы (загрузка HTTP, HTTPS или FTP) передаются на
веб-прослушиватель сети, в которой получен запрос. Этот процесс
называется преобразованием сетевых адресов (NAT).
- На любом компьютере, настроенном в качестве клиента веб-прокси,
веб-запросы отправляются непосредственно на веб-прослушиватель.