Клиенты межсетевого экрана Шлюз Microsoft Forefront Threat Management — это компьютеры, на которых установлено и запущено ПО клиента межсетевого экрана и которые находятся в сети, защищенной с помощью Forefront TMG. ПО клиента межсетевого экрана перехватывает вызовы Winsock из клиентских приложений и отправляет запросы, которые не считаются локальными, в службу межсетевого экрана на Forefront TMG. На сервере Forefront TMG служба межсетевого экрана обрабатывает эти запросы в соответствии с требованиями политики межсетевого экрана и проверки подлинности.
Перечисленные ниже параметры настройки могут быть определены на сервере Forefront TMG и применены к компьютерам с клиентом межсетевого экрана.
- Глобальные параметры, применимые ко всем клиентам межсетевого
экрана. К ним относятся параметры, разрешающие незашифрованные
подключения для поддержки устаревших версий ПО клиента межсетевого
экрана, и параметры приложений, определяющие действия ПО клиента
межсетевого экрана в отношении конкретных приложений.
- Параметры, зависящие от конкретной сети, которые применяются к
клиентам межсетевого экрана, расположенным в определенной сети. С
помощью этих параметров настраивается сеть для прослушивания
запросов клиента межсетевого экрана, определяются параметры
веб-прокси для клиентов межсетевого экрана в сети, настраивается
таблица локальных доменов со списком локальных адресов, к которым
клиенты межсетевого экрана могут обращаться, не проходя через
Forefront TMG.
Глобальные параметры настройки
клиента межсетевого экрана
В следующей таблице представлена сводка параметров, которые указываются на консоли управления Forefront TMG и применяются ко всем клиентам межсетевого экрана.
| Параметр | Сведения |
|---|---|
|
Разрешить незашифрованные подключения клиентов межсетевого экрана |
Разрешает незашифрованные подключения для поддержки версий клиента межсетевого экрана, предшествующих клиенту межсетевого экрана для ISA Server 2004, или для разрешения подключений клиентов межсетевого экрана, установленных на компьютерах с Windows NT 4.0, Windows Me или Windows 98. При выборе этого параметра незашифрованный трафик от прошедших проверку подлинности пользователей блокироваться не будет. Обратите внимание: проверка подлинности пользователей выполняется только в том случае, если этого требуют правила политики межсетевого экрана. Инструкции по настройке см. в разделе Разрешение незашифрованной передачи данных для клиентов устаревшего межсетевого экрана. |
|
Параметры приложений |
Параметры приложений состоят из пар {ключ, значение}, которые определяют действия ПО клиента межсетевого экрана в отношении конкретного приложения. Инструкции по настройке см. в разделе Настройка приложения клиентов межсетевого экрана. |
Параметры сети клиента межсетевого
экрана
В следующей таблице представлена сводка параметров, которые указываются для сети Forefront TMG и применяются ко всем клиентам межсетевого экрана, находящимся в этой сети.
| Параметр | Сведения |
|---|---|
|
Включить поддержку клиентов межсетевого экрана для данной сети |
Разрешает конкретной сети прослушивать запросы от клиентов межсетевого экрана на порте 1745. Инструкции по настройке см. в разделе Настройка сети для клиентов межсетевого экрана. |
|
Имя |
Для конкретной сети определяет полное доменное имя компьютера Forefront TMG для клиентов межсетевого экрана. Необходимо проверить, что для разрешения этого имени имеется доступная запись DNS. Если DNS-сервер недоступен, потребуется IP-адрес. |
|
Использовать сервер веб-прокси |
Указывает, что, если включена автоматическая настройка веб-обозревателя, клиенты межсетевого экрана в сети должны использовать указанный сервер в качестве веб-прокси. |
|
Автоматическое определение параметров |
Указывает, что веб-обозреватель в клиенте межсетевого экрана будет автоматически обнаруживать параметры веб-прокси. |
|
Использовать сценарий автоматической настройки |
Определяет, что веб-обозревателю на компьютерах с клиентом межсетевого экрана, расположенных в сети, следует получать параметры из файла конфигурации. В заданных по умолчанию файлах настройки Forefront TMG хранятся данные о прокси-сервере, который следует использовать для запроса URL-адресов и получения параметров, определенных на вкладках Веб-обозреватель и Домены. Инструкции по настройке см. в разделе Настройка сети для клиентов межсетевого экрана. |
Файлы конфигурации
Параметры клиента межсетевого экрана расположены в следующих файлах на клиентском компьютере.
- Management.ini.
- Common.ini.
- Application.ini.
Common.ini.
В файле Common.ini указаны параметры, применимые ко всем приложениям. Ниже приведен пример типичного файла Common.ini:
 Копировать код |
|
|---|---|
[Common] ServerName=ISA_1 Disable=0 Autodetection=0 |
|
Management.ini.
В этом файле находятся параметры настройки клиента межсетевого экрана. Ниже приведен пример типичного файла Management.ini:
| Копировать код |
|
|---|---|
[WebBrowser] EnableWebProxyAutoConfig=1 |
|
Application.ini.
Этот файл можно создать на клиентском компьютере с параметрами конфигурации для определенного приложения Winsock. Ниже приведен пример файла Application.ini для приложения Fw_Client_app.exe:
| Копировать код |
|
|---|---|
[fw_Client_App] Disable=0 NameResolution=R LocalBindTcpPorts=7777 LocalBindUdpPorts=7000-7022, 7100-7170 RemoteBindTcpPorts=30 RemoteBindUdpPorts=3000-3050 ServerBindTcpPorts=100-300 ProxyBindIp=80:100.52.144.103, 82:110.51.0.0 Persistent=1 ForceCredentials=1 NameResolutionForLocalHost=L |
|
Расположение файлов конфигурации
Расположение файлов конфигурации на клиентском компьютере зависит от операционной системы. Например, на компьютерах под управлением Windows XP копии файлов находятся в двух папках:
- \Documents and Settings\All Users\Application
Data\Microsoft\Firewall Client 2004
- \Documents and Settings\имя_пользователя\Local
Settings\Application ata\Microsoft\Firewall Client 2004
На компьютерах с Windows Vista копии файлов находятся в следующих папках:
- \Users\All Users\Microsoft\Firewall Client 2004
- \Users\имя_пользователя\AppData\Local\Microsoft\Firewall Client
2004
Настройка параметров клиента
межсетевого экрана.
Параметры настройки, указанные на консоли управления Forefront TMG, доставляются в файлы конфигурации клиента следующим образом:
- во время установки клиента межсетевого экрана;
- при каждом перезапуске клиентского компьютера;
- при запуске обновления вручную на клиентском компьютере;
- каждые шесть часов после первоначального обновления.
Кроме того, можно вручную изменить файлы конфигурации на клиентском компьютере. После внесения изменений параметры применяются в следующем порядке.
- Преимущественное значение имеют файлы .ini, расположенные в
папке определенного пользователя.
- Затем клиент межсетевого экрана просматривает папку «All
Users». Если определен параметр настройки, который противоречит
параметрам, заданным для пользователя, то он пропускается.
- После этого клиент межсетевого экрана находит Forefront TMG, к
которому он должен подключиться в соответствии с параметрами,
заданными в диалоговом окне средства управления клиента межсетевого
экрана.
- Клиент межсетевого экрана проверяет параметры, заданные на
уровне сервера. Применяются любые параметры настройки, определенные
в Forefront TMG. Если определен параметр настройки, который
противоречит параметрам, заданным для пользователя или компьютера,
то он пропускается.
Изменение параметров приложения
Параметры приложения можно изменить с помощью консоли управления Forefront TMG, чтобы применить их ко всем клиентам межсетевого экрана или на определенном клиентском компьютере. На клиентских компьютерах можно либо изменить файл Common.ini, чтобы применить параметр ко всеми приложениям, либо создать файлы Application.ini, чтобы применить параметры настройки для определенного приложения. В следующей таблице представлены записи, которые можно использовать при настройке параметров приложений.
| Ключи | Значение |
|---|---|
|
ServerName |
Указывает имя компьютера Forefront TMG, к которому должен подключиться клиент межсетевого экрана (может быть установлен только на компьютере с клиентом межсетевого экрана). |
|
Disable |
Возможные значения: 0 или 1. Если задано значение «1», приложение клиента межсетевого экрана будет отключено для определенного клиентского приложения, за исключением случаев, когда конфигурация клиента межсетевого экрана явно исключает процесс запуска трафика. |
|
DisableEx |
Возможные значения: 0 или 1. Если задано значение «1», приложение клиента межсетевого экрана будет отключено для определенного клиентского приложения. Применяется к клиенту межсетевого экрана для Forefront TMG. Если данному параметру задано значение, он переопределяет значение параметра Disable. Например, для svchost параметр DisableEx включен по умолчанию. |
|
Autodetection |
Возможные значения: 0 или 1. Если задано значение «1», приложение клиента межсетевого экрана автоматически находит компьютер Forefront TMG, к которому оно должно подключиться (может быть установлен только на компьютере с клиентом межсетевого экрана). |
|
NameResolution |
Возможные значения: «L» или «R». По умолчанию разделенные точками имена доменов перенаправляются на компьютер Forefront TMG для разрешения имен, а разрешение всех остальных имен выполняется на локальном компьютере. Если задано значение «R», все имена перенаправляются на компьютер Forefront TMG для разрешения. Если задано значение «L», разрешение всех имен происходит на локальном компьютере. |
|
LocalBindTcpPorts |
Определяет список или диапазон TCP-портов, доступных локально |
|
LocalBindUdpPorts |
Определяет список или диапазон UDP-портов, доступных локально |
|
DontRemoteOutboundTcpPorts |
Определяет список или диапазон исходящих TCP-портов, которые не подключаются через Forefront TMG (запросы на подключение, которые не отправляются на Forefront TMG). Эта запись используется для определения портов, с которых клиенты не должны устанавливать соединение с Forefront TMG. Этот вариант можно использовать при защите межсетевого экрана от атак во внутренней сети, которые распространяются при доступе к фиксированному порту в случайно выбранном расположении. |
|
DontRemoteOutboundUdpPorts |
Определяет список или диапазон исходящих UDP-портов, доступных локально |
|
RemoteBindTcpPorts |
Определяет список или диапазон TCP-портов, доступных удаленно |
|
RemoteBindUdpPorts |
Определяет список или диапазон UDP-портов, доступных удаленно |
|
ProxyBindIP |
Определяет один или несколько IP-адресов, которые используются при привязке к соответствующему порту. Используется в случае нескольких серверов, когда нужно привязать разные порты к разным компьютерам Forefront TMG. Запись имеет следующий синтаксис: ProxyBindIp=[port]:[IP address], [port]:[IP address] Номера портов применяются и к TCP-, и к UDP-портам. |
|
ServerBindTcpPorts |
Определяет список или диапазон TCP-портов для всех портов, которые должны работать с несколькими подключениями. |
|
Persistent |
Возможные значения: 0 или 1. Если задано значение «1», то запись может быть использована для сохранения определенного состояния Forefront TMG, когда служба остановлена и перезапущена или сервер не отвечает. Клиент периодически посылает сообщения для проверки активности на сервер в течение активного сеанса. Если сервер не отвечает, клиент старается сохранить связь и прослушивание сокетов до тех пор, пока сервер не перезапустится. |
|
ForceCredentials |
Используется при запуске службы Windows или серверного приложения, например приложения межсетевого экрана. Если задано значение «1», требуется использовать альтернативные учетные данные для проверки подлинности пользователя, сохраненные локально на компьютере с запущенной службой. Учетные данные пользователя сохраняются на клиентском компьютере с помощью приложения FwcCreds.exe, поставляемого вместе с ПО клиента межсетевого экрана. Учетные данные пользователя должны относиться к учетной записи пользователя, которая может быть проверена Forefront TMG либо локально на Forefront TMG, либо в домене, являющимся доверенным для Forefront TMG. Учетная запись пользователя обычно задается без ограничения срока действия. В противном случае учетные данные пользователя придется обновлять каждый раз по истечении времени действия учетной записи (Может быть установлен только на компьютере с клиентом межсетевого экрана.) |
|
NameResolutionForLocalHost |
Возможные значения: «L» (по умолчанию), «P» или «E». Используется для указания способа разрешения имени локального (клиентского) компьютера при вызове API функции gethostbyname. Имя компьютера LocalHost разрешается вызовом функции gethostbyname() Winsock API с помощью строки LocalHost, пустой строки или значения NULL указателя строки. Приложения Winsock вызывают gethostbyname(LocalHost) для обнаружения своего локального IP-адреса и отправляют его на Интернет-сервер. Если задано значение «L», gethostbyname() возвращает IP-адрес локального компьютера. Если задано значение «P», gethostbyname() возвращает IP-адрес компьютера Forefront TMG. Если задано значение «E», gethostbyname() возвращает только внешний IP-адрес компьютера Forefront TMG (эти IP-адреса отсутствуют в таблице локальных адресов). |
|
ControlChannel |
Возможные значения: Wsp.udp или Wsp.tcp (по умолчанию). Определяет тип используемого канала управления. |
|
EnableRouteMode |
Возможные значения: 0 или 1 (по умолчанию). Если параметру EnableRouteMode задано значение «1» и между компьютером клиента межсетевого экрана и запрошенным местом назначения установлено отношение маршрутизации, в качестве адреса источника используется IP-адрес клиента межсетевого экрана. Если задано значение «0», используется IP-адрес компьютера Forefront TMG. Этот параметр не применяется к более старым версиям клиента межсетевого экрана. |