Windows - ISA szerver kliensek

ISA szerver 7. rész

Az ISA szerver szolgáltatásait a kliensek oldalán külön szoftverek egészítik ki. Többféle klienst támogat az ISA kiszolgáló. Sorozatunk jelenlegi részében megismerkedünk a kliensekkel, azok funkcióival, előnyeivel.
Az ISA szerver háromféle klienst támogat:
  • Tűzfal-kliens.
  • Biztonságos hálózati címfordító (SecureNAT) kliens, ahol nincs tűzfal-kliens telepítve.
  • Web proxy kliens.
Az alábbi táblázat az ISA szerver klienseket hasonlítja össze:
Tulajdonság SecureNAT kliens Tűzfal-kliens Web proxy kliens
Telepítés szükséges Hálózati beállítás változtatása szükséges Igen Nem, Web böngésző beállítása szükséges
Operációs rendszer támogatás Bármely operációs rendszer, amely a TCP/IP-t támogatja Csak Windows platformok Minden platform, viszont Web alkalmazáson keresztül
Protokolltámogatás Alkalmazásszűrők szükségesek a többkapcsolatú protokollokhoz Valamennyi Winsock alkalmazás HTTP, HTTPS, FTP, Gopher
Felhasználói szintű hitelesítés Hálózati beállítás változtatása szükséges Igen Igen
Szerveralkalmazások Semmilyen beállítás, telepítés nem szükséges Konfigurációs fájl szükséges -
Tűzfal- és SecureNAT kliens gépek egyaránt lehetnek Web proxy kliensek. Ha a Web alkalmazás a gépen kifejezetten az ISA használatára van beállítva, akkor minden Web-kérés (HTTP, FTP, HTTPS, és Gopher) közvetlenül a Web proxy szolgáltatásnak megy. Minden egyéb kérést előzőleg a tűzfalszolgáltatás dolgoz fel.
SecureNAT kliensek
Azok a gépek, amelyeken nincs tűzfal-kliens, SecureNAT kliensek. A SecureNAT kliensek az ISA szerver számos előnyét képesek kihasználni. Ezek tartalmazzák a legtöbb hozzáférés vezérlő tulajdonságot, kivéve a magas szintű protokolltámogatást és hitelesítést.
Habár a SecureNAT kliensekhez nem szükséges speciális szoftver, beállíthatjuk az alapértelmezett átjárót, hogy minden forgalom, amely az Internet felé irányul, az ISA szerverbe jusson közvetlenül vagy közvetetten, útválasztón keresztül. A klienseket akár DHCP segítségével, vagy kézzel is beállíthatjuk.
Amióta a SecureNAT kliensek kéréseit lényegében a tűzfalszolgáltatás kezeli, a SecureNAT kliensek az alábbi biztonsági tulajdonságok előnyeit élvezhetik:
  • Alkalmazásszűrők módosíthatják a protokoll-folyamot, lehetővé téve a komplex protokollok kezelését. A Windows 2000 NAT-ban ez a mechanizmus a NAT szerkesztőkön keresztül valósul meg, amelyeket kernel-módú NAT szerkesztő driverek-ben írtak meg.
  • A tűzfalszolgáltatás képes átadni minden HTTP kérést a Web proxy szolgáltatásnak, amely a gyorsítótárazást kezeli és biztosítja azt, hogy az oldal- és tartalomszabályok megfelelő módon érvényesüljenek.
SecureNAT és Windows 2000 NAT
Az ISA szerver kiterjeszti a Windows 2000 NAT működését, érvényesítve az ISA szerver-házirendet a SecureNAT klienseken. Más szavakkal minden ISA szerver szabály alkalmazható a SecureNAT kliensekre, annak ellenére, hogy a Windows 2000 NAT nem rendelkezik belső hitelesítő mechanizmussal. (A protokoll használati házirendek, célhelyek, és tartalomtípusok szintén vonatkoznak a SecureNAT kliensekre.)
SecureNAT kliensek és szerverpublikálás
Miként a tűzfal-kliensek, a SecureNAT kliensek szintén lehetnek szerverek, mint pl. mail szerverek, amelyek információt küldenek az Internetre. Beállíthatunk szerverpublikáló szabályokat, hogy szervereket SecureNAT kliensként jelentessünk meg.
SecureNAT kliensek nem támogatottak gyorsítótár üzemmódban.
Tűzfal-kliensek
A tűzfal-kliens egy olyan gép, amelyre a tűzfal-kliens szoftver telepítve és aktiválva van. A tűzfal-kliens Winsock alkalmazásokat futtat, amelyek az ISA szerver tűzfalszolgáltatását használják. Amikor a tűzfal-kliens egy Winsock alkalmazást arra használ, hogy egy objektumot kérjen valamely számítógépről, akkor a kliens ellenőrzi a helyi címtábla (LAT) másolatát, hogy ellenőrizze a megadott gépet a LAT táblán. Ha a gép nincs a táblában, akkor a kérést az ISA szerver tűzfalszolgáltatásának címezi. A tűzfalszolgáltatás kezeli a kérést, továbbítja a megfelelő címzetthez, amelyik engedélyezett. A tűzfal-kliens szoftver képes a hitelesítéshez szükséges Windows felhasználói információt küldeni az ISA szervernek.
Egy tűzfal-kliens beállítása nem konfigurálja az egyedi Winsock alkalmazásokat. Ehelyett ugyanazt a Winsock dll-t használja, amelyet a másik alkalmazás használ. A tűzfal-kliens ezután elkapja az alkalmazáshívást, és eldönti, hogy a kérés útvonala az ISA szerver-e.
A tűzfal-kliens a tűzfalszolgáltatással egy dedikált kapcsolaton keresztül kommunikál, amelynek neve tűzfalszolgáltatást vezérlő csatorna. A vezérlőcsatorna kapcsolatnak elsőként kell létrejönnie.
Tűzfal-kliens szoftvert Windows Millennium Edition (Me), Windows 95, Windows 98, Windows NT 4.0, vagy Windows 2000 gépre telepíthetünk. 16-bites Winsock alkalmazások is támogatottak, de csak Windows 2000 és Windows NT 4.0 gépeken. A tűzfal-kliens nem támogatott gyorsítótár üzemmódban.
A tűzfal-kliens komponens az eredeti Winsock réteg felett helyezkedik el. Azokon a platformokon, amelyek támogatják a Winsock 2.0-át, a kliens egy rétegezett szolgáltatásnyújtó (LSP). Egyéb platformokon a kliens setup alkalmazása átnevezi az eredeti Winsock DLL-t (wsock32.dll) és saját wsock32.dll megvalósítását telepíti.
A távoli tűzfal-kliens szoftver támogatja a Winsock 1.0 és Winsock 2.0 funkciókat, ám az alábbi korlátozásokat figyelembe kell venni:
  • Átlapolt I/O a WSARecvFrom-on – A Winsock API működk, de egy távoli socket – a küldő címe, amelyet az alkalmazás fogad – a tűzfalszolgáltatás belső socket-je lesz. Habár blokkoló, vagy nem blokkoló recvfrom használatával az alkalmazás látja az Internetes kiszolgáló aktuális küldő címét, amely eredetileg a csomaggal érkezett.
  • Winsock QoS – Az ISA által telepített LSP támogatja a Quality of Service (QoS) kéréseket. Habár a kapcsolatok a tűzfalszolgáltatáson keresztül léteznek, a Resource Reservation Protocol (RSVP) foglalásai nem kerülnek át a szolgáltatáson.
  • Winsock névszolgáltatási funkciók korlátozottak – A WSALookupService{Begin/Next/End} szolgáltatás implementálva van, de csak azokat a kéréseket oldja fel, amelyek lefordíthatók gethostbyname, gethostbyaddr, getservbyport, vagy getservbyname függvényeket használó kérésekre.
Web Proxy kliensek
Egy Web proxy kliens olyan kliens, amely HTTP 1.1 Web böngészővel rendelkezik, és amely az ISA szerver Web proxy szolgáltatásának használatára van beállítva. Valamennyi Web böngésző ezen a saját felületen keresztül konfigurált.
Amikor a tűzfal-kliens szoftvert telepítjük, a tűzfal-kliens asztalának Web böngésző beállításai automatikusan konfigurálódnak. Utólag is újrakonfigurálhatjuk a böngésző klienseket. Az alábbi böngészőtulajdonságokat állíthatjuk be:
  • Az ISA szervert és port-ot, amelyen a kliens kapcsolódni tud.
  • Automatikus beállítás felismerést.
  • Azokat a gépeket, amelyeket a tűzfal-kliens Web böngészője közvetlenül elérhet.
  • Elkerülő útvonalat, ha az ISA szerver elérhetetlen.
Amikor a tűzfal-kliens szoftvert telepítjük, a böngésző a kliens gépen ezekkel a beállításokkal rendelkezik.
Ha a tűzfal-kliens nem települ, akkor a böngésző-beállításokat kézzel kell konfigurálni.

ISA szerver cikksorozat