ISA Server 客户端类型
注:此文引用自Microsoft Technet,对于理解客户类型有很好的帮助,但是建议你结合[译]微软ISA Server 2004的官方文档中对于身份认证、规则和访问策略的论述一文来学习,这样可以对客户类型和身份验证有更深刻的认识。Microsoft ISA Server 2000 Feature Pack 1,版本 1
Microsoft® Internet Security and Acceleration (ISA)
Server 支持三种客户端类型:
- “防火墙客户”是安装并启用了“防火墙客户端”软件的客户端计算机。
- “安全网络地址转换 (SecureNAT) 客户”是没有安装“防火墙客户端”和配置Web代理的客户端计算机。
- “Web 代理客户”是任何被配置为使用 ISA Server 的客户端 Web 应用程序。
有关更多信息,请参见本文后面的“防火墙客户端”、“SecureNAT 客户端”和“Web 代理客户端”。
下表是不同 ISA Server 客户端之间的对比。
功能 | SecureNAT 客户端 | 防火墙客户端 | Web 代理客户端 |
---|---|---|---|
要求安装 | 要求更改某些网络配置 | 是 | 不,要求 Web 浏览器配置 |
操作系统支持 | 任何支持传输控制协议/Internet 协议 (TCP/IP) 的操作系统 | 仅 Windows 平台 | 所有平台,但采用 Web 应用程序的形式 |
协议支持 | 要求有用于多种连接协议的应用程序筛选器 | 所有 Winsock 应用程序 | 超文本传输协议 (HTTP)、安全 HTTP (HTTPS)、文件传输协议 (FTP) 和 Gopher |
用户级身份验证 | 要求更改某些网络配置 | 是 | 是 |
服务器应用程序 | 不要求配置或安装 | 要求配置文件 | 不适用 |
防火墙客户端计算机和 SecureNAT 客户端计算机都可以是 Web 代理客户端。如果计算机上的
Web 应用程序被显式配置为使用 ISA Server,则任何 Web 请求(HTTP、FTP、HTTPS 和 Gopher)均直接发送到 Web
代理服务。所有其他请求首先由防火墙服务处理。
ISA Server 客户端和域名系统
当选择在内部网络上使用哪种 ISA 客户端时,首先要考虑的是域名系统 (DNS)
名称解析。下表概括了每种 ISA 客户端是如何执行 DNS 名称解析的。
ISA Server 客户端 | 名称解析方法 |
---|---|
SecureNAT 客户端 | 取决于环境。需要为客户端提供内部 DNS 服务器,或配置 ISA Server 将 DNS 查询直接从客户端传递到外部 DNS 服务器。 |
Web 代理客户端 | ISA Server Web 代理服务可以提供简单的 DNS 功能。这基于 ISA Server 本身的 DNS 配置。 |
防火墙客户端 | ISA Server 防火墙服务可以提供简单的 DNS 功能。这基于 ISA Server 本身的 DNS 配置。 |
防火墙客户端
防火墙客户端是安装并启用了“防火墙客户端”软件的计算机。防火器客户端运行 Winsock 应用程序,后者使用 ISA Server 的防火墙服务。当防火墙客户端使用 Winsock 应用程序从某一计算机请求一个对象时,该客户端检查其本地地址表 (LAT) 副本,核实指定的计算机是否在 LAT 中。如果该计算机不在 LAT 中,则该请求发送到 ISA Server 防火墙服务。防火墙服务处理该请求,将其转发到允许的适当目标。“防火墙客户端”软件可以将 Windows 用户信息(这是身份验证所需要的)发送到 ISA
Server 计算机。
ISA Server 在安装客户端时,在客户端计算机上安装以下组件:
- Mspclnt.ini,一个共享客户端配置文件和本地域表
- Msplat.txt,一个共享客户端本地地址表
- “防火墙客户端”应用程序
您可以在安装后更改所有这些组件的默认设置。仅当客户端配置被刷新后,新的配置设置才生效。
有关详细信息,请参见 ISA Server 文档中的“防火墙客户端组件”。
设置防火墙客户端并不配置个别的 Winsock 应用程序。相反,它与其他应用程序使用同样的Winsock 动态链接库 (.dll)。然后,防火墙客户端截获应用程序调用并决定是否将请求传送到 ISA Server 计算机。有关详细信息,请参见 ISA Server 文档中的“安装‘防火墙客户端’软件”。
可以在运行 Windows® ME、Windows95、Windows98、WindowsNT4.0 或 Windows2000 的客户端计算机上安装“防火墙客户端”软件。另外,支持 16 位 Winsock 应用程序,但仅限于 Windows2000 和 WindowsNT4.0。
在防火墙模式或集成模式中支持防火墙客户端,在缓存模式中不支持。有关模式的更多信息,请参见 ISA Server 文档中的“ISA Server 模式”。
SecureNAT 客户端
没有安装“防火墙客户端”和配置Web代理的客户端计算机是安全网络地址转换 (SecureNAT)
客户端。SecureNAT 客户端可以从 ISA Server 的许多功能中获益,其中包括大多数访问控制功能,但高级协议支持和用户级身份验证除外。
虽然 SecureNAT
客户端不要求使用专门的软件,但建议按如下方式配置默认网关:使所有发往 Internet 的通信都由 ISA Server(不论是直接地还是间接地)通过路由器发送出去。您可以使用 DHCP 服务或手动配置客户端。
由于来自 SecureNAT 客户端的请求基本上是由防火墙服务处理的,所以 SecureNAT 客户端可以从以下安全功能中获益:
- 应用程序筛选器可以修改协议流以支持处理复杂协议。在 Windows2000 NAT 中,此机制是通过使用 NAT 编辑器实现的。NAT 编辑器在 Windows2000 中被编写为内核模式 NAT 编辑器驱动程序。
- 防火墙服务可以将所有超文本传输协议 (HTTP) 请求传递给 Web 代理服务,Web 代理服务处理缓存并确保适当地应用站点和内容规则。
SecureNAT 和 Windows2000 NAT
ISA Server 通过对 SecureNAT 客户端执行 ISA Server 策略来扩展 Windows2000 网络地址转换 (NAT) 功能。也就