Раздел: Документация

0 ... 27 28 29 30 31 32 33 ... 131

Таблица 3-2. (окончание)

Требование к сетиРекомендуемый Причина выбора

тип клиента

Требуется создать правила доступа на уровне пользователей для управления доступом в Интернет не по протоколам т-kb

Клиент брандмауэра

Публикация серверов внутренней сети

Сеть поддерживает мобильных пользователей и компьютеры

Клиентам требуется доступ (помимо W;b-6pay-зера) по протоколам с дополнительными

подключениями, например FTP

Необходима поддержка подключения вызова по

требованию для клиентских сеансов, отличных от

SecureNAT

Клиент

брандмауэра

Клиент

брандмауэра

Клиент брандмауэра

При использовании клиентов брандмауэра

для сеансов связи через Интернет без \veb правила политики доступа настраиваются на уровне пользователей. Возможность настройки для клиентовправил, определяе-

мых на уровне пользователей, предусмотрена как для клиентов SecureNAT, так и для клиентов брандмауэра. Однако эти правила действуют только при условии, что ISA-сервер настроен на прием от \*feb-приложений информации дляв каждом сеансе

Внутренние серверы иногда публикуются как

клиенты SecureNAT. При этом не нужно

создавать никаких файлов конфигурации — достаточно лишь создать правило публикации сервера на ISA-сервере

Клиенты SecureNAT не поддерживают автоматическое обнаружение ISA-сервера. При использовании конфигурации с автоматическим обнаружением все клиенты Web-прокси и брандмауэра находят соответствующий самостоятельно

Клиенты SecureNAT не поддерживают

протоколы с дополнительными подключениями

Хотя сеансы \Ж>ирокси и поддерживают автоматическое подключение сервера к клиентам по телефонной линии, только клиенты брандмауэра поддерживают вызов по требованию для сеансов, отличных от

Настройка клиентов SecureNAT

При использовании клиентов SecureNAT устанавливать специальное программное обеспечение на клиентский компьютер не требуется. Тем не менее вам придется проанализировать топологию своей сети и убедиться, что ISA-сервер имеет возможность обслуживать запросы клиентов.

В частности, требуется корректно настроить основной шлюз клиента SecureNAT. При конфигурировании основного шлюза надо определить, какой из перечисленных ниже типов сетевой топологии применяется.

•Простая сеть. В этом случае между клиентом SecureNAT и ISA-сервером отсутствуют маршрутизаторы;

•Сложная сеть. Подразумевает наличие одного или более маршрутизаторов, связывающих подсети клиента SecureNAT и ISA-сервера.

---

Настройка клиентовв простой сети

Настройка клиентов SecureNAT в простой сети заключается в том, что в качестве основного шлюза IP-адреса определяется внутренний интерфейс ISA-сервера. Эта операция выполняется вручную путем модификации параметров протокола I CP/11 на клиентском компьютере [для чего используется компонент Network (Сеть) панели Control Panel (Панели управления)! или автоматически средствами службы DHCP.

Настройка клиентов SecureNAT в сложной сети

При настройке клиентов SecureNAT в сложной сети достаточно в качестве основного шлюза клиента назначить адрес последнего маршрутизатора в цепочке между ISA-сервером и клиентом SecureNAT. Другими словами, основной шлюз клиента — это адрес маршрутизатора в его подсети. Это стандартная конфигурация, и обычно ее менять не требуется, то есть не нужны никакие изменения параметров клиентов SecureNAT.

Оптимальным считается вариант, когда основной шлюз маршрутизатора направляет трафик на ISA-сервер по кратчайшему пути. Кроме того, не следует настраивать маршрутизатор на запрет пересылки пакетов, направленных за пределы корпоративной сети, так как решение о порядке маршрутизации пакетов принимает сам ISA-сервер.

Дополнительная настройка SecureNAT в сетях с доступом по телефонной линии

Как в простых, так и в сложных сетях, подключенных к Интернету по телефонной линии, требуется дополнительно настраивать клиенты SecureNAT. Для организации доступа в Интернет помимо Web-браузера клиентского компьютера, на котором не установлен клиент брандмауэра, требуется выполнить следуютоперации. Во-первых, следует создать в консоли ISA Management элемент политики подключения по телефонной линии. Во-

вторых, нужно настроить свойства узла Network Configuration в оснастке ISA Management

на использование этого подключения для маршрутизации к вышестоящим серверам. Более подробно об этом рассказано в занятии 2 этой главы.

Разрешение имен для клиентов SecureNAT

Клиенты SecureNAT запрашивают объекты как из локальной сети, так и из Интернета, поэтому им нужен доступ к серверам DNS, которые разрешают имена внешних и внутренних компьютеров.

Только доступ в Интернет

Если клиентам SecureNAT требуется доступ только в Интернет и не нужно разрешать DNS-имена внутри локальной сети, параметры TCP/IP таких клиентов следует настраивать на использование внешних DNS-серверов, расположенных в Интернете. Дополнительно придется создать правило протокола,клиентам выполнять

Доступ в Интернет и в локальную сеть

Если клиенты SecureNAT запрашивают данные как из Интернета, так и с серверов локальной сети, то им нужен DNS-сервер в локальной сети. Следует настроить этот сервер на разрешение и внутренних адресов, и адресов Интернета. Альтернативный вариант -настроить параметры TCP/IP клиента внешнего DNS-сервера в качестве основного, а внутреннего — в качестве дополнительного DNS-сервера.

---

Клиенты брандмауэра

Клиент брандмауэра - компьютер, на котором установлено и работает ПО клиента брандмауэра. На клиенте брандмауэра работают Winsock-приложения, использующие службу брандмауэра ISA-сервера. Когда Winsock-приложение на клиенте брандмауэра запрашивает объект с определенного компьютера, клиент проверяет свою копию таблицы LAT (Local Address Table), пытаясь найти в ней запись о запрашиваемом компьютере. Если такой записи в I..AT нет, запрос пересылается службе брандмауэра ISA-сервера.Служба брандмауэра обрабатывает запрос и при наличии необходимых разрешений переправляет его адресату. Клиенты брандмауэра могут отправлять на ISA-сервер информацию для аутентификации пользователя Windows.

После установки клиента брандмауэра имеется возможность выбрать сервер, к которому подключается клиент, указав имя другого сервера на ISA-сервере, к которому он подключен в настоящий момент, mi изменив имя в параметрах клиента брандмауэра. Изменения вступают в силу после обновления конфигурации брандмауэра. Для централизованного управления конфигурацией клиента брандмауэра используется узел Client Configuration консоли ISA Management, в котором содержатся средства управления как самими клиентами брандмауэра, так и параметрами Web-браузера клиентов брандмауэра.

В примере на рис. 3-1 ISA-сервер содержит общую папку mspclnt с программой установки клиента брандмауэра. Клиент брандмауэра устанавливается на компьютеры под управлением Microsoft Windows Me, Windows 95, Windows 98, Windows NT 4.0 и Windows 2000. Также обеспечивается поддержка 16-разрядных приложений Winsock, но только в среде Windows 2000 и Windows NT 4.0. После установки и запуска программного обеспечения клиента брандмауэра компьютер работает как клиент брандмауэра.

Р b«rvcrl
File [:.* Warn	Fawfte* Tools ijefc
	У ; 5**eS i-FoW»r5 jjHtfwy
-к Y. Server 1	V mspctt J ACTLOGttt SVSrtX Printers
5dectan*enita vr* descrtpbco-	Щ SrfvUad Tails

Рис. 3-1. Общая папка mspclnt содержит файлы для установки клиента брандмау jua - Установка клиев та брандмауэра

1. Выполните в командной строке на клиентском компьютере команду: <nyrb>\Setup

где <>ty»>i-> — путь к общедоступному каталогу с установочными файлами клиента брандмауэра ISA-сервера.

0 ... 27 28 29 30 31 32 33 ... 131