Раздел: Документация

0 ... 30 31 32 33 34 35 36 ... 131

Теперь на компьютере Ssrver2должен стать доступным просмотр Web-узлов при помощи Internet Explorer.

Практикум 2. Установка клиента брандмауэра

Сейчас вы установите клиент брандмауэра. Если на компьютере его нет, служба брандмауэра применяет правила политики доступа только к IP-адресам внутренних клиентов. После установки клиента брандмауэра становится возможным применять правила политики доступа не только к IP-адресам, но ик отдельным пользователям и компьютерам. Клиенты брандмауэра повышают производительность за счет поддержки локальных копий L ЛТ и LDT (Local Domain Table), встроенной поддержки протоколов с дополнительными подключениями, возможности доподнитедьной настройки параметров Winsock-приложений средствами глобального файла конфигурации клиента Mspclnt ц и автоматического обнаружения ISA-сервера.

Задание. Установка клиента брандмауэра в локальной сети

Это задание выполняется на сервере vtvci „

1.Откройте папку My Network Places (Мое сетевое окружение) и найдите в сети ресурс \\serverl\mspclnt\.

2.Дважды шелкните значок Setup в папке \\serveiT\mspclfit\. Откроется окно мастера установки клиента брандмауэра.

3.Щелкните кнопку Next.

4.В окне Destination Folder (папка для установки) подтвердите предлагаемую по умолчанию папку для установки клиента и щелкните Next.

5.В окне Ready to Install the Program щелкните Install. Мастер выполнит установку клиента брандмауэра и откроет окно Install Wizard Completed.

6.Щелкните кнопку Finish.

Резюме

При организации безопасного доступа локальных клиентов в Интернет сначала на ISA-сервере настраивают правила протоколов, разрешающие пересылку трафика определенных протоколов через брандмауэр ISA-сернера на клиентские компьютеры. Затем следует определить вариант конфигурирования внутренних клиентов. При настройке их в качестве клиентовникакое ПО дополнительно устанавливать не надо, а при настройке в качестве клиентов брандмауэра нужно установить на компьютерах клиент брандмауэра.

Перед установкой или настройкой программного обеспечения на клиентских компьютерах оцените потребности организации. Клиент брандмауэра устанавливается, если требуется обеспечить поддержку мобильных пользователей, протоколов с дополнительными

подключениями, применения политики доступа к аутентифицированным пользователям и вызовов по требованию в сеансах, не использующих Web. Клиенты SecureNAT применяются, когда ISA-сервер применяется для безопасной публикации Web-серверов, а также в случае установки ISA-сервера в режиме кэширования или если нежелательно устанавливать дополнительные ПО на клиентских компьютерах.

И клиенты брандмауэра, и клиенты SecureNAT работают в качестве клиентов Web-прокси. Служба Web-прокси (w3proxy) — это служба Windows 2000, обрабатывающая запросы приложений, совместимых с прокси. Для настройки клиентов Web-прокси не требуется дополнительное программное обеспечение, единственное, что нужно, — настроить Web-браузеры клиентских компьютеров на использование ISA-сервера в качестве прокси-сервера.

---

Занятие ?. Настройка подключений

ISA-сервера по телефонной линии

ISA-сервер позволяет воспользоваться цреимущеа памп брандмауэра и сервера кэширования даже при отсутствии подключения к Интернету по выделенной линии; ISA-сервер часто применяют для защиты и совместного использования всеми компьютерами локальной сети единственного подключении по телефонной линии.

Изучив материал этого занятия, вы сможете:

создать наподключения по телефонной линии;

✓обеспечить полноценные безопасные подключения клиентов ISA-сервера к Интернету через подключение ISA-сервера по телефонной линии;

Vнастроить на ISA-сервере вызов по требованию.

Продолжительность занятия - около 30 минут.

Настройка подключений по телефонной линии

Для настройки записей подключений по телефонной линии нужно создать в консоли ISA Management элементы политики подключений по телефонной линии. Впрочем, для совместного использования подключения ISA-сервера клиентами брандмауэра и Web-прокси эта процедура необязательна. Тем не менее, если предполагается совместное использование подключения по телефонной линии с ужбами, не относящимися к Web, например РОРЗ или NNTP, на компьютерах, не являющихся клиентами брандмауэра, необходимо настроить подключения по телефоннойи маршрутизацию запросов, выполняемых по этим подключениям. Таким образом, подключения по телефонной линиидоступ в Интернет клиентам Secure NAT. не являющимся клиентами Web-прокси.

Кроме обеспечения доступа в Интернет, создание подключений по телефонной линии позволяет определять для клиентов SecureNAT правила и политики на уровне отдельных подключений, а также указывать порядок связи ISA-сервера по ним.

И, наконец, только подключения по телефонной линии обеспечивают вызов по требованию клиентов Web-прокси и брандмауэра.

Каждая запись подключения по телефонной линии содержит следующую информацию:

•имя записи, настроенной на сервере удаленного доступа на всех серверах массива;

•имя пользователя и пароль для подключения кингернет-провайдеру.

Подключения по телефонной линии создаются лишь на основе подключений, ранее

настроенных на всех ISA-серверах масс ива. Подробнее о создании сетевых подключений — в справочной системе Windows 2000.

Вы вправе создать несколько мнисей подключения по телефонной линии, но активной может быть только одна измассива. Она используется при автоматическом подключении ISA-сервера к Интернету при обслуживании запроса клиента.

► Создание записи подключения по телефонной линии

1.Откройте консоль ISA Management.

2.В дереве консоли последовательно раскройте узлы Servers And Arrays, МуАгтау и Policy Elements.

3.Щелкните правой кнопкой элемент Dial-up Entries и в контекстном меню последовательно выберите New и Dial-Up Entry. Откроется диалоговое окно New Dial-up Entry.

---

4.В текстовом поле Name введите имя записи подключения по телефонной линии.

5.(Не обязательно.) В поле Description введите описание подключения по телефонной линии.

6.В поле Use the following network dial-up connection (использовать следующее сетевое подключение по телефонной линии) введите или выберите имя существующего сетевого подключения Windows 2000 по телефонной линии, затем щелкните кнопку Set (настроить учетную запись).

7.В окне Set Account в поле User введите имя пользователя учетной записи для подключения к интернет-провайдеру.

8.В текстовых полях Password и Confirm password введите пароль учетной записи.

9.Щелкните ОК. Произойдет возврат в диалоговое окно New Dial-up Entry.

10.Снова щелкните ОК.

Перед конфигурированием записей подключений по телефонной линии следует учесть следующее:

•указываемое в записи сетевое подключение по телефонной линии необходимо заранее настроить на каждом из входящих в массив серверов;

•создаваемое подключение по телефонной линии становится активным и будет использоваться правилами маршрутизации при построении цепочек брандмауэров;

•указываемые имя и пароль должны совпадать с именем и паролем, которые вводятся при настроенном вручную подключении.

При наличии нескольких записей подключения по телефонной линии активная запись выбирается следующим образом.

1.Откройте оснастку ISA Management.

2.В меню View отметьте команду Advanced.

3.В дереве консоли раскройте узел Policy Elements.

4.Щелкните элемент Dial-up Entries (записи подключений по телефонной линии).

5.В области сведений щелкните правой кнопкой запись, которую нужно сделать активной, и выберите в контекстном меню Set as Active Entry (сделать активной записью).

Необходимо учесть следующие особенности активной записи:

•активную запись невозможно удалить;

•при выборе активной записи отключаются все существующие подключения по телефонной линии, используемые ISA-сервером для подключения.

Вызов по требованию

ISA-сервер можно настроить для автоматического подключения к Интернету по телефонной линии при выполнении простой маршрутизации и активного кэширования. • Маршрутизация — если клиент запрашивает объект и маршрут к объекту требует установки подключения по телефонной линии, а политика доступа разрешает выполнение запроса, ISA-сервер подключается автоматически, используя активную запись.

•Активное кэширование — при включенном активном кэшировании ISA-сервер сам дозванивается в Интернет и получает частоклиентами информацию.

Кроме того, ISA-сервер подключается к Интернету в тех случаях, когда не в состоянии точно определить, разрешает ли политика доступа выполнение клиентского запроса. кая ситуация возникает, когда, к примеру в правилах политики доступа указано доменное имя, а клиент обратился по IP-адресу. Если правило маршрутизации требует для выполнения запроса подключиться к Интернету, ISA-сервер устанавливает связь по телефонной линии и разрешает имя запрашиваемого компьютера, после чего проверяет, разрешено ли выполнение запроса правилами политики доступа.

0 ... 30 31 32 33 34 35 36 ... 131