Эта статья обсуждает детали конфигурации ISA для поддержки каждого типа клиента; SecureNAT, Web Proxy и Firewall Client.

Клиенты ISA - Часть 3 : The Firewall Client

Определения:

Auto-detection - Это - особенность ISA (WPAD), которая позволяет компьютерам LAT и Internet Explorer (v 5.0 или выше) конфигурировать себя, чтобы работать должным образом с сервером ISA.

DNS - Службы именования доменов (Domain Name Services); сервисы, постоянно находящиеся на компьютере, которые отвечают на запрос по разрешению имени. Запрос зависит от многих параметров настройки сервера.

FQDN - Точно Определенное Имя Домена (Fully Qualified Domain Name); это - имя компьютера, которое указывает его логическую ассоциацию на основании структуры домена, связанную с именем. Например, http://www.microsoft.com/ указывает на то, что главный компьютер по имени “www”, "живет" в домене “microsoft” под доменом верхнего уровня “com”. Эти имена всегда отделяются точками “.” и также они известны как “пунктирное десятичное число”.

FWC - Клиент Firewall; используется в этой статье, для указания программного обеспечения FWC непосредственно на LAT host.

GUID - Глобально Уникальный Идентификатор (Globally Unique IDentifier); это - очень большое число, которое гарантированно будет уникальным. ISA использует его, чтобы идентифицировать различные способы его конфигурации.

LAT host - Это - компьютер, который работает в подсети, которая определена в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.

Имя NetBIOS - см. “unqualified name”

Record. Это элемент в DNS-зоне, который представляет единственный элемент, такой как хост, почтовый сервер или сервер в другой зоне.

Secondary Protocol. Любой протокол, используемый приложением, который отличается от протокола, предназначенного для создания начального (первичного) соединения через ISA считается вторичным (Secondary) протоколом.

TTL. Время существования (Time-to-live) - показывает как долго (в секундах), запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.

Unqualified name. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.

VIP - Виртуальный IP (Virtual IP) это допустимый IP-адрес, который назначен либо на NLB-кластер, либо на аппаратное устройство совместной загрузки.

WINS. Службы Интернет-имен Windows (Windows Internet Name Services); это служба разрешения имен, похожая на DNS, за исключением того, что она работает строго с NetBIOS-именами.

WPAD. Автообнаружение прокси Windows (Windows Proxy Auto Detection); функция ISA, которая поддерживается Internet Explorer 5.0 или выше. Когда настроено правильно, позволяет IE конфигурироваться динамически.

Режимы работы ISA:

Cache. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall, для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper.

Firewall. Это сочетание служб Firewall и Web Proxy, без службы Web Cache. Все основные функции ISA поддерживаются в этом режиме, а так же поддерживаются все типы клиентов. Но для работы в этом режиме необходимо как минимум две сетевых карты, одна внешняя, другая внутренняя (LAT).

Integrated. Это самый полный, самый функциональный режим. Web Proxy, Firewall и Web Caching - все вместе они самым наилучшим способом "пережевывают" пакеты. Отличие режима Firewall от этого заключается только в службе Web Caching.

Клиенты ISA:

SecureNAT. Это LAT-хост, который по умолчанию имеет роутинг на ISA через сеть, т.к. он является только средством связи с Интернет. В простой сети (без маршрутизаторов) у этого клиента шлюзом по умолчанию является первичный внутренний IP адрес ISA. В сложных (маршрутизированных) сетях это дело усложняется.

Firewall. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.

Web Proxy. Это простое обычное приложение (IE или другое Web-приложение) на LAT-хосте, которое использует прокси-запросы и порт для доступа в Интернет.

Сравнение функций

Client	Settings	ISA Op Mode	Non-MS host	ISA Auto-Detect	Avail Proto	Sec Proto	Client Auth	ISA as DNS
WEB	Настройки прокси приложения или браузера = IP(или имя) и порт приемника исходящих web-запросов ISA	All	1	2	4	N	Y	Y
SecureNAT	Шлюз по умолчанию = Первичный внутренний IP адрес ISA	FW, Integ	Y	N	5	N	N	N
Firewall	Клиент Firewall ISA установленный на LAT-хосте	FW, Integ	N	3	6	Y	Y	Y

Примечания:

1. Любое приложение, работающее на LAT-хосте, может быть клиентом Web Proxy если:

  a) приложение (браузер, клиент FTP, и т.д.) должно быть CERN-совместимо, т.е. подразумевает характерный метод формирования прокси-запроса.

  b) оно предоставляет возможность назначить имя или IP адрес И порт для использования прокси-запросов.

2. Автораспознавание ISA для клиентов Web Proxy ограничено Internet Explorer версии 5.0 или выше и очень чувствительно к результатам разрешения внутренних имен.

3. Автораспознавание ISA для клиентов Firewall очень чувствительно к настройкам, особенно к настройкам разрешения имен.

4. Ограничения только на загрузку по HTTP, HTTPS и FTP.

5. Может использовать какой-нибудь простой протокол (без вторичных соединений), соответствующий Protocol и Site and Content rules, определенных в ISA.

6. Может использовать все незапрещенные в ISA протоколы.

 

Клиент Firewall:

Этот клиент наиболее универсальный, потому что имеет уникальную способность работать "в зависимости от приложения" и определять, как будет действовать и с какой информацией приложение должно работать. К тому же, это - единственный клиент, который может использовать вторичные протоколы. Вторичные протоколы делают FWC необходимым для приложений, таких как передача сообщений; потоковых носителей, FTP-протокола и т.д. Для большинства людей это также самый труднопонимаемый клиент, потому что он зависит от "конфигурации приложений".

• Операционные режимы ISA сервера, которые поддерживают этого клиента: Firewall, Integrated. Обратите внимание, что режим Cache не указан, т.к. режим Cache не устанавливает Firewall-сервис, который необходим для работы Firewall и SecureNAT клиентов.
  
• Разрешение Имен (Name Resolution) - Это действительно интересно, потому что нет "правильного ответа" на вопрос, как Firewall-клиенты  решают имена. Они могут использовать Firewall-сервисы ISA, функциональные возможности DNS, или они могут действовать подобно клиентам SecureNAT и разрешать составные имена самостоятельно. Это зависит от параметров настройки в разделе Client Applications  (обсуждено позже). В любом случае, они всегда разрешают непреобразованные (unqualified) имена, без использования сервиса Firewall ISA-сервера.
  
• Аутентификация пользователя (User Authentication) - Firewall-клиенты, подобно (Web Proxy)-клиентам, могут подтверждать подлинность на сервере ISA, предоставляя доверительные грамоты (credentials) интерактивно вошедшего пользователя, или как определено при использовании CredTool.exe.
  
• Доступность протокола (Protocol availability)- Firewall-клиенты могут использовать те протоколы, которые:
  
1. Разрешены в Access Policy, Protocol Rules
2. Не ограничены с помощью Site and Content Rules
3. Определены, как имеющие вторичные подключения

---

Файлы Конфигурации (Configuration Files) - два файла объединяются на Lat-host в \Program Files\Microsoft Firewall Client\internal_setup\, для  определения параметров настройки для программного обеспечения FWC и как оно отвечает на запросы Winsock от приложений и сервисов:
mspclnt.ini; этот файл содержит основной объем данных конфигурации и содержит экземпляры содержимого wspad.dat
msplat.ini; содержит все записи, сделанные в Network Configuration, Local Address Table, и постоянно находится на каждом клиенте, чтобы поддерживать совместимость с Proxy-2  (файл wspcfg.dat). Этот файл также содержит еще две подсети:

224.0.0.0-255.255.255.254 это - стандартная широковещательная подсеть. Так как ISA не передает широковещательный протокол, он должен быть определен как местный.

127.0.0.0-127.255.255.255 это - стандартный набор адресов “localhost”. Ни один из адресов в этом диапазоне не используется вне хоста, работающего на  TCP/IP, так что они никогда не должны видеться ISA.

Эти оба файла отсылаются ISA-серверу в течение инсталляции FWC. Когда пользователь нажимает кнопку Update Now в диалоге конфигурации FWC , происходит следующее:

1. FWC делает запрос на http:///wspad.dat, чтобы получить параметры настройки, которые сохранены как mspclnt.ini, если установлена галочка "ISA Firewall automatic discovery in Firewall Client".

2. Затем FWC создает подключение к ISA по TCP-1745 , чтобы получить данные для msplat.ini и одновременно для mspclnt.ini.

Имейте в виду, что плохое внутреннее разрешение имен может сделать этот процесс крайне медленным либо вообще вызвать ошибку.

{mospagebreak}

Настройки сервера ISA.

Здесь довольно много настроек ISA, которые применяются к FWC. Если Вы интересуетесь настройками, сделанными непосредственно на клиенте, то обратитесь к статье, посвященной этому. А чем мы интересуемся в данный момент  - как сделать настройки, которые позволяют FWC работать должным образом с ISA.

Первым делом идем в  Client Cnfiguration, Firewall Client. Здесь, есть все настройки, чтобы указать, как клиентское приложение и ISA взаимодействуют посредством программного обеспечения FWC:

Дважды щелкните на Firewall Client. Появится диалог "Properties":

Здесь можно создать или прекратить функциональность FWC ISA. Все, что введено здесь, определяет настройки по умолчанию для FWC, когда оно установлено LAT-хосте, так же как и данные, которые передаются, когда FWC запрашивает обновление от ISA.

IP-адрес (IP address): Можно ввести IP-адрес ISA-сервера, если у вас  нету ни WINS, ни DNS сервисов.

Enable ISA Firewall automatic discovery in Firewall Client - эта опция не "смотрит", разрешено ли FWC  автоматически обнаруживать ISA-сервер. Она также может меняться непосредственно на клиенте.

Теперь перейдите на закладку "Application Settings" здесь можно создать или удалить Winsock-совместимые приложения с FWC ISA-сервер.

Откройте хелп по ISA и найдите раздел Firewall client application settings. Обратите внимание на ссылку на wspcfg.ini файл; он и mspclnt.ini файл - по существу одно и то же, так как они содержат одни и те те же данные. Различие между ними в том, как они используются.

mspclnt.ini. хелп раскрывает цели и использование этого файла весьма хорошо, за исключением того, что отсутствует очень полезный раздел  [Common Configuration]  (Примемся за это позже, после того как пробежимся по индивидуальным настройкам приложения).

wspcfg.ini. этот файл нужен специально для Proxy-сервера 2 формы публикации сервера, где клиентское программное обеспечение прокси должно было быть установлено на публикуемом сервере. Этот файл также служит, для поддержки совместимости с клиентом Proxy-сервера 2.
Так как ISA обычно требует, чтобы все сервисы публикуемого сервера  постоянно находились на SecureNAT-хосте, эта методика публикации требуется, в том случае если публикуемый сервер не может быть SecureNAT клиентом.

Каждое приложение, указанное в настройках приложений FWC получает свой собственный подзаголовок как [Application_Name]. Имя приложения получено от имени, о котором оно сообщает операционной системе во время выполнения.
Например, Outlook Express идентифицирует себя для операционной системы как “msimn.exe”, и MSN Instant Messenger появляется там как “msmsgs.exe”. Эта информация является очень важной, если Вы хотите увидеть любое изменение в поведении FWC относительно вашего приложения, основанного на следующих настройках. Если Вы не знаете, как приложение идентифицирует себя в операционной системе, откройте Менеджер Задач (Task Manager) и загляните на закладку Applications. Там вы увидите, под каким именем запустилась программа.

Disable. Эта опция отключает FWC для указанного приложения, т.е. функциональность TCP/IP.

NameResolution. Как указано в хелпе, эта опция определяет какое поведение по умолчанию для разрешения имен задано для приложения FWC-клиента. Это применимо только к правильно преобразованным именам (DNS-имена или FQDN). Непреобразованные имена (NetBIOS или WINS-имена) всегда разрешаются посредством TCP/IP-стека LAT-хоста.

LocalBind(Tc/Ud)pPorts. Эта опция определяет список или диапазон портов, которые привязаны LAT-хосте на 0.0.0.0:. Это связывание можно понимать как "глобальное", т.к. оно фактически связывает с любым IP, принадлежащим LAT-хосту. При определенных обстоятельствах, оно может стать неявной операцией RemoteBind, если пакет отправлен сразу после операции связывания.

RemoteBind(Tc/Ud)pPorts. Эта опция определяет список или диапазон портов, с которыми приложение связывается на сервере ISA по адресу 0.0.0.0:. И также связывает тот же самый порт с LAT-хостом по адресу 0.0.0.0: и устанавливает линию связи между ними.

ServerBindTcpPorts. Эта опция такая же как и RemoteBind, за исключением того, что она позволяет множественные внешние соединения через ISA к клиенту. Это эффективно в той же публикации сервера, и что порт TCP на LAT-хосте такой, как будто LAT-хост является SecureNAT-клиентом. Обратите внимание, что это не  ServerBindUdpPorts. Это потому что UDP является "бессоединительным", он всего лишь поток данных. Следовательно, нет никакого резона определять тот порта как “ServerBound”.

ProxyBindIp. Эта опция довольно просто объясняется. По существу, она "резервирует" комбинацию "IP / порт" для какого-то отдельного клиента. При выборе этой опции нужно иметь в виду следующее:

• Является универсальной установкой, которая обращается к TCP и UDP портам одновременно.
• Препятствует другому приложению или сервису, использовать ту же комбинацию "IP / порт".

Это важные моменты, потому что вы не сможете увидеть в ISA MMC: Monitoring (окно Session), что эти подключения существуют. Попытка публикации сервера на той же самой комбинации "IP / порт" при данных обстоятельствах может вызвать у вас облысение. :))

KillOldSession. Ну... тут все понятно. Для любого данного сервиса или приложения от отдельного клиента позволяется только один сеанс, если установлено как “1”

Persistent. Эта опция в противоположность KillOldSession. Она позволяет "прицепляться" к остающимся активным сессиям, даже если сервис или приложение теряют связь с ISA. Это позволяет восстановить предыдущее подключение, если оно было разорвано.

ForceProxy. Эта опция принуждает какое-либо отдельное приложение использовать только один сервер ISA, даже если используются NLB или другая методика, балансирующая нагрузку. Используя эту опцию, можно гарантировать, что любой трафик "в" и "из" этого сервиса или приложения будет всегда виден каким-то определенным сервером ISA. Очевидно, если у вас только один ISA, то эта опция  бесполезна.

ForceCredentials. Эта опция позволяет сервису или приложению связываться с ISA, используя доверительные грамоты ("удостоверения личности"), определенные для того или иного приложения или сервиса, с помощью CredTool.exe. Это позволяет  определить ситуацию “должны подтвердить подлинность” для всех протоколов и обеспечить нормальную работу публикуемого сервера. Подробности насчет CredTool.exe будут изложены позже.

NameResolutionForLocalHost. Эта опция определяет как FWC сообщает об IP-адресе  LAT-хоста требующему приложению для запроса GHBN Winsock. Неоднократно, Winsock - совместимое приложение должно узнать свой собственный IP-адрес, чтобы  обеспечить информацию для другого клиента, чтобы установить связь между ними. Если приложение, выполняющееся на LAT-хосте сообщает удаленному клиенту о внутреннем IP-адресе , то ни о какой связи не может быть и речи. Если FWC сообщает внешний IP-адрес ISA, и все остальные настройки поддерживают такую связь, то эти два приложения могут "быть на связи" целый день.

ControlChannel. Эта опция определяет, использует ли клиентское приложение UDP или TCP для управления сеансом с ISA.

{mospagebreak}

Возможно при тщательном прочтении вы заметили в этом разделе справки ISA, что [Общая Конфигурация] объявлена как одно из мест куда FWC обращается за информацией. Также обратите внимание, что она не существует по умолчанию в mspclnt.ini. Когда вы вводите имя приложения и оно является неизвестным для ISA, создается новый раздел в ISA-версии mspclnt.ini как [AppName]. Это то же самое, если вы создали бы раздел [Общая Конфигурация], вводя “Общая Конфигурация” в Application Name как показано ниже:

Возможно вы заметили, что здесь введено NameResolution = L. Вы могли бы спросить "А нафига это надо ?". Oк ! Возражения принимаются. Что эта опция сделает - заставит FWC обратиться к сервису DNS-клиента на LAT-хосте для любого и всех FQDN-запросов, кроме тех, где для какого-то отдельного  приложения или сервиса определено по-другому в mspclnt.ini файле. Если у вас есть непрерывная структура преобразования имен, основанная на DNS, (широковещательные каналы NetBIOS в учет не берутся), то эта опция поможет избегать FWC разрушения DNS-кэша, как было частично упомянуто в одной из статей. Строго рекомендовано использовать эту опцию.

Теперь откройте, ISA-хелп и найдите раздел "Configuring Firewall client settings". Это раздел, в котором определены основные функциональные возможности для FWC и он представлен как первая часть mspclnt.ini.

Master Config. Тут все понятно, так что не будем тратить время впустую.

IP-адрес(а) сервера. Здесь есть два возможных варианта: Name и Addr1. Они являются взаимоисключающими. Только один из них может находиться в этом разделе. Здесь можно поддержать сбалансированность нагрузки Firewall через DNS-цикличность или NLB через весь массив, используя “глобальное имя” или “глобальный IP-адрес” для всех серверов в массиве. Хотя, фактически настройка является темой для другой статьи.

Common. Здесь много вариантов, в которых есть все, чтобы сделать как ISA и FWC-хост будут кооперироваться. Большинство этих вариантов может быть изменено в ISA MMC, но некоторые требуют редактирования "ручками" в ISA-файле mspclnt.ini.

• Port - при нормальных обстоятельствах, никогда нет резона изменять  это значение. Не играйте с этим, если у вас нет абсолютной потребности.
• Configuration Refresh Time. Также освещена в справке. Если вы делаете множество изменений за короткий период времени, вам может понадобиться добраться до этой установки.
• Re-check Inaccessible Server Time (Minutes) - тоже описано в справке. Часть настройки конфигурации перепроверки.
• Set Browsers To Use Proxy - это фактически настройка, полученная из раздела Web-браузера конфигурации клиента. и делает точно то, что написано в хелпе.
• Configuration URL - также получено из раздела Web-браузера конфигурации клиента.
• Local Domains. От данных, введенных в LDT, но может изменяться вручную. Как изложено в хелпе, эти имена разрешены локально и серверы, с которыми они входят в контакт, не используют ISA как прокси-сервер.
• WWW-Proxy- также получен из раздела Web-браузера конфигурации клиента.
• WebProxyPort. Получен из настройки порта HTTP в закладке Outbound Web Requests свойств сервера или массива.
• Set Browsers to use Auto Config. Тоже является частью раздела Web-браузера конфигурации клиента 
• AutoDetect ISA Servers. Это значение основано на FWC-настройке Enable ISA Firewall automatic discovery in Firewall Client.
• Set Browsers to use Auto Detect. Тоже часть раздела Web-браузера  конфигурации клиента, но отличается от Auto Config в том что является WPAD-частью ISA

LAT Host Settings  - Многого не охватить здесь. Можете заглянуть в эту статью: http://isaserver.org/pages/tutorials/understanding_the_isa_firewall_client.htm.

CredTool.exe. Является небольшим, но очень полезным  приложением, которое позволяет запустить сервис или приложение в контексте какого-нибудь отдельного пользователя (т.е. от имени такого-то пользователя), но только с целью взаимодействия с ISA через Firewall-клиента. Далее - как использовать это средство...

Откройте коммандную строку и перейдите в каталог \program files\microsoft firewall client. Отсюда можно запустить “credtool /?” для просмотра списка опций, что они означают.

 D:\Program Files\Microsoft Firewall  Client>credtool /?  
Bad parameters (неправильные параметры)  
Usage: (использование)  
CREDTOOL [-r|-w|-d] -n appname [-c User Domain Password]  
-r reads the credentials (читает доверительные грамоты)  
-w writes, or stores the credentials (записывает, или сохраняет доверительные  грамоты)  
-d deletes the credentials (удаляет доверительные грамоты)  
-n appname specifies the name of the application executable  
file without the extension (Имя приложения для выполнения без расширения)  
-c user domain password specifies the account credentials     
(пользовательский пароль  для домена определяет доверительные грамоты эккаунта)

Например, если нам необходимо, чтобы DNS-сервис был файервольным client-published приложением, т.к. наша сетка не позволяет использовать SecureNAT, то нужно будет установить Firewall-клиента на сервер и скопировать mspclnt.ini в каталог где находится dns.exe (по определению это %Systeroot%\system32) и переименовать этот файл в wspcfg.ini.

Затем можно было бы перейти в папку \program files\microsoft firewall client и запустить credtool.exe со следующими параметрами (замените UserName, DomainName и PassWord на реальные соответствующие значения):

D:\Program Files\Microsoft Firewall  Client>credtool -w -n dns -c UserName DomainName PassWord  
Write credentials for [dns]  
User: [UserName]  
Domain: [DomainName]  
Password: [PassWord]

Доверительные грамоты, которые потом примененяются к любому запросу обращаются к ISA только от лица этого сервиса, позволяя всем протоколам быть контролируемыми пользовательской аутентификацией.

Примечение: секция "DomainName" должна быть указана. Если у вас нет домена (NT4 или W2K AD), то вы должны указать имя той машины на которой существует пользовательская учетная запись. Т.к. ISA должна хранить все учетные записи пользователей в не_доменной среде (Workgroup), то можно использовать NetBIOS-имя ISA-сервера как "DomainName".

Для удаления или чтения доверительных грамот (credentials) назначенных какому-то определенному приложению или сервису необходимо только лишь указать операцию (-w или -r) и имя приложения (-n) без доверительных грамот. Например:

D:\Program Files\Microsoft Firewall  Client>credtool -r -n dns  
Read credentials for [dns]  
User: [UserName]  
Domain: [DomainName]  
Password: [**********]

... показывает UserName и Domain используемые DNS-сервисом. Обратите внимание, что пароль не показывается для предотвращения нелегального использования.

Автор: Jim Harrison
Перевод: Dave

---

Дата:  17-02-2004
Адрес этого документа: http://www.isaserver.ru/modules/wfsection/article.php?articleid=25