|
В книгах корпорации Microsoft нет подробного описания принципов работы программного обеспечения клиента брандмауэра. Известно лишь, что клиент брандмауэра ISA Server 2004, в отличие от предыдущих версий, использует только TCP 1745 для контрольного канала клиента брандмауэра. По этому контрольному каналу клиент брандмауэра осуществляет взаимодействие со службой брандмауэра ISA Server 2004 для выполнения разрешения имен и команд сетевых приложений (например, команд, используемых FTP и Telnet). Служба брандмауэра использует информацию, полученную по контрольному каналу, и устанавливает соединение между клиентом брандмауэра и сервером-адресатом в Интернете. ПРИМЕЧАНИЕ Стоит отметить, что клиент брандмауэра только устанавливает соединение по контрольному каналу при соединении с ресурсами, расположенными не во внутренней сети. В ISA Server 2004 внутренняя с е т ь определялась таблицей локальных адресов (Local Adress Table, LAT). Брандмауэр ISA Server 2004 не использует LAT, потому что обладает расширенными возможностями по работе с несколькими сетями. Тем не менее клиент брандмауэра должен обладать неким другим механизмом для определения того, какие соединения нужно направлять на службу брандмауэра на брандмауэре ISA Server 2004, а какие следует направлять напрямую к хосту назначения, с которым хочет установить соединение клиент брандмауэра. Клиент брандмауэра решает эту проблему с помощью адресов, определенных во внутренней сети. Внутренняя сеть для конкретного клиента брандмауэра состоит из всех адресов, доступ к которым можно получить с сетевого интерфейса, соединенного с сетью клиента брандмауэра. Особый случай представляет собой брандмауэр ISA Server 2004 с тремя сетевыми интерфейсами, в котором есть несколько внутренних сетей, связанных с различными сетевыми адаптерами. В общем все хосты, расположенные за одним сетевым адаптером (независимо от идентификатора сети) рассматриваются как часть одной внутренней сети, а все взаимодействия между хостами в одной внутренней сети должны обходить клиента брандмауэра. Адреса для внутренней сети определяются в процессе установки программного обеспечения брандмауэра ISA Server 2004, но по желанию можно создать другие внутренние сети. Наиболее важным улучшением клиента брандмауэра ISA Server 2004 по сравнению с предыдущими версиями клиента брандмауэра (Winsock Proxy Client 2.и клиент брандмауэра ISA Server 2000) является возможность использовать зашифрованный канал между клиентом брандмауэра и брандмауэром ISA Server 2004. Не стоит забывать о том, что клиент брандмауэра отправляет верительные данные пользователя на брандмауэр ISA Server 2004 в прозрачном режиме. Клиент брандмауэра ISA Server 2004 зашифровывает канал так, что верительные данные пользователя не могут быть перехвачены теми, кто прослушивает сеть с помощью сетевого анализатора (например, Microsoft Network Monitor или Ethereal). Кроме того, имеется возможность настроить брандмауэр ISA Server 2004 так, чтобы разрешался как зашифрованный, так и незашифрованный обмен данными по контрольному каналу. Подробное практическое исследование взаимодействия приложения клиента брандмауэра и службы брандмауэра в ISA Server 2000, представлено в статье Стефана Поусила (Stefaan Pouseele) «Understanding the Firewall Client Control Channel» (Контрольный канал клиента брандмауэра) на сайте:
www.isaserver.org/articles/ Understanding_the_Firewall_Client_Control_Channel.html |
Изучаем ISA Server | icuwa, web сервер, proxy сервер - Все права защищены!