ISA&TMG三种客户端模式介绍(二)之防火墙客户端

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云防火墙,500元 1000GB
简介:
  在企业运维管理中,防火墙客户端是已安装并启用了防火墙客户端软件的计算机,位于受 ISA 服务器保护的网络中。安装防火墙客户端的方法可以分别在每台客户端计算机上安装防火墙客户端,或使用 Windows 软件安装管理单元集中管理防火墙客户端软件的分发。
   防火墙客户端使用公用的 Winsock 提供程序。设置防火墙客户端时,并没有配置各个 Winsock 应用程序, 而是使防火墙客户端软件中的动态链接库 (FwcWsp.dll) 成为所有 Winsock 应用程序透明使用的 Winsock 分层服务提供程序。防火墙客户端分层服务提供程序可拦截来自客户端应用程序的 Winsock 函数调用,并在目标为本地目标时将请求路由到原始基础服务提供程序,或目标为远程目标时透明地路由到 TMG/ISA 服务器计算机上的防火墙服务中。
防火墙客户端版本支持防火墙客户端和 ISA 服务器之间通过更为安全的方式进行通信。通过 TCP 控制通道将防火墙客户端凭据和每个请求一起透明发送,并将这些凭据加密,使其不会受到拦截。
     防火墙客户端如何处理 IP 地址请求?
     1、当客户端计算机上的 Winsock 应用程序试图连接到某个 IP 地址时,防火墙客户端会检查本地域表以确定 IP 地址是在内部网络中,还是在外部网络中。如果在本地域表中找到该域名,则会由客户端来完成名称解析。否则,客户端会将请求传递给外部 DNS 服务器,请求 ISA 服务器代表它对域名进行解析。
     2、当 ISA 服务器代表防火墙客户端解析客户端请求时,会按照与接收防火墙客户端请求的网络相关联的网络适配器上配置的 DNS 设置完成名称解析。会将解析的 IP 地址返回给防火墙客户端计算机,然后该计算机向目标发送请求。ISA 服务器可根据为网络适配器配置的 DNS 生存时间 (TTL) 缓存为防火墙客户端所做的 DNS 查询的结果。
    3、名称解析返回目标服务器的 IP 地址后,防火墙客户端会检查本地地址表和 Locallat.txt,以确定该地址是否为本地地址。对于内部地址,客户端会直接进行连接。否则,会将请求发送到 ISA 服务器计算机上的防火墙服务。  
我们来看看防火墙客户端的名称解析方式:
   如果安装了防火墙客户端的计算机对每一个应用程序都有设置,这些设置指定 ISA 服务器是否代表客户端进行名称解析。默认情况下,按如下方式为在防火墙客户端计算机上运行的 Winsock 应用程序请求进行名称解析:
将用点分隔的十进制符号或 Internet 域名重定向到 ISA 服务器计算机进行名称解析。
  非限定名称在本地计算机上进行解析。
  也可以通过将 NameResolution 配置设置修改为下列值来更改此默认行为来让名称解析交由远端TMG/ISA服务器处理:
  NameResolution=L。此设置用于指定应在本地计算机上解析应用程序请求。
  NameResolution=R 此设置用于指定应由 ISA 服务器计算机解析应用程序请求。
  但是如果想要确定应用程序的名称解析发生的地点,则修改此设置很有用。
  当指定域和计算机进行直接访问时,防火墙客户端计算机将试图对名称进行解析,而不通过 ISA 服务器。客户端计算机将需要在 TCP/IP 参数中指定 DNS 服务器,从而可以正确地解析名称。特别是这些客户端计算机必须能将已发布资源的名称解析为内部 IP 地址。
  如果应用程序的 NameResolution 设置指定为 L 或 R,则此设置会改写任何直接访问设置。例如,如果将 NameResolution 设置指定为 FWC_Application.exe = R,则该应用程序的 FQDN 解析请求始终由 ISA 服务器处理,而不管 ISA 服务器防火墙客户端配置文件中的项目是否将请求目标指定为本地目标。
对于身份,防火墙客户端又如何进行身份验证呢?
  防火墙客户端会将用户信息随每个请求一起发送给 ISA 服务器计算机。这样您就可以创建适用于特定组和用户的访问规则。用户必须使用 Active Directory? 目录服务用户帐户进行登录,如果使用工作组方案,则使用 ISA 服务器计算机上镜像的用户帐户进行登录。将用户名发送到 ISA 服务器计算机时,会在 ISA 服务器防火墙日志中记录该用户名。这使跟踪防火墙客户端通讯变得简单。
  以上就是一些简单地关于防火墙客户端的介绍,分享一下,嘿嘿~


本文转自wangtingdong 51CTO博客,原文链接:http://blog.51cto.com/tingdongwang/686269,如需转载请自行联系原作者
相关文章
|
4月前
|
监控 安全 网络安全
|
3月前
|
安全 网络安全 数据处理
防火墙设置难倒你?这两种组网模式轻松解决网络安全难题!
【8月更文挑战第23天】在网络安全日益重要的今天,防火墙作为关键防护设备扮演着重要角色。本文重点分析两种核心组网模式:三层路由网关模式与二层透明网桥模式。前者通过IP层处理实现内外网隔离及丰富的策略配置,增强安全性;后者以MAC地址转发,部署简便,不影响现有网络结构,适合服务不可中断的情况。通过企业升级安全防护的实际案例,展示了不同模式的应用场景及优势,并提供了三层路由网关模式的配置示例。正确选择和配置防火墙组网模式对于提高网络安全性和保证业务连续性至关重要。
71 0
|
3月前
|
监控 安全 Serverless
SAE 防火墙的震撼之举:默认拦截公网一切流量,开启网络安全的无敌模式!
【8月更文挑战第7天】在数字化时代,网络安全至关重要。SAE(Serverless Application Engine,无服务器应用引擎)的防火墙功能默认阻止所有公网流量,为应用与数据提供坚实保护。这像坚固城门,将潜在威胁拒之门外,减少恶意攻击风险。如同在混沌中建立秩序,划定网络安全边界。但依赖默认设置不足,需根据业务需求配置规则,如开放特定端口或IP范围。还需持续监控防火墙效果,通过分析访问日志等手段及时调整优化,确保最佳防护效果。
63 0
|
安全 网络安全
简述防火墙安全区域划分和组网模式及小实验案例
简述防火墙安全区域划分和组网模式及小实验案例
214 1
简述防火墙安全区域划分和组网模式及小实验案例
|
监控 负载均衡 网络安全
【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve
【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve
606 0
【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve
|
Kubernetes 网络安全 容器
查看k8s集群使用的防火墙模式
查看k8s集群使用的防火墙模式
218 0