最近 一直在忙于研究微软TMG产品遇到CDN技术后站点页面中应用CDN技术的内容就会发现显示不太稳定,同微软的一些同仁聊了很多解决方法,但是一直没有找一到一个合适的解决方法,没办法,只能研究一下看看从微软的三种客户端模式中是否有能解决现在面临的问题。
也顺便回顾了一下微软的三种客户端模式及ISA和TMG,也想借此次对三种客户端模式的一个回顾做一个整理,同时也分享给更多需要的博友。
谈到防火墙产品很多人会想到思科、华为、H3C、juniper等一些网络产商所提供的硬件防火墙产品,但其实在微软也提供了应用层防火墙,而这种应用层的防火墙也以其独特的域名集、URL集等一些更为灵活的企业策略管理、上网行为管理得到了很多企业的认可与使用,不论是ISA也好,TMG也好,实际上均采用多个通信层来保护公司网络。在数据包层,ISA&TMG 服务器实施防火墙策略,以控制网络接口上的数据并在通讯到达任何资源之前对其加以判断。只有在 Microsoft 防火墙服务处理完相关规则,从而确定是否要处理该请求之后,才能允许数据通过。
关于内部客户端概念,相信不少使用过ISA产品的朋友并不陌生,当我们步入TMG这样一个新的产品后,我们发现在TMG中依然继承ISA时期的三种类型的客户端:防火墙客户端、SecureNAT 客户端和 Web 代理客户端,如下图所示:
在企业级的部署中,我们在选择客户端时,其实选择一个更适用企业生产环境的客户端模式是非常重要的,通过下边的表格所示内容,我们来简单了解一下这三种客户端模式;
|
功能
|
SecureNAT
客户端
|
防火墙客户端
|
Web
代理客户端
|
|
部署详细信息
|
不要求任何软件部署。要将计算机配置为 SecureNAT 客户端,请设置此计算机的默认网关地址,以便将 Internet 请求路由到 ISA 服务器计算机。
|
必须在客户端计算机上安装防火墙客户端软件。
|
不要求任何软件部署。要将计算机配置为 Web 代理客户端,请将计算机上的 Web 浏览器设置配置为将 ISA 服务器计算机用作 Web 代理。对于 Web 浏览器设置的自动检测,必须在域名系统 (DNS) 或动态主机配置协议 (DHCP) 中配置 Web 代理自动发现 (WPAD)。
|
|
操作系统支持
|
可以使用任何支持 TCP/IP 的操作系统。
|
Microsoft Windows Server? 2003 或 Windows? 2000 Server 操作系以及Windows?XP、Windows?7
|
支持所有平台,但采用的是 Web 应用程序方式。可配置为使用代理服务器的 Web 浏览器可充当 Web 代理客户端。
|
|
协议支持
|
支持所有简单协议。需要多个主要或辅助连接的复杂协议要求 ISA 服务器计算机上存在应用程序筛选器。
|
支持所有的 Winsock 应用程序。
|
Web 代理客户端支持超文本传输协议 (HTTP)、HTTP over SSL (HTTPS) 和用于下载请求的文件传输协议 (FTP)。
|
|
用户级身份验证
|
ISA 服务器不能验证 SecureNAT 客户端。
|
防火墙客户端可自动将客户端凭据和请求一起发送到 ISA 服务器计算机。
|
如果 ISA 服务器请求凭据,则可以验证 Web 代理客户端。如果启用匿名访问,则不提供任何凭据。
|
|
其他注意事项
|
用于除 Windows 客户端之外的客户端。在需要支持除 TCP 或 UDP(如 ICMP 或 GRE)之外的协议时使用。如果要将客户端的原始源 IP 地址转发给已发布的服务器,则将已发布的服务器配置为 SecureNAT 客户端。
|
在需要支持辅助协议时使用。用于强访问控制。在日志中记录用户名。
|
用于基于用户的 Web 访问、Web 代理链和自动检测配置设置。由于 Web 请求直接转发给 Web 代理筛选器,因此它具有良好的性能。
|
这三种客户端类型在对内网客户端的请求方式又是如何呢?当然我们说如何处理请求方式,关键在于我们选择什么样的客户端模式,在这里我简单整理了一下:
如果采用防火墙客户端计算机模式(已安装并启用防火墙客户端软件)上,由使用 Winsock 应用程序编程接口 (API) 的应用程序生成的请求会被防火墙客户端软件拦截。如果请求的地址是本地地址,则会直接建立连接。否则,会将它发送到 ISA 服务器计算机上的防火墙服务。
如果并没有采用防火墙客户端模式或尚未配置 Web 代理客户端模式而采用的是的 SecureNAT 客户端模式,则会将来自客户端的 Web 请求(HTTP、HTTPS 或用于下载的 FTP)透明地传递到接收请求的网络的 Web 代理侦听器。这称为透明的网络地址转换 (NAT),有点类似于我们网络层面上的NAT。
而如果采用 Web 代理客户端模式,则会将客户端发起的Web 请求直接发送到 Web 代理侦听器。
其实每种客户端模式都有其各自的优势,在企业的运维管理中,我们可以更好更灵活地利用这三种客户端之一或相关结合使用为满足企业网络访问管理需求。
本文转自wangtingdong 51CTO博客,原文链接:http://blog.51cto.com/tingdongwang/685794,如需转载请自行联系原作者
