ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Некоторые из слабых сторон клиента SecureNAT являются его сильными сторонами: ¦ не требуется установка или настройка клиентского программного обеспечения. Основная цель конфигурации клиента SecureNAT состоит в том, чтобы разрешить операционным системам сторонних производителей получать доступ к более широкому кругу протоколов помимо тех, которые поддерживаются конфигурацией клиента Web-прокси. Клиент брандмауэра работает только с операционными системами Windows. Таким образом, если бы не существовало конфигурации клиента SecureNAT, то для операционных систем сторонних производителей были бы доступны только те протоколы, которые поддерживаются конфигурацией клиента Web-прокси (HTTP/HTTPS и FTP). Клиент SecureNAT также имеет достоинства и при использовании с операционными системами Microsoft. Программное обеспечение клиента брандмауэра перехватывает исходящие TCP- и UDP-соединения, установленные приложениями Winsock, и перенаправляет их на брандмауэр ISA Server 2004. Сетевые протоколы типа ICMP (Internet Control Message Protocol, протокол управляющих сообщений) и GRE (Generic Routing Encapsulation, протокол инкапсуляции маршрута) (применяемые для VPN-протоколов РРТР) не используют UDP или TCP в качестве транспортного протокола, и поэтому они не оцениваются клиентом брандмауэра. Для поддержки исходящего доступа через брандмауэр ISA Server 2004 с помощью этих протоколов нужно настроить компьютеры клиентов как клиенты SecureNAT. В данной ситуации есть одно существенное ограничение: невозможно осуществлять пользовательский/групповой контроль доступа по отношению к хостам, выполняющим исходящие соединения по прочим протоколам (не TCP/UDP). Например, нужно разрешить исходящие VPN-подключения по протоколу РРТР для определенной группы пользователей. Это невозможно, потому что протокол РРТР требует использование протокола GRE, а это приводит к обходу программного обеспечения клиента брандмауэра и, таким образом, на брандмауэр ISA Server 2004 не передается никакая информация о пользователе. Если создать правило доступа для исходящих РРТР-соединений, предполагающее проверку подлинности пользователя, то попытка соединения будет безуспешной. Единственный способ контроля исходящих РРТР-соеди нений заключается в обращении к исходным IP-адресам.