ISA&TMG三種用戶端模式介紹（一）

       最近 一直在忙于研究微軟TMG産品遇到CDN技術後站點頁面中應用CDN技術的内容就會發現顯示不太穩定，同微軟的一些同仁聊了很多解決方法，但是一直沒有找一到一個合适的解決方法，沒辦法，隻能研究一下看看從微軟的三種用戶端模式中是否有能解決現在面臨的問題。

         也順便回顧了一下微軟的三種用戶端模式及ISA和TMG，也想借此次對三種用戶端模式的一個回顧做一個整理，同時也分享給更多需要的博友。

         談到防火牆産品很多人會想到思科、華為、H3C、juniper等一些網絡産商所提供的硬體防火牆産品,但其實在微軟也提供了應用層防火牆，而這種應用層的防火牆也以其獨特的域名集、URL集等一些更為靈活的企業政策管理、上網行為管理得到了很多企業的認可與使用，不論是ISA也好，TMG也好，實際上均采用多個通信層來保護公司網絡。在資料包層，ISA&TMG 伺服器實施防火牆政策，以控制網絡接口上的資料并在通訊到達任何資源之前對其加以判斷。隻有在 Microsoft 防火牆服務處理完相關規則，進而确定是否要處理該請求之後，才能允許資料通過。

          關于内部用戶端概念，相信不少使用過ISA産品的朋友并不陌生，當我們步入TMG這樣一個新的産品後，我們發現在TMG中依然繼承ISA時期的三種類型的用戶端：防火牆用戶端、SecureNAT 用戶端和 Web 代理用戶端，如下圖所示：

<a href="http://tingdongwang.blog.51cto.com/attachment/201110/11/1056852_1318350049bvxV.jpg"></a>

         在企業級的部署中，我們在選擇用戶端時，其實選擇一個更适用企業生産環境的用戶端模式是非常重要的，通過下邊的表格所示内容，我們來簡單了解一下這三種用戶端模式；

<b>功能</b><b></b>

<b>SecureNAT </b><b>用戶端</b><b></b>

<b>防火牆用戶端</b><b></b>

<b>Web </b><b>代理用戶端</b><b></b>

部署詳細資訊

不要求任何軟體部署。要将計算機配置為 SecureNAT 用戶端，請設定此計算機的預設網關位址，以便将 Internet 請求路由到 ISA 伺服器計算機。

必須在用戶端計算機上安裝防火牆用戶端軟體。

不要求任何軟體部署。要将計算機配置為 Web 代理用戶端，請将計算機上的 Web 浏覽器設定配置為将 ISA 伺服器計算機用作 Web 代理。對于 Web 浏覽器設定的自動檢測，必須在域名系統 (DNS) 或動态主機配置協定 (DHCP) 中配置 Web 代理自動發現 (WPAD)。

作業系統支援

可以使用任何支援 TCP/IP 的作業系統。

Microsoft Windows Server? 2003 或 Windows? 2000 Server 操作系以及Windows?XP、Windows?7

支援所有平台，但采用的是 Web 應用程式方式。可配置為使用代理伺服器的 Web 浏覽器可充當 Web 代理用戶端。

協定支援

支援所有簡單協定。需要多個主要或輔助連接配接的複雜協定要求 ISA 伺服器計算機上存在應用程式篩選器。

支援所有的 Winsock 應用程式。

Web 代理用戶端支援超文本傳輸協定 (HTTP)、HTTP over SSL (HTTPS) 和用于下載下傳請求的檔案傳輸協定 (FTP)。

使用者級身份驗證

ISA 伺服器不能驗證 SecureNAT 用戶端。

防火牆用戶端可自動将用戶端憑據和請求一起發送到 ISA 伺服器計算機。

如果 ISA 伺服器請求憑據，則可以驗證 Web 代理用戶端。如果啟用匿名通路，則不提供任何憑據。

其他注意事項

用于除 Windows 用戶端之外的用戶端。在需要支援除 TCP 或 UDP（如 ICMP 或 GRE）之外的協定時使用。如果要将用戶端的原始源 IP 位址轉發給已釋出的伺服器，則将已釋出的伺服器配置為 SecureNAT 用戶端。

在需要支援輔助協定時使用。用于強通路控制。在日志中記錄使用者名。

用于基于使用者的 Web 通路、Web 代理鍊和自動檢測配置設定。由于 Web 請求直接轉發給 Web 代理篩選器，是以它具有良好的性能。

        這三種用戶端類型在對内網用戶端的請求方式又是如何呢？當然我們說如何處理請求方式，關鍵在于我們選擇什麼樣的用戶端模式，在這裡我簡單整理了一下：

        如果采用防火牆用戶端計算機模式（已安裝并啟用防火牆用戶端軟體）上，由使用 Winsock 應用程式程式設計接口 (API) 的應用程式生成的請求會被防火牆用戶端軟體攔截。如果請求的位址是本地位址，則會直接建立連接配接。否則，會将它發送到 ISA 伺服器計算機上的防火牆服務。

      如果并沒有采用防火牆用戶端模式或尚未配置 Web 代理用戶端模式而采用的是的 SecureNAT 用戶端模式，則會将來自用戶端的 Web 請求（HTTP、HTTPS 或用于下載下傳的 FTP）透明地傳遞到接收請求的網絡的 Web 代理偵聽器。這稱為透明的網絡位址轉換 (NAT)，有點類似于我們網絡層面上的NAT。

       而如果采用 Web 代理用戶端模式，則會将用戶端發起的Web 請求直接發送到 Web 代理偵聽器。

       其實每種用戶端模式都有其各自的優勢，在企業的運維管理中，我們可以更好更靈活地利用這三種用戶端之一或相關結合使用為滿足企業網絡通路管理需求。

本文轉自wangtingdong 51CTO部落格，原文連結：http://blog.51cto.com/tingdongwang/685794，如需轉載請自行聯系原作者