防火墙客户端是如何工作的：关于ISA防火墙的应用层状态识别功能.docxVIP

防火墙客户端是如何工作的：关于ISA防火墙的应用层状态识别功能 译自Thomas W Shinder，“Why the ISA Firewall Client Rocks: Lessons on the ISA Stateful Application Layer Inspection Firewall” ISA防火墙和目前广泛使用的其他防火墙有许多不同，但是最根本的区别是ISA防火墙结合了状态过滤（包过滤）和应用层状态识别，再加上ISA防火墙提供了VPN服务和Web代理/缓存服务，其他防火墙和ISA防火墙相比显得那么的低能。 ISA防火墙的另外一个关键组成就是它可以对通过它的任何连接进行身份验证。和传统的状态过滤防火墙相比，ISA防火墙可以对任何通过它的TCP或UDP连接进行透明的身份验证。所以，你不仅可以在外部（Internet）访问你的内部网络时加以保护，你也可以在内部用户访问外部网络时进行基于用户/用户组的控制。 传统的防火墙管理员一般只是理解“开放端口”，而通过ISA防火墙提供的用户/用户组控制，ISA防火墙管理员可以监控到访问外部网络的用户和应用程序。这样，在你需要对网络活动进行控制和分析报告时，你可以很容易的做到这一点。 在你规划对访问外部网络进行控制时，一个关键的地方是ISA防火墙的防火墙客户端应用程序。在这篇文章中，我们探讨防火墙客户端（FWC）的一些特性，在你了解它之后，你会为为什么不早点安装FWC而感到后悔。 理解ISA防火墙客户端 防火墙客户端是安装ISA防火墙时的一个可选组件，它可以安装在任何支持的Windows操作系统上，提供增强的安全性和可访问性。防火墙客户端为Windows客户提供以下的增强： 允许对使用TCP/UDP的Winsock应用程序实现用户/用户组身份验证； 允许在ISA防火墙日志文件中记录用户和应用程序信息； 为网络应用程序提供增强的支持， 包含需要辅助连接的复杂协议； 为防火墙客户提供代理DNS支持； 允许你发布需要复杂协议的服务而不需要应用程序过滤器的支持（虽然在新ISA防火墙中不是很有效的支持）； 让网络路由结构对防火墙客户透明； 　 允许对使用TCP/UDP的Winsock应用程序实现基于用户/用户组身份验证 防火墙客户端软件透明的发送用户信息到ISA防火墙，允许你基于用户/用户组来建立访问规则。这样，当你需要对于不同用户设置不同的访问权限时，访问控制是非常容易实现的。 注意：只允许用户访问部分协议、站点和内容是基于最小特权原则来的。最小特权原则对进站和出站的访问都有效。对于进站访问，服务器和Web发布规则允许外部主机在ISA防火墙的高度控制和监控下访问被保护的网络资源，对于出站访问也一样。然而，在传统的防火墙环境中，进站访问可能被严格的控制，但是出站的访问却没有进行严格的限制，内部网络的用户可以访问他们想访问的内容。出站访问控制的弱点给企业的网络带来了安全风险，病毒也可以利用没有严格限制的出站访问来自由的出入。 防火墙客户端自动发送用户信息给ISA防火墙。对于限制了用户/用户组访问外部的情况，用户必须先登录到Windows，然后通过Windows活动目录、NT域或者ISA防火墙上的镜象用户来通过ISA防火墙的身份验证。例如，如果你有活动目录域，用户可以登录到域，然后ISA防火墙作为域的成员，此时，ISA防火墙就可以通过域用户/域用户组来控制用户的访问。 如果你没有Windows域，你同样可以通过FWC来控制用户/用户组的访问。在这样环境中，你只需要在ISA防火墙上的本地安全管理器（SAM）中对登录到他们各自工作站上的用户账户做一个镜象账户。例如，一个小型企业的网络可能不会部署活动目录，用户登录到本地计算机上，但是他们也想使用基于用户/用户组的访问控制。你可以在ISA防火墙上建立同样的用户名和密码，这样ISA防火墙就可以认证登录到本地计算机的用户/用户组信息。 如果安装了活动目录客户端软件，Windows 9x客户可以配置为转发域用户信息。你可以从/default.aspx?kbid=288358/default.aspx?kbid=288358获得此软件及相关信息。 　 允许在ISA防火墙日志文件中记录用户和应用程序信息 使用防火墙客户端的另一个好处是当用户/用户组信息发送到ISA防火墙时，用户名会包含在ISA防火墙的日志文件中。这允许你从日志文件中轻松的获得用户访问外部网络的精确的活动信息。 防火墙客户端并不只是通过允许你基于用户/用户组来进行访问控制来提供高度的安全性，同时也提供高度的责任感。用户应该知道他们的账户会被记录下来，同时，他们也应该对他们账户对应的网络访问活动行为负责。 为网络应用程序提供增强的支持， 包含需要辅助连接的复杂协议 和SNAT客户需