Глобальные параметры настройки клиента межсетевого экрана

В следующей таблице представлена сводка параметров, которые указываются на консоли управления Forefront TMG и применяются ко всем клиентам межсетевого экрана.

Разрешить незашифрованные подключения клиентов межсетевого экрана

Разрешает незашифрованные подключения для поддержки версий клиента межсетевого экрана, предшествующих клиенту межсетевого экрана для ISA Server 2004, или для разрешения подключений клиентов межсетевого экрана, установленных на компьютерах с Windows NT 4.0, Windows Me или Windows 98.

При выборе этого параметра незашифрованный трафик от прошедших проверку подлинности пользователей блокироваться не будет. Обратите внимание: проверка подлинности пользователей выполняется только в том случае, если этого требуют правила политики межсетевого экрана. Инструкции по настройке см. в разделе Разрешение незашифрованной передачи данных для клиентов устаревшего межсетевого экрана.

Параметры приложений состоят из пар , которые определяют действия ПО клиента межсетевого экрана в отношении конкретного приложения. Инструкции по настройке см. в разделе Настройка приложения клиентов межсетевого экрана.

Параметры сети клиента межсетевого экрана

В следующей таблице представлена сводка параметров, которые указываются для сети Forefront TMG и применяются ко всем клиентам межсетевого экрана, находящимся в этой сети.

Включить поддержку клиентов межсетевого экрана для данной сети

Разрешает конкретной сети прослушивать запросы от клиентов межсетевого экрана на порте 1745. Инструкции по настройке см. в разделе Настройка сети для клиентов межсетевого экрана.

Для конкретной сети определяет полное доменное имя компьютера Forefront TMG для клиентов межсетевого экрана. Необходимо проверить, что для разрешения этого имени имеется доступная запись DNS. Если DNS-сервер недоступен, потребуется IP-адрес.

Использовать сервер веб-прокси

Указывает, что, если включена автоматическая настройка веб-обозревателя, клиенты межсетевого экрана в сети должны использовать указанный сервер в качестве веб-прокси.

Автоматическое определение параметров

Указывает, что веб-обозреватель в клиенте межсетевого экрана будет автоматически обнаруживать параметры веб-прокси.

Использовать сценарий автоматической настройки

Определяет, что веб-обозревателю на компьютерах с клиентом межсетевого экрана, расположенных в сети, следует получать параметры из файла конфигурации. В заданных по умолчанию файлах настройки Forefront TMG хранятся данные о прокси-сервере, который следует использовать для запроса URL-адресов и получения параметров, определенных на вкладках Веб-обозреватель и Домены. Инструкции по настройке см. в разделе Настройка сети для клиентов межсетевого экрана.

Файлы конфигурации

Параметры клиента межсетевого экрана расположены в следующих файлах на клиентском компьютере.

В файле Common.ini указаны параметры, применимые ко всем приложениям. Ниже приведен пример типичного файла Common.ini:

В этом файле находятся параметры настройки клиента межсетевого экрана. Ниже приведен пример типичного файла Management.ini:

Этот файл можно создать на клиентском компьютере с параметрами конфигурации для определенного приложения Winsock. Ниже приведен пример файла Application.ini для приложения Fw_Client_app.exe:

Расположение файлов конфигурации на клиентском компьютере зависит от операционной системы. Например, на компьютерах под управлением Windows XP копии файлов находятся в двух папках:

\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004

На компьютерах с Windows Vista копии файлов находятся в следующих папках:

\Users\All Users\Microsoft\Firewall Client 2004

Настройка параметров клиента межсетевого экрана.

Параметры настройки, указанные на консоли управления Forefront TMG, доставляются в файлы конфигурации клиента следующим образом:

во время установки клиента межсетевого экрана;

Кроме того, можно вручную изменить файлы конфигурации на клиентском компьютере. После внесения изменений параметры применяются в следующем порядке.

Преимущественное значение имеют файлы .ini, расположенные в папке определенного пользователя.

Изменение параметров приложения

Параметры приложения можно изменить с помощью консоли управления Forefront TMG, чтобы применить их ко всем клиентам межсетевого экрана или на определенном клиентском компьютере. На клиентских компьютерах можно либо изменить файл Common.ini, чтобы применить параметр ко всеми приложениям, либо создать файлы Application.ini, чтобы применить параметры настройки для определенного приложения. В следующей таблице представлены записи, которые можно использовать при настройке параметров приложений.

Указывает имя компьютера Forefront TMG, к которому должен подключиться клиент межсетевого экрана (может быть установлен только на компьютере с клиентом межсетевого экрана).

Возможные значения: 0 или 1. Если задано значение «1», приложение клиента межсетевого экрана будет отключено для определенного клиентского приложения, за исключением случаев, когда конфигурация клиента межсетевого экрана явно исключает процесс запуска трафика.

Возможные значения: 0 или 1. Если задано значение «1», приложение клиента межсетевого экрана будет отключено для определенного клиентского приложения. Применяется к клиенту межсетевого экрана для Forefront TMG. Если данному параметру задано значение, он переопределяет значение параметра Disable. Например, для svchost параметр DisableEx включен по умолчанию.

Возможные значения: 0 или 1. Если задано значение «1», приложение клиента межсетевого экрана автоматически находит компьютер Forefront TMG, к которому оно должно подключиться (может быть установлен только на компьютере с клиентом межсетевого экрана).

Возможные значения: «L» или «R». По умолчанию разделенные точками имена доменов перенаправляются на компьютер Forefront TMG для разрешения имен, а разрешение всех остальных имен выполняется на локальном компьютере. Если задано значение «R», все имена перенаправляются на компьютер Forefront TMG для разрешения. Если задано значение «L», разрешение всех имен происходит на локальном компьютере.

Определяет список или диапазон TCP-портов, доступных локально

Определяет список или диапазон UDP-портов, доступных локально

Определяет список или диапазон исходящих TCP-портов, которые не подключаются через Forefront TMG (запросы на подключение, которые не отправляются на Forefront TMG). Эта запись используется для определения портов, с которых клиенты не должны устанавливать соединение с Forefront TMG. Этот вариант можно использовать при защите межсетевого экрана от атак во внутренней сети, которые распространяются при доступе к фиксированному порту в случайно выбранном расположении.

Определяет список или диапазон исходящих UDP-портов, доступных локально

Определяет список или диапазон TCP-портов, доступных удаленно

Определяет список или диапазон UDP-портов, доступных удаленно

Определяет один или несколько IP-адресов, которые используются при привязке к соответствующему порту. Используется в случае нескольких серверов, когда нужно привязать разные порты к разным компьютерам Forefront TMG. Запись имеет следующий синтаксис:

ProxyBindIp=[port]:[IP address], [port]:[IP address]

Номера портов применяются и к TCP-, и к UDP-портам.

Определяет список или диапазон TCP-портов для всех портов, которые должны работать с несколькими подключениями.

Возможные значения: 0 или 1. Если задано значение «1», то запись может быть использована для сохранения определенного состояния Forefront TMG, когда служба остановлена и перезапущена или сервер не отвечает. Клиент периодически посылает сообщения для проверки активности на сервер в течение активного сеанса. Если сервер не отвечает, клиент старается сохранить связь и прослушивание сокетов до тех пор, пока сервер не перезапустится.

Используется при запуске службы Windows или серверного приложения, например приложения межсетевого экрана. Если задано значение «1», требуется использовать альтернативные учетные данные для проверки подлинности пользователя, сохраненные локально на компьютере с запущенной службой. Учетные данные пользователя сохраняются на клиентском компьютере с помощью приложения FwcCreds.exe, поставляемого вместе с ПО клиента межсетевого экрана. Учетные данные пользователя должны относиться к учетной записи пользователя, которая может быть проверена Forefront TMG либо локально на Forefront TMG, либо в домене, являющимся доверенным для Forefront TMG. Учетная запись пользователя обычно задается без ограничения срока действия. В противном случае учетные данные пользователя придется обновлять каждый раз по истечении времени действия учетной записи (Может быть установлен только на компьютере с клиентом межсетевого экрана.)

Возможные значения: «L» (по умолчанию), «P» или «E». Используется для указания способа разрешения имени локального (клиентского) компьютера при вызове API функции gethostbyname.

Имя компьютера LocalHost разрешается вызовом функции gethostbyname() Winsock API с помощью строки LocalHost, пустой строки или значения NULL указателя строки. Приложения Winsock вызывают gethostbyname(LocalHost) для обнаружения своего локального IP-адреса и отправляют его на Интернет-сервер.

Если задано значение «L», gethostbyname() возвращает IP-адрес локального компьютера. Если задано значение «P», gethostbyname() возвращает IP-адрес компьютера Forefront TMG. Если задано значение «E», gethostbyname() возвращает только внешний IP-адрес компьютера Forefront TMG (эти IP-адреса отсутствуют в таблице локальных адресов).

Возможные значения: Wsp.udp или Wsp.tcp (по умолчанию). Определяет тип используемого канала управления.

Возможные значения: 0 или 1 (по умолчанию). Если параметру EnableRouteMode задано значение «1» и между компьютером клиента межсетевого экрана и запрошенным местом назначения установлено отношение маршрутизации, в качестве адреса источника используется IP-адрес клиента межсетевого экрана. Если задано значение «0», используется IP-адрес компьютера Forefront TMG.

Этот параметр не применяется к более старым версиям клиента межсетевого экрана.