Основы клиента Firewall
Клиент Firewall – это один из трех поддерживаемых ISA
Server типов клиентов. Вот эти типы:
- Клиент Webproxy
- Клиент Secure NAT
- Клиент Firewall
Описание и функции клиентов Webproxy и Secure NAT выходит
за пределы темы статьи. Если вас интересует информация об этих
типах клиентов, почитайте статьи онлайновой помощи на
ISAserver.org.
ПО клиента Firewall – опциональная клиентская часть,
которую можно устанавливать на любую из поддерживаемых
операционных систем Windows, чтобы обеспечить повышенную
безопасность и доступность. Клиент Firewall обеспечивает
следующие улучшения для клиентов Windows:
- Позволяет сильную пользовательскую/основанную на группах
аутентификацию для всех приложений Winsock, использующих
протоколы TCP и UDP.
- Позволяет записывать информацию о пользователях и о
приложениях в файлах журнала брандмауэра.
- Обеспечивает улучшенную поддержку сетевым приложениям,
включая сложные протоколы, требующие вторичных соединений.
- Обеспечивает «прокси» DNS поддержку для машин клиента
брандмауэра.
- Позволяет вам публиковать серверы, требующие сложных
протоколов без помощи фильтра приложений.
- Сетевая маршрутная инфраструктура прозрачна для клиента
брандмауэра.
Давайте начнем
Во-первых, нам нужно загрузить актуальный клиент Firewall с
Web сайта Microsoft ISA Server. Последний клиент Firewall
поддерживает Microsoft Windows Vista и более старшие системы,
например, Windows XP и Windows Server 2000.
Существует несколько версий ПО клиента Firewall:
- Последняя версия (v. 3442.654 на момент написания)
доступна для загрузки через Web.
- Версия, входящая в комплект ISA Server 2006
(v.3441.633).
- Версия, входящая в комплект ISA Server 2004.
- Версия, входящая в комплект ISA Server 2000.
Разделяемый каталог дистрибутива ПО
В качестве следующего шага мы должны создать разделение
дистрибутива ПО для инсталляционных файлов клиента Firewall.
Создайте разделяемый каталог файлов Windows с соответствующими
правами, так чтобы для каждого был открыт доступ. Скопируйте
загруженный клиент в этот каталог или оставьте его в каталоге
загрузки и скопируйте только извлеченные файлы.
Рисунок 1: Создание разделяемого каталога файлов
дистрибутива с соответствующими разрешениями
В качестве следующего шага извлеките файлы архива
клиентского дистрибутива в разделяемый каталог дистрибутива.
Вы можете сделать это, открыв исполняемый файл клиента
Firewall из командной строки с параметрами /C и /T.
Рисунок 2: Извлечение инсталляционных файлов
клиента Firewall
После того, как все файлы будут извлечены из архива, вы
увидите файл под названием MS_FWC.MSI. Это первичный
инсталляционный файл, который используется для процесса
установки ПО. Архив также содержит MSI установщик для платформ
Intel и AMD.
Рисунок 3: Извлеченные установочные файлы
Создание архива дистрибутива ПО
Далее, создайте необходимые организационные единицы
(organizational units -OU) для процесса установки ПО и
переместите клиентский компьютер, на который ставится клиент
Firewall, в эту OU и создайте групповую политику.
Создайте путь архива по умолчанию. Это разделяемая папка,
куда вы поместили архивы дистрибутива ПО.
Новые архивы должны быть приписаны к компьютеру, так что
архив ПО будет установлен во время загрузки компьютера, но
перед тем, как будет отображена страница приветствия.
Рисунок 4: Общие настройки установки ПО
Инсталляционные опции пользовательского интерфейса должны
быть установлены на Minimum.
После создания локации инсталляционного архива наступает
время для создания пакета установки ПО. Щелкните правой
кнопкой мыши настройку инсталляции ПО и создайте новый пакет.
Выберите файл MS_FWC.MSI и немного подождите; Microsoft
Firewall Client 4.0 готов к установке клиента.
Рисунок 5: диалог установки ПО
На стороне клиента
На стороне клиента дождитесь перезагрузки ПК, чтобы
измененные и новые настройки групповой политики вступили в
силу, или выполните команду GPUPDATE /FORCE из командной
строки, чтобы вручную включить эти политики.
После перезагрузки клиента вы должны увидеть процесс
установки клиента Firewall. Если этого не происходит,
перезагрузитесь еще раз и посмотрите, что будет. Если
установка не начинается, запустите классический процесс
решения проблем установки групповой политики ПО.
Рисунок 6: Диалог установки ПО
Существуют дополнительные задачи, например автонастройка
клиента Firewall и автоматическое скрытие значка клиента
Firewall от клиентов, но это выходит за рамки данной статьи и
обсуждается в других статьях.
Несопровождаемая инсталляция с использованием
ms_fwc.msi
Если вы используете метод инсталляции с использованием
файла Microsoft Windows Installer (.msi), обратите внимание на
следующее:
- ПО клиента Firewall, поставляемое вместе с ISA Server
2006 ил ISA Server 2004 уже включает в себя файл .msi:
ms_fwc.msi.
- Для развертывания последней версии клиента Firewall
извлеките ms_fwc.msi из Web загрузки, введя следующую
команду в командной строке: ISACLIENT-KB929556-ENU.EXE
/c /t:c:\SoftwareDistributionShare
Если вы хотите распределить клиент Firewall напрямую через
файл MSI через скрипт запуска или что-либо в этом роде,
выполните:
msiexec /i ms_fwc.msi SERVER_NAME_OR_IP=Name of ISA Server ENABLE_AUTO_DETECT=0
REFRESH_WEB_PROXY=0 /qb /L*v c:\fwcinstl.log
Parameters
Параметры используются в командах следующим образом:
- Path = путь к инсталляционному файлу клиента
брандмауэра. Значение должно быть указано.
- SERVER_NAME_OR_IP=ISAServerName = имя или IP адрес
компьютера сервера ISA Server, к которому должен
подключаться компьютер клиента.
- ENABLE_AUTO_DETECT = Указание значения, равного 1,
означающего, что компьютер клиента Firewall должен
автоматически определять компьютер сервера ISA Server, с
которым он должен соединиться. Значение 0 указывает, что
автоматическое определение не включается на данном клиенте.
- REFRESH_WEB_PROXY = Указание значения, равного 1,
означающего, что конфигурация клиента Firewall должна
обновляться согласно настройкам конфигурации Web proxy,
указанным в ISA Server Management. Значение 0 указывает, что
клиент не обновляется.
Несопровождаемая установка с использованием setup.exe
Вы можете запустить установку с использованием
setup.exe:
- Чтобы установить ПО клиента Firewall, поставленного
вместе с ISA Server 2006 или ISA Server 2004 с помощью
Setup.exe, введите следующую команду в командной строке:
setup.exe /w /V"SERVER_NAME_OR_IP=Name of ISA Server
ENABLE_AUTO_DETECT=0 REFRESH_WEB_PROXY=0 /qb /L*v
c:\fwc_inst.log"
- Чтобы установить последнюю версию клиента Firewall,
извлеките Setup.exe из Web загрузки, а затем введите
следующую команду: setup.exe /Q /P "SERVER_NAME_OR_IP=
isaserver ENABLE_AUTO_DETECT=0 REFRESH_WEB_PROXY=0"
Завершение
В этой статье я попытался показать вам, как автоматически
развертывать клиент Microsoft ISA Server 2006 Firewall. Есть
возможность развернуть его вместе с программами распределения
ПО, например, Microsoft SMS (Systems Management Server) или
его наследником SCCM (System Center Configuration Manager). В
меньших или менее сложных IT средах также возможно развернуть
ПО, используя распределение ПО через групповые политики.
Развертывание клиента ISA Server 2006 Firewall просто,
поскольку загружаемый пакет содержит MSI файл, который
используется в процессе установки ПО. В этой статье речь не
идет о более сложных аспектах конфигурации клиента
Firewall.
Дополнительные ссылки