AZ Solution

Hiệu năng hoạt động của ISA server không chỉ phụ thuộc vào các cấu hình của riêng nó mà còn chịu ảnh hưởng từ cách cấu hình của các máy khác trong hệ thống mạng - các ISA client.  Một ISA client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server. Nhìn chung, các ISA  client thường được đặt trong một Internal hay perimeter network –DMZ và kết nối ra Internet qua ISA Server.

Theo quan niệm thông thường, client là máy tính gửi yêu cầu cung cấp dữ liệu đến server, server thu thập dữ liệu và gửi đáp ứng cho client. Quan hệ  client - server phụ thuộc vào phần mềm được cài đặt trên client để giúp nó giao tiếp được với một dịch vụ nhất định tại server.

Tuy nhiên, khái niệm ISA client - ISA server lại hoàn toàn khác. ISA client không nhất thiết phải được cài đặt một ứng dụng cụ thể nào và ứng dụng trên ISA client cũng không nhất thiết phải kết nối trực tiếp đến ISA server. Nói ngắn gọn và cụ thể hơn, bất cứ máy tính nào kết nối đến tài nguyên mà nó cần dùng bằng cách thông qua ISA đều được xem là ISA client.

Chọn lựa loại ISA client thích hợp nhất đôi khi lại là một bài toán không dễ. Với mong muốn hỗ trợ phần nào cho các vị quản trị viên, bài viết này trình bày một vài vấn đề đôi khi ít được chú ý trong quá trình triển khai SecureNAT client và Web proxy client .

1. SecureNAT client:

- Cài đặt: Không cần cài đặt ứng dụng nào cả. Thông số duy nhất cần quan tâm là Default Gateway. Phải khai báo Default Gateway sao cho mọi thông tin hướng ra internet phải được định tuyến đến ISA server. Tuỳ theo cấu trúc mạng mà thiết lập các định tuyến (route) cần thiết trên các thiết bị định tuyến (router) nội bộ.
- Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP
- Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA server kích hoạt bộ lọc ứng dụng (Application filter) tương ứng
- Không thể chứng thực người dùng

Một số ưu điểm:
- Không cần cấu hình gì cả vì thực ra cấu hình đã hoàn chỉnh khi xây dựng cơ sở hạ tầng mạng.
- Triển khai trên các client không dùng hệ điều hành Windows.
- Hỗ trợ các ứng dụng "non-TCP/UDP" như ICMP (Client cần dùng lệnh ping hoặc tracert...) hoặc PPTP (Client cần dùng PPTP để kết nối đến 01 VPN server ngoài internet - loại trừ trường hợp client dùng L2TP / IPSec NAT Traversal)

Một số hạn chế::
SecureNAT client không có ứng dụng thực hiện việc gửi username và password đến firewall service trên ISA server, vì thế ISA không thể chứng thực user đối với thông tin phát sinh từ SecureNAt client và tất nhiên cũng không thể ghi nhận (log) các thông tin truy cập liên quan đến user.

Client không thể dùng các protocol đa kết nối (multi connection) nếu ISA không có loại bộ lọc ứng dụng thích hợp.
.
SecureNAT client không thể triển khai các trò chơi trên internet (internet game) và ứng dụng đa truyền thông (multi media: voice, video...) vì hầu hết các ứng dụng này đều dùng đa kết nối. Chỉ có 01 ngoại lệ duy nhất là nếu các ứng dụng này được thiết kế để hoạt động với proxy SOCKS 4 thì bộ lọc SOCKS 4 tích hợp trên ISA server sẽ có khả năng hỗ trợ.

Client chỉ có thể dùng các protocol mà ISA server có thể nhận diện thông qua bảng mô tả trên ISA server. Khi 01 access rule cho phép SecureNAT client được truy cập bằng "All outbound traffic" thì không có nghĩa là mọi protocol. "All outbound traffic" đối với SecureNAT client chỉ là các loại protocol được định nghĩa trên ISA server mà thôi.

Vì vậy, chỉ nên dùng SecureNAT client khi:
- Publish server ra internet
- Không thể triển khai cài đặt Firewall client hoặc cần các ứng dụng ngoài khả năng đáp ứng của Web proxy.
- Client cần dùng protocol ICMP hoặc PPTP.


2. Web proxy client:

- Cài đặt: Không cần cài đặt ứng dụng nào cả. Chỉ cần khai báo tên (hoặc địa chỉ IP) của ISA server và port 8080 trong phần cấu hình proxy server của trình duyêt web.
- Hệ điều hành: Bất cứ hệ điều hành nào có thể dùng trình duyệt web
- Loại protocol: Chì có thể dùng HTTP, HTTPS, FTP và FTPS
- Có thể chứng thực người dùng

Web proxy client là các máy tính có trình duyệt web được cấu hình dùng ISA server làm web proxy server. Tuy nhiên, không chỉ trình duyệt web mà một số ứng dụng khác cũng có thể được cấu hình dùng ISA server là web proxy server, ví dụ các chương trình instant messenger (chat) hoặc trình duyệt mail.

Khi client truy cập web, yêu cầu được chuyển đến firewall service trên ISA. Firewall service lại chuyển yêu cầu đến bộ lọc web proxy. Yêu cầu từ Web proxy client được chuyển trực tiếp đến port 8080 - port của bộ lọc web proxy - nhờ đó gia tăng tốc độ truy cập web một cách rõ rệt.

Quản trị viên có thể giới hạn số lượng kết nối đồng thời của các Web proxy client. Cấu hình này rất hữu dụng khi băng thông truy cập bị hạn chế hoặc khi quản trị viên muốn duy trì một tỷ lệ nhất định lượng user truy cập web tại một thời điểm: Mở Properties của network chứa Web proxy client (thường là network Internal) > tab Web Proxy > Advanced. > chọn Maximum và nhập số kết nối đồng thời tối đa. Trên hộp thoại này, còn có thể thiết lập các giới hạn thời gian kết nối.

3. Firewall client

- Cài đặt: Phải cài Firewall client software

- Hệ điều hành: windows
- Loại protocol: Tất cả các ứng dụng winsock, các port

- Có thể chứng thực người dùng

Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server firewall.

BẢNG SO SÁNH