Você está na página 1de 9

Forefront Threat Management Gateway (TMG) 2010 Client Firewall Introduo

Recursos
O Cliente Firewall tem sido em torno de muitos anos, que remonta aos dias do
Microsoft Proxy Server quando foi referido como o Winsock Proxy Client. um
componente de software que fornece a capacidade de procurao qualquer aplicativo
que usa Winsock, independentemente se o aplicativo em si de proxy consciente. Em
minhas discusses com o ISA e administradores TMG firewall, estou constantemente
espantado com quo poucos compreendem o poder, flexibilidade e controle que
fornecido por esta maravilhosa utilidade.
O que o cliente de firewall TMG?
O cliente de firewall TMG um aplicativo que pode ser instalado na maioria dos
sistemas Windows desktop e servidor de operao (que limitada apenas para o
Windows - no h suporte para sistemas operacionais no-Microsoft, como Mac ou
Linux). O cliente de firewall TMG compatvel com o ISA Server 2006 e 2004, e os
mais velhos clientes Firewall ISA (2006 e 2004) ainda interoperar com o Forefront
Threat Management Gateway (TMG) de 2010. A matriz de compatibilidade completa
est documentado aqui.
O cliente de firewall TMG um Layered Service Provider (LSP). Quando instalado, o
cliente de firewall TMG ganchos para a API Winsock e escuta as solicitaes que so
destinados para qualquer rede remota. Quando feita uma solicitao para um recurso
remoto, a comunicao interceptada e enviada ao firewall TMG para ser proxy para o
destino remoto. Se o pedido for para um recurso na rede local do cliente, o cliente de
firewall TMG simplesmente ignora o produto pedido e comunicao normalmente. Para
um olhar abrangente TMG operao do cliente de firewall, consulte Introduo ao
documento Client Firewall TMG no TechNet.
Preparando TMG para suportar clientes Firewall TMG
anncio
Quando o cliente de firewall TMG est instalado, por padro, ele ir configurar
automaticamente as configuraes de proxy do Internet Explorer no cliente. O cliente de
firewall TMG no ir configurar navegadores de terceiros, a menos que eles contam
com configuraes web do IE proxy.
Antes de instalar o Cliente Firewall TMG, recomendvel que voc reveja e / ou alterar
essas configuraes. Abra o console de gerenciamento TMG, realce o n de rede na
rvore de navegao, em seguida, selecione a guia Redes. Boto direito do mouse a rede
interna e escolha Propriedades. Em seguida, selecione a opo Ativar suporte Forefront
TMG cliente para esta rede.

Figura 1
Como voc pode ver, as configuraes padro so inferiores a ideal, porque ambos
configurao automtica e configurao manual so ativadas por padro. Eu recomendo
selecionar um ou a configurao, outros de preferncia automtica se o ambiente
suporta. Hostnames so definidos como nico rtulo, mas uma boa idia usar os
nomes de domnio totalmente qualificado, quando possvel. Em um cenrio de
implantao, onde Web Proxy Auto Discovery (WPAD) configurado, uma
configurao ideal dever ser parecido com este:

Figura 2
Se voc planeja usar WPAD para a configurao automtica do cliente, no se esquea
de ativar a opo de publicar informaes de descoberta automtica para esta rede na
guia Auto Discovery do mercado interno de rede caixa de dilogo Propriedades.

Figura 3
Se WPAD no est configurado em seu ambiente, voc pode especificar que o cliente use o
script de firewall TMG de configurao automtica, utilizando o URL padro ou um costume.
Alternativamente, voc pode definir um servidor proxy diretamente.
Instalando o cliente Firewall TMG
Instalando o cliente Firewall TMG simples e direta. O cliente pode ser encontrado na pasta
Client \ na mdia de instalao TMG, ou pode ser baixado aqui. D um duplo clique no
executvel, em seguida, selecione Avanar. Aceitar os termos da licena e da pasta de
instalao padro, e selecione o mtodo com o qual se conectar ao firewall TMG. Escolha
Conectar-se TMG Forefront computador: se voc quiser se conectar manualmente em um
firewall TMG especficas ou escolha automaticamente detectar o apropriado Forefront TMG
computador para usar WPAD. Desde o meu laboratrio de teste tem WPAD habilitado, eu vou
selecionar a opo para detectar automaticamente.

Figura 4
Uma vez instalado, o TMG cone Firewall Client ser exibido na bandeja do sistema e indicar
seu status de conectividade.

Ativado e conectado.
Figura 5

Ativado, conectado, e autenticado.


Figura 6

Desativada.

Figura 7

No foi possvel conectar.

Figura 8

TMG Client Firewall servio (fwcagent.exe) no est funcionando.

Figura 9
Voc pode boto direito do mouse no cone do Cliente TMG Firewall na bandeja do
sistema para acessar as configuraes TMG Firewall Client.
Benefcios fornecidos pelo Cliente Firewall TMG
A beleza do cliente de firewall TMG que completamente transparente para os
aplicativos. Voc pode procurao qualquer aplicativo que usa Winsock para TCP e
UDP de comunicao (por exemplo, SSH, Telnet, RDP, ICA, STMP, etc.) A aplicao
completamente inconscientes de que sua comunicao est sendo tratado por um
servidor proxy.
Ao contrrio dos clientes SecureNAT, todos TMG comunicao Client Firewall
autenticado. Com o TMG Client Firewall instalado, voc pode agora impor forte e
autenticao de usurio baseado em grupo em todas as portas TCP e UDP de
comunicao. Tente fazer isso com o seu firewall 'hardware' so-called!
O cliente de firewall TMG tambm pode suportar protocolos complexos que requerem
conexes secundrias, sem a necessidade de um filtro de aplicativo. Alm disso, o
cliente de firewall TMG pode resolver alguns problemas de conectividade comuns.
Existem muitas aplicaes baseadas na web que tm problemas com proxies de
autenticao. Mais comuns so de streaming de mdia e aplicativos baseados em Java.
Embora possam utilizar HTTP, alguns aplicativos no lidar bem com o HTTP 407
(autenticao necessria) resposta do proxy e no conseguir se conectar. Alavancando
as capacidades do cliente de firewall TMG e sua comunicao sempre autenticado,
esses problemas podem ser facilmente resolvidos.
Para conseguir isso, basta instalar o cliente de firewall TMG na estao de trabalho. Em
seguida, abra o console de gerenciamento TMG e incluir o destino da aplicao

problema conectar-se no acesso diretamente esses servidores ou domnios: lista


localizada na guia Navegador Web das propriedades de rede interna.

Figura 10
Nota:
O acima exposto s vai funcionar se seus clientes esto configurados para usar a
configurao automtica. Se seus clientes so configurados manualmente, voc
precisar adicionar os destinos a ser contornado, verificando o servidor proxy para
endereos locais e acrescentando o destino manualmente na web definies de
configurao do browser. Se seus clientes esto configurados para usar um arquivo PAC
esttica, o arquivo PAC precisar ser atualizado para ignorar o servidor proxy para estes
destinos.
Uma vez configurado, o cliente deixar de tentar enviar essa comunicao direta com o
servidor proxy web. Em vez disso, vai tentar comunicar-se diretamente, permitindo que
o cliente de firewall TMG para processar o trfego.
Automated Deployment
O fato de que o cliente de firewall TMG uma aplicao que deve ser instalado em
cada estao de trabalho uma barreira comum a implantao em larga escala em
muitas organizaes, especialmente os maiores. No entanto, o cliente de firewall TMG
um pacote MSI, que se presta muito bem a ser implantado usando mecanismos de

software automatizado de implantao, incluindo Active Directory Group Policy,


Systems Center Configuration Manager (SCCM), e muito mais.
Configurao da Linha de Comando
Quando instalado, o cliente de firewall TMG pode ser gerenciado via linha de comando,
se necessrio. FwcTool.exe um utilitrio de linha de comando encontrado no \
Forefront \ Program Files (x86) pasta Cliente TMG para mquinas x64 (sim, voc leu
corretamente!) Eo \ Arquivos de programas \ pasta Forefront TMG cliente em mquinas
x86. Este utilitrio permite ao administrador para ativar e desativar o cliente, coletar
informaes, defina o mtodo de deteco (manual ou automtico), conectividade de
teste, e muito mais.
Outro utilitrio de linha de comando til includo com o cliente de firewall TMG
FwcCreds.exe. Esta ferramenta permite que voc especifique as credenciais alternativas
em uma base por aplicativo. Por padro, o cliente de firewall TMG usar as credenciais
do logon atual do usurio ao autenticar no firewall TMG. H casos em que isso pode
no ser desejado, no entanto. Um exemplo seria um servio ou um processo nointerativo outros que se comunica remotamente e requer a assistncia do cliente de
firewall TMG. Neste caso voc pode usar FwcCreds.exe para especificar um nome de
usurio e senha para o cliente de firewall TMG para usar quando ele processa o trfego
desse aplicativo.
Load Balancing Clientes TMG Firewall
Ao configurar o cliente de firewall TMG se comunicar com um Firewall TMG, ele deve
usar o endereo IP dedicado do firewall (ou um hostname que resolve para o endereo
IP dedicado). Para arrays Enterprise, configurando o cliente de firewall TMG para usar
o endereo IP virtual (ou um hostname o resolve o endereo IP virtual) no suportado.
Usando solues de terceiros balanceamento de carga tambm no suportada. A nica
forma de balanceamento de carga para clientes TMG Firewall DNS round robin.
Caractersticas adicionais
O cliente de firewall TMG pode ser usado para notificar os usurios quando eles visitam
um site protegido por SSL e HTTPS inspeo configurado e ativado no firewall TMG.
O firewall TMG ea estao de trabalho cliente devem ser membros de um domnio para
que esse recurso funcione.

Figura 11
O cliente de firewall TMG tambm registra informaes adicionais para a comunicao
de que trata. Isso inclui informaes username (independentemente se a regra de acesso
requer autenticao) e aplicao (nome do arquivo executvel) que iniciou o pedido.

Ressalvas
Idealmente, a firewall TMG e os clientes, onde o cliente de firewall TMG esto
instalados devem ser membros de um domnio. Alternativamente, voc pode usar contas
espelhadas no firewall TMG se o seu firewall ou clientes no so membros de um
domnio. Alm disso, os clientes devem ter uma rota para qualquer destino remoto que
eles precisam se comunicar. Isso contra-intuitivo; em teoria, o cliente de firewall
TMG deve interceptar qualquer solicitao para um recurso remoto e para a frente que
para o proxy, fazendo uma rota para o destino remoto desnecessrios. No entanto,
comeando com o Windows Vista, o cliente DNS comporta de forma diferente, fazendo
com que alguns efeitos colaterais no intencionais. Com o Vista e, mais tarde, o sistema
operacional ir ignorar hostnames que resolver para um endereo IP que ele no tem
uma rota para, efetivamente se comportando como se fosse incapaz de resolver o nome
em tudo. No passado era possvel configurar os clientes de um gateway padro e
alavancar o cliente de firewall para controlar toda a comunicao remota. Com estas
mudanas, a configurao do TMG mquina Client Firewall sem um gateway padro
no mais vivel.
Concluso
Neste artigo eu forneceu uma descrio de alto nvel do cliente de firewall TMG e reviu
a sua instalao e configurao. Eu destacou alguns dos benefcios que ela proporciona,
tais como o fornecimento de servios de proxy para no-proxy aplicaes conscientes,
autenticar todos os TCP e UDP, comunicao e registro usernames e detalhe de
aplicao. Eu tambm descritas algumas das ferramentas de linha de comando soluo
de problemas e discutidas funcionalidades adicionais, tais como HTTPS notificao da
inspeco. Quando implantado, o cliente de firewall TMG pode resolver problemas que
algumas aplicaes tm ao se comunicar atravs de proxies de autenticao. Se voc
ainda no implantaram o cliente de firewall TMG em sua organizao, Gostaria de
incentiv-lo a utilizar esta ferramenta poderosa de hoje.