上一篇我们介绍了如何部署ISA2006,本文我们要让部署好的ISA来干活了。ISA能干什么活?从字面意思看,ISA的意思是互联网安全加速器,安全指的是防火墙功能,加速器则是代理服务器功能。今天我们就要部署ISA的代理服务器功能,看看内网用户如何利用ISA来访问互联网。 ISA的代理服务支持三种客户端,分别是: Web代理客户端 防火墙客户端 SNAT客户端
我们搭建一个实验环境测试三种客户端的具体应用,实验拓扑如下图所示,Beijing安装了ISA2006标准版,Perth是内网客户机。
因为ISA默认的防火墙策略是拒绝一切通讯,所以实验之前我们需要先在ISA上创建一条访问规则,允许内网用户访问互联网。由于当前的主要目的是测试ISA的代理服务器功能,因此我们在防火墙上暂时不做任何限制。在Beijing上依次点击 开始-程序-Microsoft ISA Server-ISA服务器管理,如下图所示,右键点击防火墙策略,选择新建“访问规则”。
给新建的访问规则取名为“允许内网用户任意访问”,如下图所示。
设置当客户端的访问行为与规则设定匹配时,防火墙将允许客户端进行访问。
选择将此规则应用到“所有出站通讯”,所有出站通讯指的是使用任意协议对外网进行访问。
接下来要设置通讯源,如下图所示,点击“添加”,在网络中选择“内部”,然后点击“添加”,这样“内部”就成了规则的访问源。再用同样方法,将“本地主机”设置为访问源,这是为了测试方便,我们特意允许ISA服务器也能访问互联网。
设置好通讯源后,点击下一步。 现在该设置通讯目标了,我们将通讯目标设定为“外部”网络。
用户我们则选择“所有用户”,注意,所有用户中包括未经身份验证的用户。
如下图所示,规则创建完毕。这条规则用通俗的话解释,就是凡是由内网计算机或ISA本机发起的访问外网的请求,无论是什么时间,无论使用什么协议,无论是哪些用户,ISA一律允许。怎么样,这个规则很宽泛吧。
如下图所示,点击“应用”,使规则生效。好了,我们可以开始客户机访问测试了。
一 Web代理 客户机使用ISA提供的Web代理就可以很方便地用浏览器访问互联网。Web代理设置起来很容易,以IE浏览器为例,在客户机上打开IE,依次点击 工具-Internet选项-连接-局域网设置,如下图所示。我们将代理服务器设置为ISA内网网卡的IP,端口为8080。这下大家就明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口,因为8080端口被ISA用于为内网用户提供Web代理服务。
默认情况下ISA已经启用了Web代理服务,如果不放心可以检查一下。打开“ISA服务器管理”,展开 配置-网络-内部,查看内部网络的属性,切换到“Web代理”标签,如下图所示,我们发现ISA的Web代理服务已经在8080端口启动了。
在客户端测试一下,如下图所示,我们在客户机上成功地使用Web代理访问了互联网上的网站。
下图是客户机的TCP/IP设置,我们发现,客户机并没有设置DNS参数,那客户机访问网站时怎么解析域名呢?答案是转发至ISA服务器由ISA进行解析。 Web代理配置简单,但功能也受限制,用户只能以浏览器作为客户端对互联网进行访问。
二 防火墙客户端代理 由于Web代理只能使用浏览器访问互联网,功能不够全面,因此微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在ISA2006安装光盘的\Client目录下,我们将Client目录复制到ISA服务器的硬盘上,然后将目录共享,共享名为Mspclnt(和老版本的ISA保持一致),如下图所示。
客户机访问\\beijing\mspclnt,运行Setup.exe,如下图所示。
出现防火墙客户端的安装向导,点击下一步。
同意软件许可协议,点击下一步。
选择软件安装文件夹,我们取默认值。
指定ISA服务器,用计算机名或IP均可。
准备开始安装。
安装过程很快完成。
安装结束后,我们测试一下客户机和服务器之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标,在程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。
如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯正常。
接下来准备测试客户机使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消Web代理设置,如下图所示。因为如果同时使用Web代理和防火墙客户端,访问网站时优先使用Web代理。
用浏览器访问微软网站进行测试,如下图所示,OK,防火墙客户端工作正常。同时应注意,防火墙客户端也具有DNS转发功能。
三 SNAT客户端 微软推荐用户使用Web代理和防火墙代理,因为这两种方式都支持用户身份验证。但Web代理的功能有限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用Linux等系统,就只能选择ISA的SNAT代理了。SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,客户机使用SNAT代理是很方便的,只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了,客户机无需任何设置。 客户机尝试SNAT之前先将防火墙客户端关闭,点击桌面右下角的防火墙客户端图标,如下图所示,取消“启用Microsoft Firewall Client for ISA Server”,这样就可以把防火墙客户端功能禁用了。
设置客户机的TCP/IP属性,将默认网关设置为防火墙内网IP,注意,要设置DNS参数,SNAT服务器不具有DNS转发功能。
如下图所示,用SNAT访问互联网也很轻松。
总结:ISA的三种客户端都能提供访问互联网的功能,Web代理只允许用户使用浏览器访问互联网,而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证,Web代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为Web代理可以使用ISA缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件,那么SNAT必然是你的最爱,只需配好DHCP就一切OK了。最后要提醒大家的是,Web代理和防火墙代理都有DNS转发功能,而SNAT则不存在这个问题。
本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://yuelei.blog.51cto.com/202879/83453