ISA2006三种客户端ISA2006系列之二.docVIP

详解ISA2006三种客户端：ISA2006系列之二 标签：ISA2006 SNAT Web代理 防火墙客户端 原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/202879/83453 详解ISA2006三种客户端 ? 上一篇我们介绍了如何部署ISA2006，本文我们要让部署好的ISA来干活了。ISA能干什么活？从字面意思看，ISA的意思是互联网安全加速器，安全指的是防火墙功能，加速器则是代理服务器功能。今天我们就要部署ISA的代理服务器功能，看看内网用户如何利用ISA来访问互联网。 ISA的代理服务支持三种客户端，分别是: Web代理客户端 防火墙客户端 SNAT客户端 ? 我们搭建一个实验环境测试三种客户端的具体应用，实验拓扑如下图所示，Beijing安装了ISA2006标准版，Perth是内网客户机。 ? 因为ISA默认的防火墙策略是拒绝一切通讯，所以实验之前我们需要先在ISA上创建一条访问规则，允许内网用户访问互联网。由于当前的主要目的是测试ISA的代理服务器功能，因此我们在防火墙上暂时不做任何限制。在Beijing上依次点击 开始－程序－Microsoft ISA Server－ISA服务器管理，如下图所示，右键点击防火墙策略，选择新建“访问规则”。 ? 给新建的访问规则取名为“允许内网用户任意访问”，如下图所示。 ? 设置当客户端的访问行为与规则设定匹配时，防火墙将允许客户端进行访问。 ? 选择将此规则应用到“所有出站通讯”，所有出站通讯指的是使用任意协议对外网进行访问。 ? 接下来要设置通讯源，如下图所示，点击“添加”，在网络中选择“内部”，然后点击“添加”，这样“内部”就成了规则的访问源。再用同样方法，将“本地主机”设置为访问源，这是为了测试方便，我们特意允许ISA服务器也能访问互联网。 ? 设置好通讯源后，点击下一步。 现在该设置通讯目标了，我们将通讯目标设定为“外部”网络。 ? 用户我们则选择“所有用户”，注意，所有用户中包括未经身份验证的用户。 ? 如下图所示，规则创建完毕。这条规则用通俗的话解释，就是凡是由内网计算机或ISA本机发起的访问外网的请求，无论是什么时间，无论使用什么协议，无论是哪些用户，ISA一律允许。怎么样，这个规则很宽泛吧。 ? 如下图所示，点击“应用”，使规则生效。好了，我们可以开始客户机访问测试了。 ? 一 Web代理 客户机使用ISA提供的Web代理就可以很方便地用浏览器访问互联网。Web代理设置起来很容易，以IE浏览器为例，在客户机上打开IE，依次点击 工具－Internet选项－连接－局域网设置，如下图所示。我们将代理服务器设置为ISA内网网卡的IP，端口为8080。这下大家就明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口，因为8080端口被ISA用于为内网用户提供Web代理服务。 ? 默认情况下ISA已经启用了Web代理服务，如果不放心可以检查一下。打开“ISA服务器管理”，展开 配置－网络－内部，查看内部网络的属性，切换到“Web代理”标签，如下图所示，我们发现ISA的Web代理服务已经在8080端口启动了。 ? 在客户端测试一下，如下图所示，我们在客户机上成功地使用Web代理访问了互联网上的网站。 ? 下图是客户机的TCP/IP设置，我们发现，客户机并没有设置DNS参数，那客户机访问网站时怎么解析域名呢？答案是转发至ISA服务器由ISA进行解析。 Web代理配置简单，但功能也受限制，用户只能以浏览器作为客户端对互联网进行访问。 ? 二 防火墙客户端代理 由于Web代理只能使用浏览器访问互联网，功能不够全面，因此微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件，就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。那该怎么安装防火墙客户端软件呢？这个软件在ISA2006安装光盘的\Client目录下，我们将Client目录复制到ISA服务器的硬盘上，然后将目录共享，共享名为Mspclnt（和老版本的ISA保持一致），如下图所示。 ? 客户机访问\\beijing\mspclnt，运行Setup.exe，如下图所示。 ? 出现防火墙客户端的安装向导，点击下一步。 ? 同意软件许可协议，点击下一步。 ? 选择软件安装文件夹，我们取默认值。 ? 指定ISA服务器，用计算机名或IP均可。 ? 准备开始安装。 ? 安装过程很快完成。 ? 安装结束后，我们测试一下客户机和服务器之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标，在程序界面中切换到“设置”标签，如下图所示，点击“测试服务器”。 ? 如果测试结果如下图所示，那就代表防火