第3章配置安全Internet访问服务.doc

第3章 配置安全Internet访问服务 3.1 配置本地客户端的安全Internet访问 52 3.2 配置ISA Server拨号连接 62 3.3 配置ISA Server的自动发现特性 68 3.4 ISA Server客户端连接故障排除 73 3.5 本章复习 77 本章概要 一旦把ISA Server安装为防火墙，所有客户计算机的Internet访问都默认被禁止。本章将逐步地引导您为这些用户配置安全Internet访问服务。这些步骤包括：评估客户的需求、决定是否安装防火墙客户端软件、把网络的Web浏览器配置为使用ISA Server作为代理服务器、创建协议规则来允许Internet通信可以动态地通过防火墙或者仅在需要时通过。配置客户端访问可能需要配置ISA Server 的自动发现(Automatic Discovery)特性。该特性允许客户端可以自动地连接到网络上的ISA Server。同时还需要在ISA Server中配置拨号项。本章还概述了排除客户端连接故障的方法和工具。 先决条件 为了学习本章，您必须 ? 达到“前言”中的要求，Server1的IP地址配置为，Server 2的IP地址配置为。同时，Server1 必须建立到Internet的拨号连接。 ? 完成第2章的练习题，在Server1上以集成模式安装ISA Server，阵列名为MyArray。 3.1 配置本地客户端的安全Internet访问 安装ISA Server之后，就可以对本地客户机进行安全访问配置。对于所有的客户端请求，ISA Server通过分析访问协议规则来决定是否允许访问。如果请求得到允许，ISA Server就会动态地打开和关闭通信所需的端口。 为本地客户端建立安全的Internet访问要求先决定是将内部客户端设置为安全网络地址转换客户端还是防火墙客户端。接下来，把客户机上的Web浏览器配置为使用ISA Server代理服务。最终，一旦配置了客户端，就必须在ISA Server上创建允许Internet协议通过防火墙的协议规则。 本节学习目标 ? 描述安全网络地址转换、防火墙以及代理服务客户端在特性和配置要求方面的不同之处 ? 为客户机配置通过ISA Server的安全Internet访问 ? 把Microsoft Internet Explorer浏览器配置为使用ISA Server Web代理服务 ? 在客户机上安装防火墙客户端软件 估计学习时间：1小时 3.1.1 ISA Server客户端 ISA Server支持如下3种类型的客户端： ? 防火墙客户端：安装并启用了防火墙客户端软件的客户端 ? 安全网络地址转换客户端：尚未安装防火墙客户端软件的客户机 ? Web代理客户端：配置为使用ISA Server的客户端Web应用程序 表3.1 ISA Server 客户端类型比较 特 性 安全网络地址转换客户端 防火墙客户端 Web代理客户端 是否需要安装 否，但是有些网络设置需要改变 是 否，需要Web浏览器配置 操作系统支持 任何支持TCP/IP协议的系统 只有Windows操作 平台 所有操作平台，但是需以Web应用的方式 协议支持 需要针对多连接协议的程序筛选器 所有的Winsock应用程序 HTTP、S-HTTP、FTP以及Gopher 用户级身份验证 不需要 需要 需要 服务器应用程序 不需要配置或安装 需要配置文件 N/A 防火墙客户端和安全网络地址转换客户端也可以设置为Web代理客户端。这是因为所有的Web代理客户端会话(换句话说，就是由浏览器发出的Web请求。该浏览器配置为把ISA Server作为代理服务器使用)都直接发送给Web代理服务。所有其他的网络请求，不管是防火墙客户端会话还是安全网络地址转换客户端会话都是直接发送给ISA Server防火墙服务。 3.1.2 评估客户端需求 在安装或配置客户端软件之前，评估组织的需要。确定内部客户端需要哪一种应用软件和服务，确定要如何发布服务器。然后，再看ISA Server支持的不同客户端类型如何能满足这些需要。 实际上，您给每一个客户机所做的选择无非是要么给它安装防火墙客户端软件，要么是简单地把客户端设定为安全网络地址转换客户端。表3.2列出了适用某一种客户端类型的情况。 注意 配置Internet访问，ISA Server服务器本机不建立Internet访问。要实现这一点，需要创建IP数据数据包筛选器。第4章会对创建IP数据数据包筛选器进行讨论。 表3.2 选择ISA Server的客户端类型 网络需求 推荐的客户端类型 理 由 要避免安装客户端软件或者配置客户端 安全网络地址转换 安全网络地址转换客户端不需要任何软件和指定