ISA2006防火墙的三种客户端代理与配置.docVIP

ISA2006防火墙的三种客户端代理与配置 2008-09-05 15:40:01 　标签：防火墙 ISA2006　　　[推送到技术圈] ISA的代理服务支持三种客户端，分别是:Web代理客户端? 防火墙客户端? SNAT客户端 试验目的：让客户端通过ISA代理能连接互联网 实验拓扑： 第一种 利用Web代理客户端实现客户机能连上互联网 1.）检查防火墙的Web代理客户端是否开启。（默认是开启的） 在BeijingISA防火墙上 打开“ISA服务器管理”， 配置－网络－内部，查看内部网络的属性，切换到“Web代理”，如图 我们发现ISA的Web代理服务已经在8080端口启动了。 2.）在客户端上设置Web代理。 在客户机上打开IE，点击 工具－Internet选项－连接－局域网设置，如图? 我们将代理服务器设置为ISA内网网卡的IP，端口为8080。这下明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口，因为8080端口被ISA用于为内网用户提供Web代理服务。 ? 这配置虽然简单，但是还得一台客户机一台客户机的配置，其实如果是在域环境下还可以用组策略 如图 ? 配置好组策略，这样只要每个域用户登陆时系统就帮忙设置好代理服务器了。 来测试下? 如图? 成功? ！（配置Web代理超级简单，但是用户只能以浏览器对互联网进行访问，而其他Winsock的网络服务都不能用） 第二种 利用防火墙客户端代理实现客户机能连上互联网 1.）检查防火墙的Web代理客户端是否启用。 在BeijingISA防火墙上 打开“ISA服务器管理”， 配置－网络－内部，查看内部网络的属性，切换到“防火墙客户端”，如图 2.）安装防火墙客户端 用户只要安装防火墙客户端软件，就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。这个软件在ISA2006安装光盘的\Client目录下，我们将Client目录复制到ISA服务器的硬盘上，然后将目录共享，? 如图 然后在客户机上 访问 \\win2003\client 如图?? 双击 setup.exe 弹出向导? 下一步 选择? 同意协议 下一步 ? 设置 软件安装到哪里 下一步 询问连接到的ISA服务器是通过? IP地址还是计算机名 来连接 我这里用IP地址 点击 下一步 系统开始自动安装 防火墙客户端 点击 “完成” 安装成功。 3.）测试 防火墙客户端 是否能连接到ISA2006的代理服务器上 在安装完成后客户机桌面右下角的防火墙客户端图标，鼠标右键点击客户端图标在弹出的界面中点击“配置”，如图? 选择“设置”点击启用Microsoft Firewall Client for ISA Server（E) ，然后点击“测试服务器”，如果能返回真实ISA服务器名就代表成功了。 然后 点击“关闭”然后点击 “确定” ISA防火墙代理成功。如下图 注意：在配置完后防火墙客户端后系统将自动配置WEB代理客户端 如图 在测试之前，先在客户机的浏览器中取消Web代理设置，如下图 (同时使用Web代理和防火墙客户端，访问网站时优先使用Web代理。) 利用防火墙客户端代理实现客户机能连上互联网 试验成功！！ 第三种 利用SNAT客户端代理实现客户机连上互联网 微软虽然推荐用户使用Web代理和防火墙代理，但是两种方式服务器代理不能跑在Linux等系统在因为这两种方式只支持微软系统。还好有ISA的SNAT代理了。SNAT代理其实是Win2003的路由和远程访问组件所提供的功能，ISA安装之后接管了路由和远程访问，客户机使用SNAT代理是很方便的，只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了，客户机无需任何设置。? 测试下 如下图 ? 感觉好乱总结下：Web代理和防火墙客户端得需要注意在防火墙服务器那里注意是否开启 ISA的三种客户端都能提供访问互联网的功能； Web代理只允许用户使用浏览器访问互联网，而防火墙客户端和SNAT则没有功能方面的限制; 但是SNAT不能对用户进行身份验证，Web代理和防火墙客户端就可以； Web代理和防火墙代理都有DNS转发功能，而SNAT则不存在这个问题。 我喜欢比较SNAT客户端，原因只需配好DHCP就一切完成，不需要对客户机任何设置。 本文出自 51CTO.COM技术博客