允许来自客户端计算机的出站Web访问 配置出站Internet访问系列之一

      今天下午有个网管员的面试（感觉自己还可以胜任这份工作），公司可能要用到ISA，具体情况就不多说了。这篇及后续文章也会为大家更多的带来一些关于ISA方面的知识，有什么意见或观点欢迎大家多多交流！

      在本次的实验中，我将配置ISA允许来自内部网络中的客户端计算机的出站Web访问，大致的环境拓扑图如下（其中的ISA服务器角色由Paris承担，Paris上已经安装好了ISA2006）

 

一、注意ISA的默认规则

1.外网的Istanbul上已经搭建好了Web网站，域名为：istanbul.fabrikam.com。在默认网站的路径下打开可以看到，如下，

2.由于是工作组环境，实验环境中又没有搭建DNS服务器，我们需要在内网客户端Denver上用hosts文件来解析Istanbul网站的域名，用记事本打开hosts文件，将域名istanbul.fabrikam.com解析为39.1.1.7，具体操作如下，

3.然后我们在IE中访问一下外网Istanbul的网站，“无法显示此页”，具体的错误代码见下，“502 Proxy Error···”，502代理错误，ISA服务器拒绝指定的URL。被ISA防火墙给拒绝了。

4.下面打开Paris上的ISA服务器控制台，找到防火墙策略，原来是被默认规则拒绝了（安装完ISA后，默认会有条拒绝的规则，这个规则禁止所有网络通讯，这意味着 ISA Server拒绝所有没有在规则中明确指定的网络通讯。关于ISA策略和规则可参考前面这篇文章重新认识ISA规则和策略）。

5.找到原因就容易解决了，下面我们在防火墙策略里新建一个访问规则，名称为“允许出站Web通讯”

应用到的协议为HTTP，这里我将FTP和HTTPS协议也添加上了，后面验证一下，

应用的网络源，也就是“从”，我们添加“内部”，

应用的网络目标，也就是“到”，我们添加“外部”，

6.建完规则后，“应用”一下。然后我们再来在内网的Denver上访问一下，OK！这次没问题了。

7.我们再用FTP测试一下，ftp istanbul.fabrikan.com，可以登录进去。

二、注意访问规则的先后顺序

1.在Paris计算机上，创建一个新的计算机集规则元素(打开“防火墙策略”，找到右侧的“工具箱—网络对象—新建—计算机集”)，名称为“受限制的内部计算机”，添加受限制的内部计算机地址范围“10.1.1.5~10.1.1.8”

2.然后新建一个访问规则，名称为“拒绝受限制的计算机”，下面的步骤见下图，

这里的源网络添加为我们刚才新建的“受限制的内部计算机”

3.应用完这个策略，我们在Denver上再次访问一下Istanbul，还是被ISA拒绝，但是这次不是默认的规则拒绝的，而是我们刚建的这个拒绝规则发挥的作用。

4.我们可以在Paris计算机中，将“允许出站Web通讯”规则移到“拒绝受限制的计算机”规则前面。在右侧窗格中，右键单击“拒绝受限制的计算机”，然后单击“下移”。现在“允许出站Web通讯”规则（第一位）排在“拒绝受限制的计算机”规则（第二位）之前，“应用”此操作。

5.然后再次在Denver上测试一下，又可以访问了。

访问规则的先后位置决定那个规则首先被匹配，我们在建规则的时候要注意它们的放的先后顺序。