上一篇我们介绍了如何部署
ISA2006
,本文我们要让部署好的
ISA
来干活了。
ISA
能干什么活?从字面意思看,
ISA
的意思是互联网安全加速器,安全指的是防火墙功能,加速器则是代理服务器功能。今天我们就要部署
ISA
的代理服务器功能,看看内网用户如何利用
ISA
来访问互联网。
ISA
的代理服务支持三种客户端,分别是
:
Web
代理客户端
防火墙客户端
SNAT
客户端
我们搭建一个实验环境测试三种客户端的具体应用,实验拓扑如下图所示,
Beijing
安装了
ISA2006
标准版,
Perth
是内网客户机。
因为
ISA
默认的防火墙策略是拒绝一切通讯,所以实验之前我们需要先在
ISA
上创建一条访问规则,允许内网用户访问互联网。由于当前的主要目的是测试
ISA
的代理服务器功能,因此我们在防火墙上暂时不做任何限制。在
Beijing
上依次点击
开始-程序-
Microsoft ISA Server
-
ISA
服务器管理,如下图所示,右键点击防火墙策略,选择新建“访问规则”。
给新建的访问规则取名为“允许内网用户任意访问”,如下图所示。
设置当客户端的访问行为与规则设定匹配时,防火墙将允许客户端进行访问。
选择将此规则应用到“所有出站通讯”,所有出站通讯指的是使用任意协议对外网进行访问。
接下来要设置通讯源,如下图所示,点击“添加”,在网络中选择“内部”,然后点击“添加”,这样“内部”就成了规则的访问源。再用同样方法,将“本地主机”设置为访问源,这是为了测试方便,我们特意允许
ISA
服务器也能访问互联网。
设置好通讯源后,点击下一步。
现在该设置通讯目标了,我们将通讯目标设定为“外部”网络。
用户我们则选择“所有用户”,注意,所有用户中包括未经身份验证的用户。
如下图所示,规则创建完毕。这条规则用通俗的话解释,就是凡是由内网计算机或
ISA
本机发起的访问外网的请求,无论是什么时间,无论使用什么协议,无论是哪些用户,
ISA
一律允许。怎么样,这个规则很宽泛吧。
如下图所示,点击“应用”,使规则生效。好了,我们可以开始客户机访问测试了。
一
Web
代理
客户机使用
ISA
提供的
Web
代理就可以很方便地用浏览器访问互联网。
Web
代理设置起来很容易,以
IE
浏览器为例,在客户机上打开
IE
,依次点击
工具-
Internet
选项-连接-局域网设置,如下图所示。我们将代理服务器设置为
ISA
内网网卡的
IP
,端口为
8080
。这下大家就明白了为什么安装
ISA2006
时要求服务器上不能有进程占用
8080
端口,因为
8080
端口被
ISA
用于为内网用户提供
Web
代理服务。
默认情况下
ISA
已经启用了
Web
代理服务,如果不放心可以检查一下。打开“
ISA
服务器管理”,展开
配置-网络-内部,查看内部网络的属性,切换到“
Web
代理”标签,如下图所示,我们发现
ISA
的
Web
代理服务已经在
8080
端口启动了。
在客户端测试一下,如下图所示,我们在客户机上成功地使用
Web
代理访问了互联网上的网站。
下图是客户机的
TCP/IP
设置,我们发现,客户机并没有设置
DNS
参数,那客户机访问网站时怎么解析域名呢?答案是转发至
ISA
服务器由
ISA
进行解析。
Web
代理配置简单,但功能也受限制,用户只能以浏览器作为客户端对互联网进行访问。
二
防火墙客户端代理
由于
Web
代理只能使用浏览器访问互联网,功能不够全面,因此微软在
ISA
中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过
ISA
的防火墙客户端代理访问所有基于
Winsock
的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在
ISA2006
安装光盘的
\Client
目录下,我们将
Client
目录复制到
ISA
服务器的硬盘上,然后将目录共享,共享名为
Mspclnt
(和老版本的
ISA
保持一致),如下图所示。
客户机访问
\\beijing\mspclnt
,运行
Setup.exe
,如下图所示。
出现防火墙客户端的安装向导,点击下一步。
同意软件许可协议,点击下一步。
选择软件安装文件夹,我们取默认值。
指定
ISA
服务器,用计算机名或
IP
均可。
准备开始安装。
安装过程很快完成。
安装结束后,我们测试一下客户机和服务器之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标,在程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。
如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯正常。
接下来准备测试客户机使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消
Web
代理设置,如下图所示。因为如果同时使用
Web
代理和防火墙客户端,访问网站时优先使用
Web
代理。
用浏览器访问微软网站进行测试,如下图所示,
OK
,防火墙客户端工作正常。
同时应注意,防火墙客户端也具有
DNS
转发功能。
三
SNAT
客户端
微软推荐用户使用
Web
代理和防火墙代理,因为这两种方式都支持用户身份验证。但
Web
代理的功能有限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用
Linux
等系统,就只能选择
ISA
的
SNAT
代理了。
SNAT
代理其实是
Win2003
的路由和远程访问组件所提供的功能,
ISA
安装之后接管了路由和远程访问,客户机使用
SNAT
代理是很方便的,只需将默认网关指向
ISA
的内网
IP
即可。如果配合
DHCP
服务器就更简单了,客户机无需任何设置。
客户机尝试
SNAT
之前先将防火墙客户端关闭,点击桌面右下角的防火墙客户端图标,如下图所示,取消“启用
Microsoft Firewall Client for ISA Server
”,这样就可以把防火墙客户端功能禁用了。
设置客户机的
TCP/IP
属性,将默认网关设置为防火墙内网
IP
,
注意,要设置
DNS
参数,
SNAT
服务器不具有
DNS
转发功能。
如下图所示,用
SNAT
访问互联网也很轻松。
总结:
ISA
的三种客户端都能提供访问互联网的功能,
Web
代理只允许用户使用浏览器访问互联网,而防火墙客户端和
SNAT
则没有功能方面的限制。如果需要对用户进行身份验证,
Web
代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用
Web
代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为
Web
代理可以使用
ISA
缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件,那么
SNAT
必然是你的最爱,只需配好
DHCP
就一切
OK
了。最后要提醒大家的是,
Web
代理和防火墙代理都有
DNS
转发功能,而
SNAT
则不存在这个问题。