详解ISA2006防火墙三种客户端代理与配置

前几篇我们介绍了如何部署 ISA2006 以及 ISA2006 的一些功能。 ISA 的英文全称是Industry Standard Architecture，从我看过的一些关于ISA的资料上看它的大概意思是互联网安全加速器，安全指的是防火墙的功能，加速器则指的是代理服务器功能。今天我们就要部署 ISA 的代理服务器功能，看看内网用户如何利用 ISA防火墙 来访问互联网。

ISA 的代理服务支持三种客户端，分别是 :

一、 SNAT 客户端

二、 Web 代理客户端

三、防火墙客户端

做这个实验用到两台计算机。我们选择 BEIJING 为 ISA 服务器，内网网卡 IP 为 10.1.1 .254 外网网卡 IP 是 DHCP 自动分配的为 192.168.0.134 ，另一台计算机是用来做内网的客户机我们选择 TIANJIN 。 IP 为 10.1.1.3 大致的拓扑图如下：

 

一、 SNAT 客户端

我们从三种客户端中最简单的一种开始介绍吧！ ISA 最简单的客户端是 SNAT 客户端。

SNAT 代理其实是 Win2003 的路由和远程访问组件所提供的功能， ISA 安装之后接管了路由和远程访问，客户机使用 SNAT 代理是很方便的，只需将默认网关指向 ISA 的内网 IP 即可。如果配合 DHCP 服务器就更简单了，客户机无需任何设置。 SNAT 代理没有 DNS 转发功能。所以在下面配置网卡的 DNS 时应手工输入 DNS 服务器的 IP 地址。长话短说，闲话少说。下面我们就开始今天的部署吧！

首先打开客户机 TIANJIN 的本地连接属性来配置 IP 地址、默认网关以及首选 DNS 服务器。

因为这是内网的主机所以 IP 我们就定义为 10.1.1 .3 ，默认网关是 ISA 服务器内网网卡的 IP 地址， DNS 定义为外网网卡的 DNS 。注意：必须设置 DNS 参数，否则上不了外网，因为 SNAT 代理没有 DNS 转发功能。 如下图定义完成后点击确定退出本地连接属性。

配置完成后，我们在 TIANJIN 上来访问一下互联 网。 Ok ！没问题利用 SNAT 代理很轻松的访问到了互联网。

二、 Web 代理客户端

ISA 连接外网的第二种客户端是“ Web 代理客户端”。 Web 代理设置起来很容易，就是在客户机的 IE 浏览器属性中设置。首先我们把客户机的 IP 设为原来的 I P 10.1.1 .3 ，默认网关和 DNS 服务器的 IP 地址都不用设置。如下图的设置，设置完成后点击确定退出本地连接属性。 注意： Web 代理配置简单，但它的功能受限制，用户只能以浏览器作为客户端对互联网进行访问。

然后在客户机上打开 IE ，依次点击 工具－ Internet 选项－连接－局域网设置，如下图所示。

点开“局域网设置”后，我们将代理服务器设置为 ISA 服务器名称也可以设为ISA服务器内网网卡的 IP ，端口为 8080 。这下大家就明白了为什么安装 ISA2006 时要求服务器上不能有进程占用 8080 端口，因为 8080 端口被 ISA 用于为内网用户提供 Web 代理服务。

默认情况下 ISA 已经启用了 Web 代理服务，如果不放心可以检查一下。打开“ ISA 服务器管理”，展开 配置－网络―内部，点击“内部网络”的属性

切换到“ Web 代理”标签，如下图所示，我们发现 ISA 的 Web 代理服务已经在 8080 端口启动了。呵呵 …

接下来我们在客户端 TIANJIN 上测试一下，看能不能上了外网。恩？？？怎么上不去了，这配置很正确啊！我反复检查了 N 遍，可是问题依旧存在。到底是哪的问题啊！

让我百思不得其解。后来，终于功夫不负有心人，让我看到了一点蛛丝马迹。开始我一直在客户机上查找问题，后来在 ISA 服务器上一检查好像是 ISA 服务器的访问规则有问题。于是我又新建了一条访问规则。如下图

创建访问规则名称

选择“允许”

协议类型为所有出站通讯

从网络内部(本地主机)到网络外部

下一步

Ok ！完成访问规则的建立。

接下来点击应用来保存更改的配置。应用后点确定

最后再在客户机 TIANJIN 上来做一下测试。这次没问题，如下图所示，我们在客户机上成功地使用 Web 代理访问了百度的网站。

三、 防火墙客户端

接下来准备使用防火墙客户端访问互联网，在测试之前，先在客户机的浏览器中取消 Web 代理设置，如下图所示。因为如果同时使用 Web 代理和防火墙客户端，访问网站时优先使用 Web 代理。具体配置如下图，配置完成后点击确定退出。

微软在 ISA 中提供了防火墙客户端代理。用户只要安装防火墙客户端软件，就能通过 ISA 的防火墙客户端代理访问外网了。那该怎么安装防火墙客户端软件呢？这个软件在 ISA2006 安装光盘的 \Client 目录下，我们在 ISA 服务器上打开 ISA2006 安装光盘，如下图所示。

然后将“ Client ”文件夹复制到客户机 TIANJIN 上。

复制完成后，我们打开“ Client ”文件夹，运行文件夹下的“ setup.exe ”程序。出现防火墙客户端安装向导后，点击下一步

选择防火墙客户端安装路径

指定 ISA 服务器。计算机名或 IP 地址都可以。

点击安装开始安装防火墙客户端。

Ok ！安装速度很快，几秒钟后防火墙客户端安装成功。

安装结束后，我们来测试一下客户机和服务器之间的通讯状况如何？双击客户机桌面右下角的防火墙客户端图标 在程序界面中切换到“设置”标签，如下图所示，点击“测试服务器”。

如果测试结果如下图所示，那就代表防火墙客户端和服务器之间的通讯是正常。 注意：如果显示的是“解析名称服务器失败”那么就不能再进行下一步了。应该先排除现有的问题。主要检查IP地址、服务器名称和ISA服务器配置的访问规则。当然其他的问题也不能例外。

客户机与 ISA 服务器 的通讯很正常，下面再来在客户端上访问一下互联网。看能不能访问到。 Ok ！没问题成功的访问到了51cto网页。

虽然 ISA 的三种客户端都能提供访问互联网的功能；但是我更喜欢 SNAT 客户端 ，因为使用这种方法只需要配好 DHCP 就可以，不需要对客户机再做任何设置,另外，web代理只允许 用户使用浏览器访问互联网，而防火墙客户端和 SNAT则没有功能方面的限制。 但是 Web 代理和防火墙代理都有 DNS 转发功能，而 SNAT 代理却则不存在 DNS 转发功能。

总之来说还是 SNAT 客户端简单而且方便。