让内网用户通过ISA访问外网

让内网用户通过 isa 访问外网,
ISA 的代理服务支持三种客户端,分别是 :Web 代理客户端,防火墙客户端, SNAT 客户端,先写一下今天的实验环境, beijing 还是上次刚刚部署完的 isa 服务器 Berlin 模拟内网用户, ip 10.1.1 .2 ,网卡用本地的选 local only 的那块,一块网卡就够, Istanbul 模拟外网, ip 192.168.11.102 ,子网掩码自动就行,其他的先不填,目的只是为了让内网用户能够通过 isa 访问到外网,用 Istanbul 只是在实验环境,如果接网方便的话也可以不用,只是为了逻辑上讲的通就行, 默认情况下,没做任何的防火墙策略,所以现在我们先简单的做个策略让用户能够访问,
打开开始程序,microsoft isa severISA 服务器管理,点开beijing前的加号,在右击防火墙策略,选择新建,访问规则,访问规则名添一个,但一定要能清楚地识别,想想你要是写个123 abc之类的,要是做个二三十条你可就麻烦了,下一步,既然我们是让用户通过那肯定要选允许了嘛,下一步,此协议应用到这,就选个所有出站通讯,因为刚接触嘛,规则就做的宽一点,下一步,至于从哪来,到哪去这我们就选个从任何地点到任何地点吧。用户就来个所有用户,下一步,完成,之后在应用一下策略。现在要是不应用是不会生效的,那个要是选丢弃那刚才做的就被删掉了,
首先我们来尝试一下用WEB 代理访问,在默认的情况下ISA已经启用了web代理,只需在客户端上做些配置就行,在Berlin上右击IE 属性,连接,局域网设置,勾选,为LAN 使用代理服务器,在地址上填写beijing的内网ip端口号为8080,好了现在在BerlinIE里输入[url]http://192.168.11.102[/url](istanbulip)我用的是VPC的虚拟机,据说默认情况下Istanbul就是供实验用的,所以它上面默认就做了一个叫做,istanbul.fabrikam.com的简单网页 ,现在看来我们的这个做法在逻辑上是说得通的,好Berlin上我们没有配dns他只是通过beijing的外网卡去访问istanbul的,用web的方式虽然简单,但是功能上受限制,客户端上只能用浏览器对互联网进行访问,好。
接着尝试第二种方法:防火墙客户端代理,那么如何在客户端安装呢,我是这样做的,在客户端挂上镜像,打开我的电脑,右击D盘,选择打开,找到client的文件夹,(就是第一个)双击setup.exe 文件,安装过程很简单,提取文件进入引导界面之后,下一步,同意许可协议,下一步,默认安装位置,下一步,自动检测合适的isa服务器,下一步,安装等待,ok完成双击一下桌面右下角的小图标isa的那个,选择设置下面的设置,手动指定isa服务器到beijing上测试一下,,应用确定,在访问Istanbul之前别忘把用web代理的设置的给停一下,不出意外的话应该访问成功,我在做这个的时候,用自动检测是失败的,不知哪位大虾看到后能否给解释一下是怎麽回事,?
微软是希望用户使用上面这两种方式的,因为都支持集成验证,但是web的功能有限,客户端又不适合其他的操作系统,那我们怎么办呢?不急还有snat客户端嘛?来试试,先把防火墙客户端给停一下,双击右下角的图标,选择设置,把原先勾选的启用ISA Sever的那个给取消掉,给客户机配上网关和dns就行了网关我们写成beijing的内网ip 10.1.1 .1,,,,DNS那写beijing的外网ip192.168.11.101
接着试试吧,
接着说说三种的区别,web代理呢支持身份验证,具有缓存功能,但是有限制,如不能访问像bbs一样的站点,
防火墙客户端呢,支持身份验证,但是需要在客户端安装软件,如果在域的环境下还好可以强制发布一下,但要是在工作组环境下要一台一台的装,我想这不是工程师想干的活。
那要是你不想麻烦,或者客户端的机子类型也很乱,unix linux,或者还有苹果的,那你就选SNAT吧,
 

你可能感兴趣的:(职场,休闲,内网,ISA,外网)