ISA的代理服务支持三种客户端,分别是:Web代理客户端 防火墙客户端 SNAT客户端
试验目的:让客户端通过ISA代理能连接互联网
实验拓扑:
第一种 利用Web代理客户端实现客户机能连上互联网
1.)检查防火墙的Web代理客户端是否开启。(默认是开启的)
在BeijingISA防火墙上 打开“ISA服务器管理”, 配置-网络-内部,查看内部网络的属性,切换到“Web代理”,如图 我们发现ISA的Web代理服务已经在8080端口启动了。
2.)在客户端上设置Web代理。
在客户机上打开IE,点击 工具-Internet选项-连接-局域网设置,如图 我们将代理服务器设置为ISA内网网卡的IP,端口为8080。这下明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口,因为8080端口被ISA用于为内网用户提供Web代理服务。
这配置虽然简单,但是还得一台客户机一台客户机的配置,其实如果是在域环境下还可以用 组策略 如图
配置好组策略,这样只要每个域用户登陆时系统就帮忙设置好代理服务器了。
来测试下 如图 成功 !(配置Web代理超级简单,但是用户只能以浏览器对互联网进行访问,而其他Winsock的网络服务都不能用)
第二种 利用防火墙客户端代理实现客户机能连上互联网
1.)检查防火墙的Web代理客户端是否启用。
在BeijingISA防火墙上 打开“ISA服务器管理”, 配置-网络-内部,查看内部网络的属性,切换到“防火墙客户端”,如图
2.)安装防火墙客户端
用户只要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。这个软件在ISA2006安装光盘的\Client目录下,我们将Client目录复制到ISA服务器的硬盘上,然后将目录共享, 如图
然后在客户机上 访问 \\win2003\client 如图 双击 setup.exe
弹出向导 下一步
选择 同意协议 下一步
设置 软件安装到哪里 下一步
询问连接到的ISA服务器是通过 IP地址还是计算机名 来连接 我这里用IP地址
点击 下一步 系统开始自动安装 防火墙客户端
点击 “完成” 安装成功。
3.)测试 防火墙客户端 是否能连接到ISA2006的代理服务器上
在安装完成后客户机桌面右下角的防火墙客户端图标,鼠标右键点击客户端图标在弹出的界面中点击“配置”,如图
选择“设置”点击启用Microsoft Firewall Client for ISA Server(E) ,然后点击“测试服务器”,如果能返回真实ISA服务器名就代表成功了。
然后 点击“关闭”然后点击 “确定” ISA防火墙代理成功。如下图
注意:在配置完后防火墙客户端后系统将自动配置WEB代理客户端 如图
在测试之前,先在客户机的浏览器中取消Web代理设置,如下图 (同时使用Web代理和防火墙客户端,访问网站时优先使用Web代理。)
利用防火墙客户端代理实现客户机能连上互联网 试验成功!!
第三种 利用SNAT客户端代理实现客户机连上互联网
微软虽然推荐用户使用Web代理和防火墙代理,但是两种方式服务器代理不能跑在Linux等系统在因为这两种方式只支持微软系统。还好有ISA的SNAT代理了。SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,客户机使用SNAT代理是很方便的,只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了,客户机无需任何设置。 测试下 如下图
感觉好乱总结下:Web代理和防火墙客户端得需要注意在防火墙服务器那里注意是否开启
ISA的三种客户端都能提供访问互联网的功能;
Web代理只允许用户使用浏览器访问互联网,而防火墙客户端和SNAT则没有功能方面的限制;
但是SNAT不能对用户进行身份验证,Web代理和防火墙客户端就可以;
Web代理和防火墙代理都有DNS转发功能,而SNAT则不存在这个问题。
我喜欢比较SNAT客户端,原因只需配好DHCP就一切完成,不需要对客户机任何设置。