详解ISA2006三种客户端1

上一篇我们介绍了如何部署 ISA2006 ，本文我们要让部署好的 ISA 来干活了。 ISA 能干什么活？从字面意思看， ISA 的意思是互联网安全加速器，安全指的是防火墙功能，加速器则是代理服务器功能。今天我们就要部署 ISA 的代理服务器功能，看看内网用户如何利用 ISA 来访问互联网。

ISA 的代理服务支持三种客户端，分别是 :

Web 代理客户端

防火墙客户端

SNAT 客户端

 

我们搭建一个实验环境测试三种客户端的具体应用，实验拓扑如下图所示， Beijing 安装了 ISA2006 标准版， Perth 是内网客户机。

 

 

因为 ISA 默认的防火墙策略是拒绝一切通讯，所以实验之前我们需要先在 ISA 上创建一条访问规则，允许内网用户访问互联网。由于当前的主要目的是测试 ISA 的代理服务器功能，因此我们在防火墙上暂时不做任何限制。在 Beijing 上依次点击 开始－程序－ Microsoft ISA Server － ISA 服务器管理，如下图所示，右键点击防火墙策略，选择新建“访问规则”。

 

 

给新建的访问规则取名为“允许内网用户任意访问”，如下图所示。

 

 

设置当客户端的访问行为与规则设定匹配时，防火墙将允许客户端进行访问。

 

 

选择将此规则应用到“所有出站通讯”，所有出站通讯指的是使用任意协议对外网进行访问。

 

 

接下来要设置通讯源，如下图所示，点击“添加”，在网络中选择“内部”，然后点击“添加”，这样“内部”就成了规则的访问源。再用同样方法，将“本地主机”设置为访问源，这是为了测试方便，我们特意允许 ISA 服务器也能访问互联网。

 

 

设置好通讯源后，点击下一步。

 

现在该设置通讯目标了，我们将通讯目标设定为“外部”网络。

 

 

用户我们则选择“所有用户”，注意，所有用户中包括未经身份验证的用户。

 

 

如下图所示，规则创建完毕。这条规则用通俗的话解释，就是凡是由内网计算机或 ISA 本机发起的访问外网的请求，无论是什么时间，无论使用什么协议，无论是哪些用户， ISA 一律允许。怎么样，这个规则很宽泛吧。

 

 

如下图所示，点击“应用”，使规则生效。好了，我们可以开始客户机访问测试了。

 

 

一 Web 代理

客户机使用 ISA 提供的 Web 代理就可以很方便地用浏览器访问互联网。 Web 代理设置起来很容易，以 IE 浏览器为例，在客户机上打开 IE ，依次点击 工具－ Internet 选项－连接－局域网设置，如下图所示。我们将代理服务器设置为 ISA 内网网卡的 IP ，端口为 8080 。这下大家就明白了为什么安装 ISA2006 时要求服务器上不能有进程占用 8080 端口，因为 8080 端口被 ISA 用于为内网用户提供 Web 代理服务。