ISA2006作为边缘防火墙默认的是不允许内网用户访问外网的,就像一条护城河将将城内、城外隔开。那么内网用户如何才能通过防火墙连接到外网呢?答案很简单,就是通过三种客户端。
那么,三种客户端究竟是什么呢?接下来我将为大家一一道来。
其一。SecureNAT 客户端 :通过将ISA2006作为默认网关,即可连接到外网。这种方法是最简单,也是ISA2006安装好后随即就能使用的方法。
其二。Firewall 客户端 :既然有了SecureNAT 客户端 的连接方式了,为何还需要防火墙客户端呢?事实上在于能否通过客户端用户身份验证,这是SecureNAT Client 客户端所不能做到的,因此,一旦管理员决定限制某些特定用户的连接访问,这时候允许访问的用户计算机上就必须安装防火墙客户端程序。提示:防火墙客户端与ISA Server 主机之间是通过1745连接的。
其三。 Web 代理 客户端 :要想让企业内部的用户只能通过浏览器来进行对外的连接通信或 是想让上网连接的速度效率更好吗? 要想实现这些,您就可以选用 Web 代理 客户端。因为它结合缓存服务,让用户上网速度大幅度提升。
好,说了这么多,下面我们就要开始我们的实验了。你做好准备了吗?
实验拓扑:
下面我们先来插个小曲。
打开ISA2006管理器,进入管理界面,单击左边框栏的“监视”,首先我们看到 “仪表板”,上面有多种仪表,我们可以通过这些仪表查看“连接程序”“警报”“服务”“会话”还有“系统性能”等。。。
下面来到“警报” 栏,可以查看服务运行状态等。。
打开“会话”栏,我们可以查看当前会话也可以从“编辑筛选器”查看自己想要查看的会话。
来到“服务”栏,看到一些服务正在运行。
下面来到“日志”栏,日志对于一个企业来说至关重要,要想查看日志在这显然轻而易举。
了解以上这些对我们以后管理ISA2006会有很大的帮助。
一. 配置SecureNAT 客户端。
A. 新建一条访问规则
B. 配置SecureNAT 客户端
A.新建访问规则
ISA2006刚安装好,默认的访问、发布或ping 命令都未启用。在这里我们稍微介绍一下什么是“访问规则”,什么是“发布规则”。所谓的“访问”就是所有的出站通讯即从内网到外网。所谓的“发布”就是所有的入站通讯即从外网到内网。
所以要想内网用户访问外网必须要建访问规则,下面我们就来建一条访问策略。右击“防火墙策略”,点中新建,选择 “访问规则”。
来到 “新建服务规则向导”,在服务规则名称栏输入自己容易识别的访问规则。在此我定义为“允许内网用户任意访问”,
服务规则有“允许”和“拒绝”两种。在此我们需要的是允许访问,选中“允许”,单击“下一步”继续,
来到访问协议设置面板,由于我们是要访问外网,所以在此我们选中“所有出站通讯”, 单击“下一步”继续,
访问规则是有方向性的,从源网络到目标网络,这里的“访问规则源”指的就是源网络,点击“添加”按钮,就可以添加网络范围了,
选择网络里面的“内网”,单击“添加”按钮,
访问规则源已添加完成。
下面开始添加访问规则目标。
添加“本地主机”,这里的“本地主机”指的是ISA2006服务器本身,单击“添加”按钮,
添加“外部”,这里的“外部”指的就是外部网络,单击“添加”按钮,
到这里访问规则目标已添加完成。
对于用户集我们先不做限制,选中“所有用户”
到此,访问规则已新建完成,点击“完成”
要想刚新建的防火墙规则生效,我们必须再点击“应用”。
B.配置SecureNAT 客户端
在“防火墙策略”\“任务”选项卡中的“定义IP首选项”选项,接着再切换到“IP路由”选项卡,可以看到IP路由默认是启用的。
先连接一下外网,在此我们将Istanbul 设为外网计算机,为内网用户提供Web服务。
在内网用户的IE浏览器中输入http://192.168.1.7,然后按回车。连接不到,这是为什么呢。其实很正常,虽然服务规则已建好的,但我们还未配置SecureNAT 客户端。
配置SecureNAT 客户端非常easy。只要将ISA2006的内网IP设置为默认网关即可。
我们可以在“开始”菜单下的“设置”_“控制面板”中找到“网络连接”,双击打开(或在桌面上的“网络邻居”右击找到“属性”,然后单击)选中“本地连接”右击,找到“属性”,在常规选项卡下的“连接使用项目”中找到“internet 协议 (TCP/IP)”双击打开,进入(TCP/IP)属性设置面板,我们只要将ISA2006的内网IP设置为网关即可,如图:
接下来我们再次输入外网Web服务器的ip ,回车。很好已经连接到外网了。!!!
万事带头难,即便SecureNAT 客户端配置非常简单,但只要坚持胜利的果实终究属于我们。先到这里,下篇我们再来讲解如何配置其他两种客户端,千万不要错过呀。。。。。。。。
