前几篇我们介绍了如何部署ISA2006以及ISA2006的一些功能。ISA的英文全称是Industry Standard Architecture,从我看过的一些关于ISA的资料上看它的大概意思是互联网安全加速器,安全指的是防火墙的功能,加速器则指的是代理服务器功能。今天我们就要部署ISA的代理服务器功能,看看内网用户如何利用ISA防火墙来访问互联网。
ISA的代理服务支持三种客户端,分别是:
一、SNAT客户端
二、Web代理客户端
三、防火墙客户端
做这个实验用到两台计算机。我们选择BEIJINGISA服务器,内网网卡IP10.1.1.254 外网网卡IPDHCP自动分配的为192.168.0.134,另一台计算机是用来做内网的客户机我们选择TIANJINIP10.1.1.3 大致的拓扑图如下:
 
详解ISA2006防火墙三种客户端代理与配置_加速器 
一、SNAT客户端
我们从三种客户端中最简单的一种开始介绍吧!ISA最简单的客户端是SNAT客户端。
SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,客户机使用SNAT代理是很方便的,只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了,客户机无需任何设置。SNAT代理没有DNS转发功能。所以在下面配置网卡的DNS时应手工输入DNS服务器的IP地址。长话短说,闲话少说。下面我们就开始今天的部署吧!
首先打开客户机TIANJIN的本地连接属性来配置IP地址、默认网关以及首选DNS服务器。
因为这是内网的主机所以IP我们就定义为10.1.1.3,默认网关是ISA服务器内网网卡的IP地址,DNS定义为外网网卡的DNS注意:必须设置DNS参数,否则上不了外网,因为SNAT代理没有DNS转发功能。如下图定义完成后点击确定退出本地连接属性。
详解ISA2006防火墙三种客户端代理与配置_休闲_02
 
配置完成后,我们在TIANJIN上来访问一下互联网。Ok!没问题利用SNAT代理很轻松的访问到了互联网。
详解ISA2006防火墙三种客户端代理与配置_防火墙_03
 
 
二、Web代理客户端
ISA连接外网的第二种客户端是“Web代理客户端”。 Web代理设置起来很容易,就是在客户机的IE浏览器属性中设置。首先我们把客户机的IP设为原来的IP 10.1.1.3,默认网关和DNS服务器的IP地址都不用设置。如下图的设置,设置完成后点击确定退出本地连接属性。注意:Web代理配置简单,但它的功能受限制,用户只能以浏览器作为客户端对互联网进行访问。
详解ISA2006防火墙三种客户端代理与配置_职场_04
 
然后在客户机上打开IE,依次点击 工具-Internet选项-连接-局域网设置,如下图所示。
详解ISA2006防火墙三种客户端代理与配置_职场_05
 
点开“局域网设置”后,我们将代理服务器设置为ISA服务器名称也可以设为ISA服务器内网网卡的IP,端口为8080。这下大家就明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口,因为8080端口被ISA用于为内网用户提供Web代理服务。
详解ISA2006防火墙三种客户端代理与配置_防火墙_06
 
默认情况下ISA已经启用了Web代理服务,如果不放心可以检查一下。打开“ISA服务器管理”,展开 配置-网络—内部,点击“内部网络”的属性
详解ISA2006防火墙三种客户端代理与配置_休闲_07
 
切换到“Web代理”标签,如下图所示,我们发现ISAWeb代理服务已经在8080端口启动了。呵呵
详解ISA2006防火墙三种客户端代理与配置_加速器_08
 
接下来我们在客户端TIANJIN上测试一下,看能不能上了外网。恩???怎么上不去了,这配置很正确啊!我反复检查了N遍,可是问题依旧存在。到底是哪的问题啊!
详解ISA2006防火墙三种客户端代理与配置_防火墙_09
让我百思不得其解。后来,终于功夫不负有心人,让我看到了一点蛛丝马迹。开始我一直在客户机上查找问题,后来在ISA服务器上一检查好像是ISA服务器的访问规则有问题。于是我又新建了一条访问规则。如下图
详解ISA2006防火墙三种客户端代理与配置_防火墙_10
 
创建访问规则名称
详解ISA2006防火墙三种客户端代理与配置_安全_11
 
选择“允许”
详解ISA2006防火墙三种客户端代理与配置_防火墙_12
 
协议类型为所有出站通讯
详解ISA2006防火墙三种客户端代理与配置_职场_13
 
从网络内部(本地主机)到网络外部
详解ISA2006防火墙三种客户端代理与配置_防火墙_14
 
详解ISA2006防火墙三种客户端代理与配置_加速器_15
 
 
下一步
详解ISA2006防火墙三种客户端代理与配置_加速器_16
 
Ok!完成访问规则的建立。
详解ISA2006防火墙三种客户端代理与配置_休闲_17
 
接下来点击应用来保存更改的配置。应用后点确定
详解ISA2006防火墙三种客户端代理与配置_加速器_18
 
最后再在客户机TIANJIN上来做一下测试。这次没问题,如下图所示,我们在客户机上成功地使用Web代理访问了百度的网站。
详解ISA2006防火墙三种客户端代理与配置_安全_19
 
三、防火墙客户端
接下来准备使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消Web代理设置,如下图所示。因为如果同时使用Web代理和防火墙客户端,访问网站时优先使用Web代理。具体配置如下图,配置完成后点击确定退出。
详解ISA2006防火墙三种客户端代理与配置_加速器_20
 
微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问外网了。那该怎么安装防火墙客户端软件呢?这个软件在ISA2006安装光盘的\Client目录下,我们在ISA服务器上打开ISA2006安装光盘,如下图所示。
详解ISA2006防火墙三种客户端代理与配置_职场_21
 
然后将“Client”文件夹复制到客户机TIANJIN上。
详解ISA2006防火墙三种客户端代理与配置_安全_22
 
复制完成后,我们打开“Client”文件夹,运行文件夹下的“setup.exe”程序。出现防火墙客户端安装向导后,点击下一步
详解ISA2006防火墙三种客户端代理与配置_职场_23
 
选择防火墙客户端安装路径
详解ISA2006防火墙三种客户端代理与配置_职场_24
 
指定ISA服务器。计算机名或IP地址都可以。
详解ISA2006防火墙三种客户端代理与配置_休闲_25
 
点击安装开始安装防火墙客户端。
详解ISA2006防火墙三种客户端代理与配置_职场_26
 
Ok!安装速度很快,几秒钟后防火墙客户端安装成功。
详解ISA2006防火墙三种客户端代理与配置_防火墙_27
 
安装结束后,我们来测试一下客户机和服务器之间的通讯状况如何?双击客户机桌面右下角的防火墙客户端图标详解ISA2006防火墙三种客户端代理与配置_安全_28在程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。
详解ISA2006防火墙三种客户端代理与配置_休闲_29
 
如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯是正常。注意:如果显示的是“解析名称服务器失败”那么就不能再进行下一步了。应该先排除现有的问题。主要检查IP地址、服务器名称和ISA服务器配置的访问规则。当然其他的问题也不能例外。
详解ISA2006防火墙三种客户端代理与配置_休闲_30
 
客户机与ISA服务器的通讯很正常,下面再来在客户端上访问一下互联网。看能不能访问到。Ok!没问题成功的访问到了51cto网页。
详解ISA2006防火墙三种客户端代理与配置_职场_31
 
 
虽然ISA的三种客户端都能提供访问互联网的功能;但是我更喜欢SNAT客户端,因为使用这种方法只需要配好DHCP就可以,不需要对客户机再做任何设置,另外web代理只允许 用户使用浏览器访问互联网,而防火墙客户端和SNAT则没功能方面的限制。但是Web代理和防火墙代理都有DNS转发功能,而SNAT代理却则不存在DNS转发功能。
总之来说还是SNAT客户端简单而且方便。