詳 解ISA2006三種客戶端
上一篇我們介紹瞭如何部署ISA2006,本文我們要讓部署好的ISA來幹活了。ISA能幹什麼活?從字面意思看,ISA的意思是互聯網安全加速器,安全指的是防火牆功能,加速器則是代理服務器功能。今天我們就要部署ISA的代理服務器功能,看看內網用戶如何利用ISA來訪問互聯網。
ISA的代理服務支持三種客戶端,分別是:
Web代理客戶端
防火牆客戶端
SNAT客戶端
我們搭建一個實驗環境測試三種客戶端的具體應用,實驗拓撲如下圖所示,Beijing安裝了ISA2006標準版,Perth是內網客戶機。
因爲ISA默認的防火牆策略是拒絕 一切通訊,所以實驗之前我們需要先在ISA上創建一條訪問規則,允許內網用戶訪問互聯網。由於當前的主要目的是測試ISA的代理服務器功能,因此我們在防火牆上暫時不做任何限制。在Beijing上依次點擊 開始-程序-Microsoft ISA Server-ISA服務器管理,如下圖所示,右鍵點擊防火牆策略, 選擇新建“訪問規則”。
給新建的訪問規則取名爲“允許內網用戶任意訪問”,如下圖所示。
設置當客戶端的訪問行爲與規則設定匹配時,防火牆將允許客戶端進行訪問。
選擇將此規則應用到“所有出站通訊”,所有出站通訊指的是使用任意協議對外網進行訪問。
接下來要設置通訊源,如下圖所示,點擊“添加”,在網絡中選擇“內部”,然後點擊“添加”,這樣“內部”就成了規則的訪問源。再用同樣 方法,將“本地主機”設置爲訪問源,這是爲了測試方便,我們特意允許ISA服務器也能訪問互聯網。
設置好通訊源後,點擊下一步。
現在該設置通訊目標了,我們將通訊目標設定爲“外部”網絡。
用戶我們則選擇“所有用戶”,注意,所有用戶中 包括未經身份驗證的用戶。
如下圖所示,規則創建完畢。這條規則用通俗的話解釋,就是凡是由內網計算機或ISA本機發起的訪問外網的請求,無論是什麼時間,無論使用什麼協議,無論是哪些用戶,ISA一律允許。怎麼樣,這個規則很寬泛吧。
如下圖所示,點擊“應用”,使規則生效。好了,我們可以開始客戶機訪問測試了。
一 Web代理
客戶機使用ISA提供的Web代理就可以很方便地用瀏覽器訪問互聯網。Web代理設置起來很容易,以IE瀏覽器爲例,在客戶機上打開IE,依次點擊 工具-Internet選項-連接-局域網設置,如下圖所示。我們將代 理服務器設置爲ISA內網網卡的IP,端口爲8080。這下大家就明白了爲什麼安裝ISA2006時要求服務器上不能有進程佔用8080端口,因爲8080端口被ISA用於爲內網用戶提供Web代理服務。
默認情況下ISA已經啓用了Web代理服務,如果不放心可以檢查一下。打開“ISA服務器管理”,展開 配置-網絡-內部,查看內部網絡的屬性,切換到 “Web代理”標籤,如下圖所示,我們發現ISA的Web代理服務已經在8080端口啓動了。
在客戶端測試一下,如下圖所示,我們在客戶機上成功地使用Web代理訪問了互聯網上的網站。
下圖是客戶機的TCP/IP設置,我們發現,客戶機並沒有設置DNS參數,那客戶機訪問網站時怎麼解析域名呢?答案是轉發至ISA服務器由ISA進行解析。
Web代理配置簡單,但功能也受限制,用戶 只能以瀏覽器作爲客戶端對互聯網進行訪問。
二 防火牆客戶端代理
由於Web代理只能使用瀏覽器訪問 互聯網,功能不夠全面,因此微軟在ISA中提供了防火牆客戶端代理。用戶只要安裝防火牆客戶端軟件,就能通過ISA的防火牆客戶端代理訪問所有基於Winsock的網絡服務。那該怎麼安裝防火牆客戶端軟件呢?這個軟件在ISA2006安裝光盤的\Client目錄下,我們將Client目錄複製到ISA服務器的硬盤上,然後將目錄共享,共享名爲Mspclnt(和老版本的ISA保持一致),如下圖所示。
客戶機訪問\\beijing\mspclnt,運行Setup.exe,如下圖所示。
出現防火牆客戶端的安裝嚮導,點擊下一步。
同意軟件許可協議,點擊下一步。
選擇軟件安裝文件夾,我們取默認值。
指定ISA服務器,用計算機名或IP均可。
準備開始安裝。
安裝過程很快完成。
安裝結束後,我們測試一下客戶機和服務器之間的通訊狀況。雙擊客戶機桌面右下角的防火牆客戶端圖標,在 程序界面中切換到“設置”標籤,如下圖所示,點擊“測試服務器”。
如果測試結果如下圖所示,那就代表防火牆客戶端和服務器之間的通訊正常。
接下來準備測試客戶機使用防火牆客戶端訪問互聯網,在測試之前,先在客戶機的瀏覽器中取消Web代理設置,如下圖所示。因爲如果同時使用Web代理和防火牆客戶端,訪問網站時優先使用Web代理。
用瀏覽器訪問微軟網站進行測試,如下圖所示,OK,防火牆客戶端工作正常。同時應注意,防火牆客戶端也具有DNS轉發功能。
三 SNAT客戶端
微軟推薦用戶使用Web代理和防火牆代理,因爲這兩種方式都支持用戶身份驗證。但Web代理的功能有限,而防火牆客戶端需要在微軟操作系統上安裝,因此如果用戶使用Linux等系統,就只能選擇ISA的SNAT代理了。SNAT代理其實是Win2003的路由和遠程訪問組件所提供的功能,ISA安裝之後接管了路由和遠程訪問,客戶機使用SNAT代理是很方便的,只需將默認網關指向ISA的內網IP即可。如果配合DHCP服務器就更簡單了,客戶機無需任何設置。
客戶機嘗試SNAT之前先將防火牆客戶端關閉,點擊桌面右下角的防火牆客戶端圖標,如下圖所示,取消“啓用Microsoft Firewall Client for ISA Server”,這樣就可以把防火牆客戶端功能禁用了。
設置客戶機的TCP/IP屬性,將默認網關設置爲防火牆內網IP,注 意,要設置DNS參數,SNAT服務器不具有DNS轉發功能。
如下圖所示,用SNAT訪問互聯網也很輕鬆。
總結:ISA的三種客戶端都能提供訪問互聯網的功能,Web代理只允許用戶使用瀏覽器訪問互聯網,而防火牆客戶端和SNAT則沒有功能方面的限制。如果需要對用戶進行身份驗證,Web代理和防火牆客戶端就可以大顯身手了,事實上,微軟推薦用戶同時使用Web代理和防火牆客戶端。爲什麼不單獨使用防火牆客戶端呢?因爲Web代理可以使用ISA緩存,真正起到加速作用。如果你希望爲用戶上網提供儘可能的便利,而且你也不願意去設置客戶端的瀏覽器或在客戶機上安裝什麼客戶端軟 件,那麼SNAT必然是你的最愛,只需配好DHCP就一切OK了。最後要提醒大家的是,Web代理和防火牆代理都有DNS轉發功能,而SNAT則不存在這個問題。
本 文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處 http://yuelei.blog.51cto.com/202879/8345
本文出自 51CTO.COM技術博客