默认情况下ISA已经启用了Web代理服务,如果不放心可以检查一下。打开“ISA服务器管理”,展开 配置-网络-内部,查看内部网络的属性,切换到“Web代理”标签,如下图所示,我们发现ISAWeb代理服务已经在8080端口启动了。
 
 
在客户端测试一下,如下图所示,我们在客户机上成功地使用Web代理访问了互联网上的网站。
 

下图是客户机的TCP/IP设置,我们发现,客户机并没有设置DNS参数,那客户机访问网站时怎么解析域名呢?答案是转发至ISA服务器由ISA进行解析。
 
Web 代理配置简单,但功能也受限制,用户只能以浏览器作为客户端对互联网进行访问。
 
防火墙客户端代理
由于Web代理只能使用浏览器访问互联网,功能不够全面,因此微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在ISA2006安装光盘的\Client目录下,我们将Client目录复制到ISA服务器的硬盘上,然后将目录共享,共享名为Mspclnt(和老版本的ISA保持一致),如下图所示。
 
 
客户机访问\\beijing\mspclnt,运行Setup.exe,如下图所示。
 
 
出现防火墙客户端的安装向导,点击下一步。
 
 
同意软件许可协议,点击下一步。
 
 
选择软件安装文件夹,我们取默认值。
 
 
指定ISA服务器,用计算机名或IP均可。
 
 
准备开始安装。
 
 
安装过程很快完成。
 
 
安装结束后,我们测试一下客户机和服务器之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标,在程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。
 
 
如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯正常。
 
 
接下来准备测试客户机使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消Web代理设置,如下图所示。因为如果同时使用Web代理和防火墙客户端,访问网站时优先使用Web代理。
 
 
用浏览器访问微软网站进行测试,如下图所示,OK,防火墙客户端工作正常。同时应注意,防火墙客户端也具有 DNS 转发功能。
 
 


 

 
 
设置客户机的TCP/IP属性,将默认网关设置为防火墙内网IP注意,要设置 DNS 参数, SNAT 服务器不具有 DNS 转发功能。
 
 

 
总结:ISA的三种客户端都能提供访问互联网的功能,Web代理只允许用户使用浏览器访问互联网,而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证,Web代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为Web代理可以使用ISA缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件,那么SNAT必然是你的最爱,只需配好DHCP就一切OK了。最后要提醒大家的是,Web代理和防火墙代理都有DNS转发功能,而SNAT则不存在这个问题