一.ISA Server 2006 的部署方案
1 .边缘防火墙(堡垒主机)
* ISA Server 2006 使用两块网卡,一个连接“内部网络”,一个连接“外部网络”。
* “内部网络”代表公司的内部网络,使用私有IP地址。
* “本地主机”代表ISA Server 2006。
* “外部网络”代表Internet,使用公共IP地址。
* 配置简单,容易部署。
* 单点防护。
clip_p_w_picpath002
2 .三向防火墙
* ISA Server 2006 使用三块网卡,一个连接“内部网络”,一个连接“外围网络”,一个连接“外部网络”。
* “内部网络”代表公司中不希望被Internet访问的网络资源,使用私有IP地址。
* “本地主机”代表ISA Server 2006。
* “外围网络”(非军事化区,DMZ)代表公司中希望被Internet访问的网络资源(如:Web服务器,FTP服务器,邮件服务器),可以使用公共IP地址或私有IP地址。
* “外部网络”代表Internet,使用公共IP地址。
* 比“边缘防火墙”方案更安全。
* 单点防护。
clip_p_w_picpath004
3 .背对背防火墙(Back to Back
* 有两台ISA Server 2006,一个作为“前端防火墙”,一个作为“后端防火墙”。
* “前端防火墙”的外网卡连接Internet,内网卡连接“外围网络”。
* “后端防火墙”的外网卡连接“外围网络”,内网卡连接“内部网络”。
* 多点防护,更安全。
clip_p_w_picpath006 clip_p_w_picpath008
 
二. 客户端的类型
* ISA Server 2006支持三种客户端类型:NAT客户端
                                              防火墙客户端
                                              Web 代理客户端
* 一台计算机可以同时承担着一种、多种或全部的客户端类型。
1 .NAT 客户端
(1)特点
* 可以把所有的TCP/IP流量(包括:TCP/UDP和非TCP/UDP的流量(如:Ping(ICMP协议))送给ISA Server 2006,NAT 支持协议:广泛。
* 不能传递客户端的用户信息,不支持用户身份验证。
(2)配置方法
* 在一个没有路由器的网络中配置NAT客户端,应该把NAT客户端的默认网关配置为ISA Server 2006 计算机的内部网络接口的IP地址。
* 在一个具有路由器的网络中配置NAT客户端,应该把NAT客户端的默认网关配置为距离该客户端最近的路由器。管理员应配置该路由器把IP数据包通过ISA Server 2006 计算机转发到Internet。
2 .防火墙客户端
(1)特点
* 只能把所有TCP/UDP协议的流量送给ISA Server 2006,不能把非TCP/UDP的流量(如:Ping(ICMP协议))送给ISA Server 2006。
* 能够传递客户端的用户信息,支持用户身份验证。
* 仅支持Windows操作系统平台,不能在ISA Server 2006上安装防火墙客户端
* 会自动配置Web 代理,协议 除http https ftp 外,其他协议走1745端口
(2)配置方法
在客户机上安装“防火墙客户端”软件。
* 连接到ISA Server 2006 上的共享文件夹“client”(ISA Server 2006 光盘中)。
3 .Web 代理客户端
(1)特点
* 只能把所有的Web请求(HTTP、HTTPS和FTP)送给ISA Server 2006。
* 能够传递客户端的用户信息,支持用户身份验证。
(2)配置方法
在客户机上配置Web浏览器,在工具-->Internet选项—>连接-->局域网设置
 
clip_p_w_picpath001
填上 ISA Server 2006 的IP
 
三种客户端的比较
clip_p_w_picpath001[6]
若三种客户端都配置时,他们的优先级是:web最高 ,防火墙其次,NAT最低
1. 只允许使用web代理
方法:不共享客户端软件;要求身份验证。
2. 只允许使用防火墙
clip_p_w_picpath003