今天介绍如何利用ISA2006的代理服务,对防火墙内网用户实现统一的互联网接入。实验拓扑如下图所示:

snap2

ISA2006代理服务器支持三种客户端模式:

  1. web代理
  2. 防火墙客户端
  3. SNAT

计算机perth为内网用户IP:10.1.1.6/24,  为了能达到实验目的让虚拟机先能够正常上网,防火墙本身能访问互联网,物理机回路网卡的地址是192.168.11.1这是与虚机机通讯的,另一块地址是192.168.1.101这是连接互联网的物理机地址,网络地址转换NAT作用是地址汇总把内部所有的私有地址段都汇总为一个公共地址,来达到访问互联网的目的。

1.依此点击开始——程序——管理工具——路由和远程访问——右键配置并启用路由和远程访问,点击下一步。

snap1

2.选择网络地址转换NAT,点击下一步。

snap2 

3.意思利用哪个地址可以访问互联网,也就是外部接口选择物理机的地址,点击下一步。

snap3 

4.这里选择回路网卡192.168.11.1.点击下一步

snap4

5.点击下一步。

snap5

6.点击下一步。

snap6

7.点击完成。

snap7

8.现在就可以让虚机机上网了,但是Beijing为ISA 防火墙如果不对其进行相应的策略还是不能出去的如下图所示选择访问规则。

snap8

9.为访问规则取个名称,为了便于理解此规则是起什么作用的。

snap9

10.选择允许。

snap10

11.点击下一步。

snap11

12.选择本地主机为访问的发起者。

snap12 

13.是要到哪里去。选择添加——外部。

snap13 

14.选择所有用户。

snap16 

15.点击应用配置的策略才能生效。

snap17

16.点击确定。

snap18

17.防火墙可以正常上网了。

snap19

一:web代理。利用8080端口为内网用户提供web代理服务,所以此端口不要被占用。

1.配置内网用户perth的地址。注意这里默认网关和dns都不要填写啊。

snap20

2.点击连接——局域网设置。

snap21

3。勾选为LAN使用代理服务器,选择防火墙连接内网的网卡10.1.1.254端口是8080.代理配置完成。

snap22

4.在浏览器输入www.baidu.com怎么出现连接向导了。

snap23

5.打开IE在试试www.google.com结果出现了错误信息。这是为什么呢。

snap24 

6.原来我在防火墙策略在访问源中没有添加内部。

snap25

7。现在客户机可以通过ISA代理服务出去了。设置防火墙策略一定要注意,否则就事倍功半了。ISA为内网web客户端用户提供dns服务,ISA可以在web客户端的用户的硬盘做一个缓存,用户如果利用ISA的代理服务访问互联网时,ISA会直接调用web客户端的本地缓存,互联网加速器的加速就体现在这里主要是web客户端访问,web代理设置比较简单,缺点是功能单一用户只能在IE浏览器访问互联网。web代理客户机只支持微软操作系统。

snap26

二。防火墙客户端:防火墙客户端支持所有的Winsock应用程序,支持更多的网络应用,但是部署相对来说比较麻烦,需要在客户端装上一个防火墙客户端软件,在ISA2006光盘中的Client中微软推荐把防火墙安装程序放到文件服务器上便于用户安装。

1.安装  双击Client目录中的SETUP.EXE。

1snap27

2.点击下一步。

snap28

3.选择我接受许可协议。

snap29

4.点击下一步。

snap30 

5.输入防火墙连接内网的地址和防火墙的名称都可以。

snap31

6.点击安装。

snap32

7.安装完成。

snap33

8.打开防火墙客户端软件,选择设置。勾选启用。选择手动指定服务器键入ISA服务器的名称,点击测试服务器。

snap34

9.找不到服务器。

snap35

10.检查一下还是策略没有配置好,没有允许内部访问ISA。

snap39

11.现在服务器返回了真实的名称。证明客户端配置成功了。

snap40

snap41

三.SNAT:如果客户端使用的不是微软的操作系统,通过 ISA 代理服务器访问互联网就要使用此客户端模式了。由于ISA接管了路由和远程访问功能用户只要把网关指向连接内网的ISA服务器的网卡地址和设置dns参数就可以了,适合工作组环境,如果有DHCP配合就更加方便了。

1.不启用防火墙客户端。

snap42

2。配置网关和dns。

snap43

3.访问正常。

snap44