图形详解ISA2006的三种客户端

ISA的意思是互联网安全加速器,安全指的是防火墙功能,加速器则是代理服务器功能。
ISA的代理服务器支持三种客户端:
1.WEB代理客户端;
2.防火墙客户端;
3.SNAT客户端。

下面我们先搭个环境测试三种客户端的具体应用,拓扑图如下:

环境搭好后,还要新建一条访问规则,因为防火墙默认的规则是拒绝一切通讯。因为本次目的是测试代理服务器的功能,所以防火墙上暂时不需要做限制。
下面在防火墙服务器Beijing上建一条宽松的访问规则,步骤如下:

建个宽松的规则“允许所有用户任意访问”,如下:

规则条件为“允许”:

选“所有出战通讯”(够宽松了):

添加源通讯(再宽松点,直接选任何地点就行):

同样,到(目标网络)也添加为“任何地点”:

用户集添加为“所有用户”:

点击下一步,完成。

最后“应用”一下防火墙策略:

一切OK,下面我们将开始客户机访问测试。

一、WEB代理客户端

客户机使用ISA提供的Web代理就可以很方便地用浏览器访问互联网。
Web代理设置起来也不难,用IE浏览器即可实现,具体步骤如下:

打开IE属性:

点下“连接”选项卡,打开“局域网设置”:

勾选代理服务器,配好地址(ISA服务器内网网卡)和端口(8080);ISA服务器上预留的8080端口现在发挥作用了。
默认情况下ISA服务器已经启用了Web代理,如果不放心可以再查看一下,在ISA服务器上打开BEIJING-配置-网络-内网-属性:



可以看到端口已经打开。再在客户机上访问外网已经成功!

Web代理配置简单,但功能也受限制,用户只能以浏览器作为客户端对互联网进行访问
再看客户机的TCP/IP设置,没有设网关和DNS:

没有DNS谁负责解析所访问的网站域名呢?答案是ISA服务器。因为WEB代理具有DNS转发功能,转发到ISA上,由它负责域名解析。

二、防火墙客户端

由于Web代理只能使用浏览器访问互联网,功能不够全面,因此微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。防火墙客户端在ISA2006安装光盘\Client目录下,可以把它共享出来,让客户机perth复制过去(或者在perth上直接用安装光盘装上),如下:

客户机访问ISA服务器:

打开Client:
打开,安装。

点击“下一步”

接受协议条款,继续下一步:

选取软件安装的文件夹,我们这里默认安装:

指定计算机名或者IP地址:

“安装”



完成后可测试下客户机和服务器的通讯情况,双击右下角的图标,打开设置选项卡,“测试服务器”:

检测完成,通讯正常,没有问题!

下面将WEB代理关掉,因为若同时使用WEB代理和防火墙客户端,WEB代理首先起作用。为了不影响测试,将WEB代理关了:

然后再访问外网sina,如下图所示,没问题!

同时要注意,防火墙客户端也具有DNS转发功能

三、SNAT客户端

微软推荐用户使用Web代理和防火墙代理,因为这两种方式都支持用户身份验证。


由于Web代理的功能有限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用Linux等系统,就只能选择ISASNAT代理了。SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,客户机使用SNAT代理是很方便的,只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了,客户机无需任何设置
在使用SNAT时先把防火墙客户端禁掉,如下取消“启用Microsoft Firewall Client for ISA Server
然后再配置客户机的TCP/IP,将网关指向ISA服务器内网IP。注意:DNS要配,SNAT不具有DNS转发功能。

设置完以后,再访问外网的sohu,SNAT也可搞定。

引用岳老师的经典总结:ISA的三种客户端都能提供访问互联网的功能,Web代理只允许用户使用浏览器访问互联网,而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证,Web代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为Web代理可以使用ISA缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件,那么SNAT必然是你的最爱,只需配好DHCP就一切OK了。最后要提醒大家的是,Web代理和防火墙代理都有DNS转发功能,而SNAT则不存在这个问题