紧接上面的环境,这篇文章为大家配置ISA Server允许来自ISA服务器本身的出站访问。
      在ISA服务器Paris计算机上,尝试建立与istanbul.fabrikam.com的FTP会话,测试连通性。如下,打开一个命令提示符窗口,在命令提示符下键入ftp istanbul.fabrikam.com,然后回车查看状态
51
等下会出现如图上的提示,这个 ftp 命令超时(“无法连接主机”)。在默认情况下,ISA Server不允许从ISA Server到Internet的FTP连接。如果想要实现本地网络到Internet的访问,需要建立一条访问规则。如下,新建一个访问规则,名称为“允许来自防火墙的FTP”,下面步骤见下图
52
53
54
注意,这里的访问规则源(“从”),选择“本地主机”(ISA是以网络划分界限的,本地主机就是ISA本身)。
55
56
57
58
建完规则,确定后我们再来测试下,重新输入ftp istanbul.fabrikam.com,这次可以登录进去了,具体如下
59
Istanbul 的 FTP 服务器提示您登录。这表明您可以使用 FTP 协议进行连接60
注意:ISA Server使用防火墙策略规则来定义任意确定网络间的访问,包括进出 ISA Server计算机本身(本地主机网络)的通讯。
显示防火墙策略中的“系统策略规则”(在ISA服务器控制台选择“防火墙策略”,在右侧的任务窗格的“任务”选项卡中单击“显示系统策略规则”或者是“右击防火墙策略—查看—显示系统策略规则”)。在右侧窗格中将显示30种预定义的到本地主机网络或来自本地主机网络的访问规则。注意:ISA Server 2006 Enterprise Edition拥有 4 种额外的系统策略规则(31到34),这些规则专门用于进出 ISA Server阵列的通讯。
61
通过打开IE,并连接到istanbul.fabrikam.com,Internet Explorer无法连接到这个Web站点(错误 403 禁止 – ISA Server拒绝指定的URL)
62
但是如果是ping istanbul.fabrikam.com,这样是可以建立连接的。
63
系统策略规则18、19、23、26、29和30都允许从ISA Server(本地主机)的传出Web访问 (HTTP)。
64
65
但是,规则23、26和30仅适用于特定的目标(watson.microsoft.com、microsoft.com、windows.com、windowsupdate.com以及远程管理计算机)。
66
规则23允许到达的目标网络范围,
67
规则26允许到达的目标网络范围,
68
规则30允许到达的目标网络,
69
而且一般规则18、19 和29 是禁用的,除非:下载最新的证书吊销列表 (CRL)(18);创建用于监视的 HTTP 连接性检验程序 (19);或定义计划的下载工作 (29)。如果您希望允许从ISA Server到 Istanbul Web Server的传出Web 访问,那么您必须创建一个新的访问规则。在命令行提示符下,键入 ping denver.contoso.com能收到Istanbul的回复是因为系统策略规则12允许从ISA Server到所有网络的传出Ping。