彻底剖析ISAServer客户端及配置<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
最近由于我儿子的出世,事情多了好多,也将《彻底剖析ISAServer客户端及配置》此片博文拖延了好久,这篇博文也足足让我写了一周时间,为此让经常看我博文的博友感到很抱歉,毕竟好长时间没有更新我博客的博文了。对于《彻底剖析ISAServer客户端及配置》此片博文如果文中有错误的地方还请各位博友给我指点出来,我很乐意与各位博友讨论和分享。
ISA Server支持Web代理客户端、SecureNAT客户端与防火墙客户端等三种客户端,我在这里将介绍它们的差异与如何来配置这些客户端。
î
ISA Server客户端概述
î
ISA Server的配置
î
“Web代理客户端”的配置
î
“SecureNAT客户端”的配置
î
“防火墙客户端”的配置
î
自动发现
î
验证用户身份
î
自动安装Microsoft Firewall Client
î
选择适当的客户端
一、ISA Server客户端概述
ISA Server支持三种不同的客户端,它们分别有着不同的配置,支持的网络协议也有所不同,还有与ISA Server之间也有着略微不同的沟通方式。
下图为这三个客户端与ISA Server防火墙之间的关系图。ISA Server防火墙通过防火墙服务与筛选器,来决定是否让客户端可以访问因特网的资源。同时ISA Server防火墙也通过图中的Web代理筛选器将网页与FTP对象保存到缓存区。
![](https://i-blog.csdnimg.cn/blog_migrate/4601f2fbe6ec1e2bec941a0dbf61491c.jpeg)
î
Web
代理客户端
Web
代理客户端只能利用网页应用程序(例如浏览器)访问因特网的
HTTP
、
HTTPS
与
FTP
对象。
Web
代理客户端是将请求传递给
ISA Server
的连接端口的
8080
而当
ISA Server
接收到
Web
代理客户端的请求后,会将此请求委托防火墙服务来决定是否允许。
ISA Server
防火墙会从缓存区来读取
Web
代理客户端所请求的对象,而且也会将从因特网取得的对象保存到缓存区。
î
SecureNAT
客户端
SecureNAT
客户端能过通过
ISA Server
来访问因特网的
TCP
、
UDP
、
HTTP
、
HTTPS
、
FTP
与其他网络协议的资源。
SecureNAT
客户端是利用默认网关将请求传递给
ISA Server
,而当
ISA Server
接收到
SecureNAT
客户端的请求后,会先利用
NAT driver
(
Network Address Translation driver
)将数据包的源地址转换一个对外有效的
IP
地址,然后再将此请求转交给防火墙服务,并搭配适当的筛选器,来决定是否允许此请求。
î
防火墙客户端
这些客户端必须另外安装
Microsoft Firewall Client
。防火墙客户端是将
HTTP
请求传递给
ISA Server
的连接端口
8080
,将非
HTTP
请求传递给
ISA Server
的连接端口
1745
,而当
ISA Server
接收到防火墙客户端请求后,会将此请求转给防火墙服务,并搭配适当的筛选器,来决定是否允许此请求。
下表列出各个客户端的基本差异,我们还会在后面详细说明其他差异点。
|
Web
代理客户端
|
SecureNAT
客户端
|
防火墙客户端
|
支持的操作系统
|
所有操作系统
|
所有操作系统
|
只支持
Windows
操作系统
|
支持的网络协议
|
HTTP
、
HTTPS
、
FTP
|
TCP
、
UDP
、
HTTP
、
HTTPS
、
FTP
与其他
|
TCP
、
UDP
之
Winsock
应用程序
|
是否需要额外安装软件
|
否,但是需要浏览器配置
|
否,但是需要网络配置
|
是
|
验证用户身份-HTTP
|
是
|
只有
×××
客户端
|
是
|
验证用户身份-非HTTP
|
不支援访问
|
只有
×××
客户端
|
是
|
注:此处的HTTP
泛指HTTP
、HTTPS
与FTP
,除此之外,我在后面内容中也会常用网页对象来代表HTTP
、HTTPS
对象。
二、
ISA Server
的配置
我们需要在
ISA Server
创建规则来开放内部网络用户可以访问外部网站。
(一)、防火墙规则的开放
第一步:如下图所示,单击“防火墙策略”
→
单击右边“任务”标签处的“创建访问规则”。
![](https://i-blog.csdnimg.cn/blog_migrate/357da8edb8672d58d71e827228372a5c.jpeg)
第二步:在“欢迎实用新建访问规则向导”画面中为此访问规则命名,例如允许内部与本地主机访问外部网站。
![](https://i-blog.csdnimg.cn/blog_migrate/705f01cfc1df7f62d9650ea4b9e697b8.jpeg)
第三步:在下图中选择“允许”后单击“下一步”。
![](https://i-blog.csdnimg.cn/blog_migrate/02b894392d83b64e58a76a645294231b.jpeg)
第四步:在下图中选择此规则要应用到的协议,由于我们只要开放连接网站,因此请选择“所选的协议”
→
单击“添加”按钮。
![](https://i-blog.csdnimg.cn/blog_migrate/512a824f35e4d35521a3df4654561232.jpeg)
第五步:在下图中一次选择
HTTP
,单击“添加”按钮
→
选择
HTTPS
,单击“添加”按钮
→
单击“关闭”按钮。
![](https://i-blog.csdnimg.cn/blog_migrate/a068985c5397142312daf03b680e67f0.jpeg)
第六步:在下图中单击“下一步”。
![](https://i-blog.csdnimg.cn/blog_migrate/7427438dc997827fb59be758182495ce.jpeg)
第七步:在下图中选择此规则的“应用来源”,由于目前我们要让
ISA Server
计算机本身和
ISA Server
客户端上网,因此选择“本地主机”和“内部”。
![](https://i-blog.csdnimg.cn/blog_migrate/012cc1933f0be1ff6a6fd009cc69141f.jpeg)
第八步:在下图中将此规则的“应用目的地”设置为“外部”,也就是允许访问外部所有的网站。
![](https://i-blog.csdnimg.cn/blog_migrate/c27280c00feb904ebeeddeb5a20d454b.jpeg)
第九步:在下图中单击“下一步”,以便将此原则应用到所有的用户。
![](https://i-blog.csdnimg.cn/blog_migrate/2aff953037e938a275c8abe29d3075c8.jpeg)
第十步:如下图在正在“完成新建访问规则向导”画面中点击“完成”。
![](https://i-blog.csdnimg.cn/blog_migrate/a92e4ea1034c24d63f42a008fe13789b.jpeg)
第十一步:在下图中单击“应用”。
![](https://i-blog.csdnimg.cn/blog_migrate/4ff316ba787316fb2d9a41c645aeddc3.jpeg)
完成设置后,这些设置会被保存到配置存储服务器(
CSS
)内,而
ISA Server
会定期(默认为
15
秒)检查与应用
CSS
内的最新更新(我这里实验环境中
ISA Server
与
CSS
是同一台计算机),阵列中每一台
ISA Server
也都会将这些设置保存一份到其计算机内,并保持与
CSS
同步,如下图所示
.
![](https://i-blog.csdnimg.cn/blog_migrate/df7c62b47e8e24cede27105e228455f1.jpeg)
(二)、确认可接受“
Web
代理客户端”的请求
除了开放规则之外,还必须确认
ISA Server
是否会接收内部网络
Web
代理客户端的请求,确认的步骤如下:
第一步:如下图所示选择“网络”
→单击
“网络”标签
→
双击“内部”网络。
![](https://i-blog.csdnimg.cn/blog_migrate/9445690ef1af0e2d14abcae3e1c4aa5c.jpeg)
第二步:确认下图中“为此网络启用
Web
代理客户端连接”已经选中。
![](https://i-blog.csdnimg.cn/blog_migrate/b4e0e5a765d715add45216ac20f682ba.jpeg)
注:有上图中可以看出ISA Server
提供Web
代理服务的连接端口号为8080
,如果内部网络中有其他软件使用到这个连接端口,请此软件停用或变更连接端口号,以免互相冲突。
三、“
Web
代理客户端”的配置
所有的操作系统(例如
winxp
、
vista
等)都可以扮演
Web
代理客户端的角色,不过只支持
HTTP
、
HTTPS
与
FTP
网络协议。
ISA Server
默认通过连接端口
8080
来侦听
Web
代理客户端的请求,当
ISA Server
收到
Web
代理客户端访问因特网网页或
FTP
对象的请求时,会由防火墙服务来决定是否允许此请求,如果允许,接下来会通过网页代理筛选器来检查缓存区是否有客户端所需的对象,如果有,防火墙服务会将此对象传递给客户端,如果没有,则上网下载此对象,并通过网页代理筛选器将下载的对象保存到缓存区。
需要在
Web
代理客户端的应用程序内指定
ISA Server
当作是代理服务器,该应用程序才会将访问因特网网页与
FTP
对象的请求,传递给
ISA Server
的连接端口
8080
。以内部网络中的
Bahmas
客户端与浏览器
Internet Explorer
为例,其配置步骤如下所示:
第一步:先择“开始”
→
Internet Explorer
→
选择“工具”菜单
→
“
Internet
”选项。
第二步:在下图中选择“连接”标签
→
单击“局域网设置”按钮。
![](https://i-blog.csdnimg.cn/blog_migrate/030b180abf7a68c732167ce1deb7fe21.jpeg)
第三步:在下图中的选项输入
ISA Server
内网卡的
IP
地址
192.168.0.200
与连接端口
8080
,并且勾选“对本地地址不使用代理服务器”这样可以加快对本地资源的访问。
![](https://i-blog.csdnimg.cn/blog_migrate/8c54d720bc27a6cdfd78ad9e0cf1ebcc.jpeg)
注:只要我们在ISA Server
外网卡上填上公网的DNS
,此时我们这台客户端就能访问网页了。
四、“
SecureNAT
客户端”的配置
所有操作系统都可以扮演
SecureNAT
客户端,并且支持
TCP
、
UDP
、
HTTP
、
HTTPS
、
FTP
与其他网络协议。如果要将内部或
DMZ
网络内的服务器,例如电子邮件服务器,网站服务器、网站等,发布给因特网用户,请将这台服务器配置为
SecureNAT
客户端。
(一)、“
SecureNAT
客户端”的配置
请将
SecureNAT
客户端的默认网关指定到
ISA Server
内网卡的
IP
地址,以便客户端将对外的数据包传递到
ISA Server
,也可以将它指定到其他路由器,但是该路由必须会将数据包传递到
ISA Server
内网卡。
除此之外,请将
SecureNAT
客户端的首选
DNS
服务器指定到公司内部的
DNSfwuuqi
或者因特网上任何一台可以正常运作的
DNS
服务器,以便通过
DNS
服务器来解析
DNS
主机名。(二)、开放
DNS
流量
SecureNAT
客户端在解析
DNS
主机名时,如果需要通过
ISA Server
来向外部查询,就需要在
ISA Server
开放从内部网络来的
DNS
流量能够通过。开放
DNS
流量的步骤如下所示:
第一步:在
ISA Server
服务器管理单击“防火墙策略”
→
单击右边“任务”标签处的“创建访问规则”。
![](https://i-blog.csdnimg.cn/blog_migrate/cab9ec0a36f952cc23299b411f11e639.jpeg)
第二步:在“在欢迎使用新建访问规则向导”画面中为此规则命名。
![](https://i-blog.csdnimg.cn/blog_migrate/19dc0ad7c6d2265ab2c245b3fe7ddf72.jpeg)
第三步:在下图中选择“允许”
→
单击“下一步”
→
“所选的协议”
→
单击“添加”按钮。
![](https://i-blog.csdnimg.cn/blog_migrate/405d1bae11f6ce791983e3e1acd1f949.jpeg)
第四步:在下图中选择
DNS
→
单击“添加”、“关闭”、“下一步”。
![](https://i-blog.csdnimg.cn/blog_migrate/f2f06dcadcc8f96e98d37254bd95c5d7.jpeg)
第五步:在下图中选择此规则的应用来源,由于我们要让内部网络所有计算机的
DNS
请求通过
ISA Server
防火墙,因此这里选择“内部”。
![](https://i-blog.csdnimg.cn/blog_migrate/7b0a45ad5ae860e132f12e81cbc239d3.jpeg)
第六步:在下图中选择此规则的应用目标,在这里我们选择“外部”,也就是允许向外部所有的
DNS
服务器查询。
![](https://i-blog.csdnimg.cn/blog_migrate/a456f5a24be4e214c731d604dcb41509.jpeg)
第七步:在“用户集”画面直接单击“下一步”,以便将此规则应用到所有用户。
第八步:在正在“完成新建访问规则向导”画面中单击“完成”。
第九步:回到
ISA Server
服务器管理控制台单击“应用”后单击“确定”。
![](https://i-blog.csdnimg.cn/blog_migrate/d917817bd047cc72f930818222ba55ab.jpeg)
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
完成上述所有配置后,现在就可以利用这台
SecureNAT
客户端计算机上网测试,此时
Bahamas
客户端就可以通过
ISA Server
下载所需的网页对象了。
注:我们在前面只开放了让内部网络客户的
DNS
请求可以通过
ISA Server
防火墙,但是并未包含
ISA Server
这台计算机(本地主机),然后经过实际的测试,却发现
ISA Server
这台计算机的
DNS
流量也可以通过
ISA Server
防火墙,为什么呢?其实是因为内置的系统策略已经开放了部分流量,其中包含了允许
ISA Server
防火墙这台计算机的
DNS
流量可以进出所有网络。我们可以通过如下图所示选择“防火墙策略”
→
选择“任务”标签标签
→单击“现实系统策略规则”来查看。
![](https://i-blog.csdnimg.cn/blog_migrate/f164d009b8e91c8ee3f5b599990e9a57.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/2636542a2b94b98940fa56ec19a77680.jpeg)
(三)、将“
SecureNAT
客户端”配置成“
Web
代理客户端”
只要
SecureNAT
客户端的网页应用程序将访问网页的请求,传递给
ISA Server
连接端口
8080
(也就是将
ISA Server
当作代理服务器),
ISA Server
就会把它视为
Web
代理客户端。以
Internet Explorer
来说,将
ISA Server
指定为代理服务器的方法
Web
代理客户端相同,配置完成后,客户端的
Internet Explorer
会将访问因特网页对象的请求,传递给
ISA Server
连接端口
8080
,并由网页代理筛选器处理缓存事宜,然而客户端访问其他对象(非网页与非
FTP
对象)时,还是直接通过默认网关来传递给
ISA Server
。
例:我在客户端的
Internet Explorer
内指定将
ISA Server
当作代理服务器,不过在
FireFox
内并没有将
ISA Server
配置为代理服务器,此时如果我们分别用
Internet Explorer
与
FireFox
上网,那么我的计算机是
SecureNAT
客户端?还是
Web
代理客户端呢?对
ISA Server
来说,
Internet Exporer
这个连接被视为
Web
代理客户端,但是
FireFox
这个连接则被视为
SecureNAT
客户端。
五、“防火墙客户端”的配置
客户端必须是
Windows
品尼高台才可以扮演防火墙客户端的角色,而且还要安装
Mircosoft Firewall Client
软件。
(一)、“防火墙客户端”配置
防火墙客户端的
TCP/IP
只需要配置
IP
地址与子网掩码即可,可以不需要配置默认网关与
DNS
服务器。
î
安装
Microsoft Firewall Client
客户端安装
Microsoft Firewall Client
后,当客户端
Winsock
应用程序请求与其他网络的计算机沟通时,会由
Microsofte Firewall Client
负责将此请求传递给
ISA Server
,但是如果要否通对象是内部网络其他计算机,则此沟通请求不会传递给
ISA Server
。
请先在
ISA Server
创建规则来开放
NetBIOS
会话、
NetBOIS
名称服务、
NetBIOS
数据包三个网络协议,方向为从内部网络到本地主机,否则防火墙客户端无法解析
ISA Server
的计算机名,无法检测到
ISA Server
。请大家参照下图进行创建规则,我在这里就罗嗦了。
![](https://i-blog.csdnimg.cn/blog_migrate/2d8a94fde0f3ecd17de3a8fecf591c15.jpeg)
Microsofte Firewall Client
软件是放在
ISA Server CD
的
Client
文件夹内,请在防火墙客户端执行此文件夹内的
setup.exe
程序,安装过程中到了下图画面时,请改为手动选择欲连接的
ISA Server
,也就是选择图中的“连接到此
ISA
服务器计算机”,然后输入
ISA
服务器的主机名或
IP
地址,例如图中
192.168.0.200
为
ISA Server
内网卡的
IP
地址。
![](https://i-blog.csdnimg.cn/blog_migrate/5ef6468f83826bad025193dc7a3e5edc.jpeg)
î
“防火墙客户端”默认也是“
Web
代理客户端”
当防火墙客户端安装好了,系统自动会在浏览器
Internet Explorer
内将
ISA Server
配置为代理服务器,也就是客户端利用
Internet Explorer
访问因特网的网页与
FTP
对象时,该客户端会被视为
Web
代理客户端。可以在此客户端计算机上通过以下方法来查看这个配置:“开始”
→
Internet Explorer
→
“工具”菜单
→
“
Internet
选项”
→
“连接”标签
→
单击“局域网设置”按钮,如下图所示,图中的网址
china-ISA
是
ISA Server
的计算机名,它对应到
ISA Server
内网卡的
IP
地址
192.168.0.200
。
![](https://i-blog.csdnimg.cn/blog_migrate/4bb14d5e92af939f6e3f3368824479d2.jpeg)
注:对于ISA Server
来说,只要客户端应用程序是将访问因特网的请求传递给ISA Server
连接端口1745
,这个客户端就是防火墙客户端。
î
确认可接受“防火墙客户端”的请求
我们必须确认
ISA Server
是否已经可以接收内部网络防火墙客户端访问因特网的请求,确认的步骤为如下图所示双击网络之下的“内部”网络
→
确认“启用次网络的防火墙客户端支持”已经选中(这是默认值)。
![](https://i-blog.csdnimg.cn/blog_migrate/5722baabfecaa60f8295c0a98926bc10.jpeg)
完成上述之后,现在可以测试看看这台防火墙客户端是否可以通过
ISA Server
来正常访问因特网的资源,比如连接外部网站来进行测试。
(二)、内部网络计算机的定义
当防火墙客户端的
Winsock
应用程序请求与其他网络的计算机沟通时,会由
Microsoft Firewall Client
负责将此请求传递给
ISA Server
,但是如果沟通对象是内部网络的其他计算机,则此请求并不会传递给
ISA Server
。
这里所谓的内部网络的其他计算机是指定义在内部网络的
IP
地址与域,如下图所示(在
ISA Server
管理控制台内选择“配置”处的“网络”
→
双击“内部网络”即可找到此画面了),可以自定义
IP
地址与域。例如图中定义在“地址”标签处的
IP
地址为
192.168.0.0
~
192.168.0.255
,这些
IP
地址都是属于内部网络的
IP
地址;而定义在“域”标签处的为
zhp.com
,表示所有主机名后缀为
zhp.com
的计算机都是属于内部网络计算机,而如果只要指定单一计算机,则只要输入该计算机的
DNS
名即可。
![](https://i-blog.csdnimg.cn/blog_migrate/ef8e0e5ddff5687a9dfbeb75c7ce0f45.jpeg)
注:在完成上述配置后,防火墙客户端默认会每隔6
小时自动下载这些配置。也可以重新启动防火墙客户端计算机或者在防火墙客户端计算机双击屏幕右下角Microsoft Firewall Client
图标,然后单击下图中的“测试服务器”或“立即检测”按钮。
![](https://i-blog.csdnimg.cn/blog_migrate/64ba229a46c2202a3797a929d6c06cdf.jpeg)
转载于:https://blog.51cto.com/zhouhaipeng/113412