ISA2006三种客户端
上一篇我们部署了ISA Server 2006标准版,今天我看看怎么让用户通过ISA来访问Internet。接下来我们就来部署一下ISA的代理服务器功能,ISA代理服务器有三种客户端:
1 web代理客户端
2 防火墙客户端
3 SNAT客户端
实验拓扑如下图所示,HK是内网工作站
![](https://i-blog.csdnimg.cn/blog_migrate/d237c77e65f5660aa93188c1b40e3d73.jpeg)
首先我们打开ISA的服务管理器,默认的防火墙策略是阻止一切通信,所以我们要新建一个防火墙策略来满足这次实验,为了测试代理服务器,我们对防火墙不做任何限制,一切通信统统放过。右击防火墙策略—新建—访问规则,如下图示
![](https://i-blog.csdnimg.cn/blog_migrate/dfaa5e0d420b77edc3ac691452087fe2.jpeg)
进入规则创建向导,填写访问规则名称
![](https://i-blog.csdnimg.cn/blog_migrate/48d6d2193a30522c455740eeba2f9e10.jpeg)
设置用户符合访问规则的操作为“允许”
![](https://i-blog.csdnimg.cn/blog_migrate/de5ee2f55685762fdf0acc50588b57e1.jpeg)
选择规则用到的协议,我们设置为“所有出站通讯”
![](https://i-blog.csdnimg.cn/blog_migrate/527b8df6579caf89037b867974a0e9b5.jpeg)
设置访问规则源,点击添加—网络把“内部”和“本地主机”都设成访问源,这样内网和ISA服务器都可以访问外网了!如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/62816474e9291b82204a46b90b9da0d0.jpeg)
访问规则将应用于指定的源的通讯
![](https://i-blog.csdnimg.cn/blog_migrate/1202e27bc23608a63641ae30373cf4e4.jpeg)
添加访问规则目标,我们添加“外部”
![](https://i-blog.csdnimg.cn/blog_migrate/8a146f62aeec7b840056cce43b11dc2d.jpeg)
将次规则应用于“所有用户”
![](https://i-blog.csdnimg.cn/blog_migrate/db9b1883de078b1626ce6fd47dbcf59c.jpeg)
完成访问规则向导,规则创建完毕
![](https://i-blog.csdnimg.cn/blog_migrate/9c0259e03e6b572cb5f40d9ed854dbb4.jpeg)
规则创建完毕后,点击应用,这个访问规则就生效了,不管是内网或是ISA服务器,所有的用户,所有的协议,都可以任意的访问外网啦,这是为了测试代理服务器嘛!!
1 web代理
客户机要使用ISA提供的web代理服务,我们还需要在客户机上做一些简单的设置就可以实现了,任意用户登录到HK这台客户机上,打开浏览器的Internet属性选择“连接”选项卡,单击局域网设置如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/14879d74aad613d7e66855d4f6d1afe4.jpeg)
在代理服务器地址里填写ISA服务器内网地址,和8080端口,这就为什么8080端口要空出来的原因,它要为内网用户提供web代理服务
![](https://i-blog.csdnimg.cn/blog_migrate/09e145e020892ab20bcaf2438523d505.jpeg)
ISA代理服务默认已经开启。在ISA服务器打开“ISA服务管理器”
打开配置-网络-内部,查看属性,点击web代理选项卡,web代理已经启动,如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/f1ce4882409cbf5422164b0690cbee42.jpeg)
接下来我们在客户机上打开IE浏览器测试一下,我们访问百度主页
如下图所示,web代理服务器运转正常
![](https://i-blog.csdnimg.cn/blog_migrate/2814ed9b750f64eab91947a2ce0d4751.jpeg)
web代理功能有限,只能通过浏览器来访问互联网
2 防火墙客户端
web代理功能有限,ISA还提供了防火墙客户端,用户只要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。防火墙客户端软件在,ISA的光盘里就可以找到,将Client目录复制到ISA服务器的硬盘上,然后将目录共享,共享名为“Mspclnt”。我们通过客户机访问共享文件夹,如下图所示,双击setup.exe执行安装
![](https://i-blog.csdnimg.cn/blog_migrate/ccae444521d2991f30e79f3ac196844a.jpeg)
启动安装防火墙客户端向导,如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/79c2c069caa6d2c529a5735f3e0d0341.jpeg)
同意许可协议,单击下一步
![](https://i-blog.csdnimg.cn/blog_migrate/5fc0360aff13c58e308bad40fc248942.jpeg)
选择目标文件,使用默认的就可以了
![](https://i-blog.csdnimg.cn/blog_migrate/48c7c8ec947feed5d2d99bb9b2632ec8.jpeg)
指定客户端要连接的ISA服务器,或者让其自动检测,我们选择手动填写ISA服务器的IP地址(填写主机名也可以)
![](https://i-blog.csdnimg.cn/blog_migrate/654316fbd5bfed3973438f7771eaaab7.jpeg)
向导就绪,点击“安装”
![](https://i-blog.csdnimg.cn/blog_migrate/202327a4513200a0cc4c5c1ca7b7a128.jpeg)
安装完成
![](https://i-blog.csdnimg.cn/blog_migrate/8d63a34a61a81af122a0defd8f25a9c5.jpeg)
打开防火墙客户端,测试于ISA服务器的链接状态,在设置选项卡里点击“测试服务器”
![](https://i-blog.csdnimg.cn/blog_migrate/041050c1ef6c175c2a764b50bd80c40b.jpeg)
测试结果如下图所示,防火墙客户端与ISA服务器通讯正常
![](https://i-blog.csdnimg.cn/blog_migrate/eff16514d35a1a4a6562a32404d63641.jpeg)
接下来我们此时一下,客户机是否可以访问外网(测试之前把web代理服务关掉)使用浏览器访问谷歌主页,如下图所示,访问成功,防火墙客户端正常运转
![](https://i-blog.csdnimg.cn/blog_migrate/cd06a2ce6858d94f2415092bc3e7f06e.jpeg)
3 SNAT客户端
SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,如果用户使用的事Mac或LInux系统,无法安装防火墙客户端,只要把网关设为ISA服务器内网IP就可以了。在测试SNAT之前我们要把防火墙客户端关闭,打开防火墙客户端,选择“设置”选项卡,去掉“启动Microsoft Firewall Client for ISA Server”的勾,这样防火墙客户端就被关闭了如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/53c076d2c67dcfbfc061771c3f95c171.jpeg)
接下来我们要配置客户机的网关,填写ISA服务器内网IP地址一定要填写DNS,SNAT不具有DNS转发功能,如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/8e9738367a98a7725e0becd2086e9c50.jpeg)
使用浏览器访问搜狐主页成功,如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/8105297b652708283590aebe916caac0.jpeg)
ISA的三种客户端就测试完毕了,他们功能各有特点,web代理可以使用ISA缓存,真正起到加速作用。防火墙客户端可以实现访问所有基于Winsock的网络服务。SNAT就是给懒人准备的啊,只要设置了网关和DNS就可以访问外网啦
转载于:https://blog.51cto.com/lvdaz/188225