详 解
ISA2006
三种客户端
上一篇我们介绍了如何部署 ISA2006 ,本文我们要让部署好的 ISA 来干活了。 ISA 能干什么活?从字面意思看, ISA 的意思是互联网安全加速器,安全指的是防火墙功能,加速器则是代理服务器功能。今天我们就要部署 ISA 的代理服务器功能,看看内网用户如何利用 ISA 来访问互联网。
ISA 的代理服务支持三种客户端,分别是 :
Web
代理客户端
防火墙客户端
SNAT
客户端
我们搭建一个实验环境测试三种客户端的具体应用,实验拓扑如下图所示, Beijing 安装了 ISA2006 标准版, Perth 是内网客户机。
因为 ISA 默认的防火墙策略是拒绝 一切通讯,所以实验之前我们需要先在 ISA 上创建一条访问规则,允许内网用户访问互联网。由于当前的主要目的是测试 ISA 的代理服务器功能,因此我们在防火墙上暂时不做任何限制。在 Beijing 上依次点击 开始-程序- Microsoft ISA Server - ISA 服务器管理,如下图所示,右键点击防火墙策略, 选择新建“访问规则”。
给新建的访问规则取名为“允许内网用户任意访问”,如下图所示。
设置当客户端的访问行为与规则设定匹配时,防火墙将允许客户端进行访问。
选择将此规则应用到“所有出站通讯”,所有出站通讯指的是使用任意协议对外网进行访问。
接下来要设置通讯源,如下图所示,点击“添加”,在网络中选择“内部”,然后点击“添加”,这样“内部”就成了规则的访问源。再用同样 方法,将“本地主机”设置为访问源,这是为了测试方便,我们特意允许 ISA 服务器也能访问互联网。
设置好通讯源后,点击下一步。
现在该设置通讯目标了,我们将通讯目标设定为“外部”网络。
用户我们则选择“所有用户”,注意,所有用户中 包括未经身份验证的用户 。
如下图所示,规则创建完毕。这条规则用通俗的话解释,就是凡是由内网计算机或 ISA 本机发起的访问外网的请求,无论是什么时间,无论使用什么协议,无论是哪些用户, ISA 一律允许。怎么样,这个规则很宽泛吧。
如下图所示,点击“应用”,使规则生效。好了,我们可以开始客户机访问测试了。
一
Web
代理
客户机使用 ISA 提供的 Web 代理就可以很方便地用浏览器访问互联网。 Web 代理设置起来很容易,以 IE 浏览器为例,在客户机上打开 IE ,依次点击 工具- Internet 选项-连接-局域网设置,如下图所示。我们将代 理服务器设置为 ISA 内网网卡的 IP ,端口为 8080 。这下大家就明白了为什么安装 ISA2006 时要求服务器上不能有进程占用 8080 端口,因为 8080 端口被 ISA 用于为内网用户提供 Web 代理服务。
默认情况下 ISA 已经启用了 Web 代理服务,如果不放心可以检查一下。打开“ ISA 服务器管理”,展开 配置-网络-内部,查看内部网络的属性,切换到 “ Web 代理”标签,如下图所示,我们发现 ISA 的 Web 代理服务已经在 8080 端口启动了。
在客户端测试一下,如下图所示,我们在客户机上成功地使用 Web 代理访问了互联网上的网站。
下图是客户机的 TCP/IP 设置,我们发现,客户机并没有设置 DNS 参数,那客户机访问网站时怎么解析域名呢?答案是转发至 ISA 服务器由 ISA 进行解析。
Web
代理配置简单,但功能也受限制,用户 只能以浏览器作为客户端对互联网进行访问。
二
防火墙客户端代理
由于 Web 代理只能使用浏览器访问 互联网,功能不够全面,因此微软在 ISA 中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过 ISA 的防火墙客户端代理访问所有基于 Winsock 的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在 ISA2006 安装光盘的 /Client 目录下,我们将 Client 目录复制到 ISA 服务器的硬盘上,然后将目录共享,共享名为 Mspclnt (和老版本的 ISA 保持一致),如下图所示。
客户机访问 //beijing/mspclnt ,运行 Setup.exe ,如下图所示。
出现防火墙客户端的安装向导,点击下一步。
同意软件许可协议,点击下一步。
选择软件安装文件夹,我们取默认值。
指定 ISA 服务器,用计算机名或 IP 均可。
准备开始安装。
安装过程很快完成。
安装结束后,我们测试一下客户机和服务器之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标,在 程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。
如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯正常。
接下来准备测试客户机使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消 Web 代理设置,如下图所示。因为如果同时使用 Web 代理和防火墙客户端,访问网站时优先使用 Web 代理。
用浏览器访问微软网站进行测试,如下图所示, OK ,防火墙客户端工作正常。 同时应注意,防火墙客户端也具有
DNS
转发功能。
三
SNAT
客户端
微软推荐用户使用 Web 代理和防火墙代理,因为这两种方式都支持用户身份验证。但 Web 代理的功能有限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用 Linux 等系统,就只能选择 ISA 的 SNAT 代理了。 SNAT 代理其实是 Win2003 的路由和远程访问组件所提供的功能, ISA 安装之后接管了路由和远程访问,客户机使用 SNAT 代理是很方便的,只需将默认网关指向 ISA 的内网 IP 即可。如果配合 DHCP 服务器就更简单了,客户机无需任何设置。
客户机尝试 SNAT 之前先将防火墙客户端关闭,点击桌面右下角的防火墙客户端图标,如下图所示,取消“启用 Microsoft Firewall Client for ISA Server ”,这样就可以把防火墙客户端功能禁用了。
设置客户机的 TCP/IP 属性,将默认网关设置为防火墙内网 IP , 注 意,要设置
DNS
参数,
SNAT
服务器不具有
DNS
转发功能。
如下图所示,用 SNAT 访问互联网也很轻松。
总结: ISA 的三种客户端都能提供访问互联网的功能, Web 代理只允许用户使用浏览器访问互联网,而防火墙客户端和 SNAT 则没有功能方面的限制。如果需要对用户进行身份验证, Web 代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用 Web 代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为 Web 代理可以使用 ISA 缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软 件,那么 SNAT 必然是你的最爱,只需配好 DHCP 就一切 OK 了。最后要提醒大家的是, Web 代理和防火墙代理都有 DNS 转发功能,而 SNAT 则不存在这个问题。