詳 解ISA2006三種客戶端<?XML:NAMESPACE PREFIX = O />

?

上一篇我們介紹了如何部署ISA2006，本文我們要讓部署好的ISA來干活了。ISA能干什么活？從字面意思看，ISA的意思是互聯網安全加速器，安全指的是防火墻功能，加速器則是代理服務器功能。今天我們就要部署ISA的代理服務器功能，看看內網用戶如何利用ISA來訪問互聯網。 ISA的代理服務支持三種客戶端，分別是: Web代理客戶端

防火墻客戶端

SNAT客戶端

?

我們搭建一個實驗環境測試三種客戶端的具體應用，實驗拓撲如下圖所示，Beijing安裝了ISA2006標準版，Perth是內網客戶機。 <?XML:NAMESPACE PREFIX = V />

?

因為ISA默認的防火墻策略是拒絕 一切通訊，所以實驗之前我們需要先在ISA上創建一條訪問規則，允許內網用戶訪問互聯網。由于當前的主要目的是測試ISA的代理服務器功能，因此我們在防火墻上暫時不做任何限制。在Beijing上依次點擊 開始－程序－Microsoft ISA Server－ISA服務器管理，如下圖所示，右鍵點擊防火墻策略， 選擇新建“訪問規則”。

?

給新建的訪問規則取名為“允許內網用戶任意訪問”，如下圖所示。

?

設置當客戶端的訪問行為與規則設定匹配時，防火墻將允許客戶端進行訪問。

?

選擇將此規則應用到“所有出站通訊”，所有出站通訊指的是使用任意協議對外網進行訪問。

?

接下來要設置通訊源，如下圖所示，點擊“添加”，在網絡中選擇“內部”，然后點擊“添加”，這樣“內部”就成了規則的訪問源。再用同樣 方法，將“本地主機”設置為訪問源，這是為了測試方便，我們特意允許ISA服務器也能訪問互聯網。

?

設置好通訊源后，點擊下一步。 現在該設置通訊目標了，我們將通訊目標設定為“外部”網絡。

?

用戶我們則選擇“所有用戶”，注意，所有用戶中 包括未經身份驗證的用戶。

?

如下圖所示，規則創建完畢。這條規則用通俗的話解釋，就是凡是由內網計算機或ISA本機發起的訪問外網的請求，無論是什么時間，無論使用什么協議，無論是哪些用戶，ISA一律允許。怎么樣，這個規則很寬泛吧。

?

如下圖所示，點擊“應用”，使規則生效。好了，我們可以開始客戶機訪問測試了。

?

一 Web代理

客戶機使用ISA提供的Web代理就可以很方便地用瀏覽器訪問互聯網。Web代理設置起來很容易，以IE瀏覽器為例，在客戶機上打開IE，依次點擊 工具－Internet選項－連接－局域網設置，如下圖所示。我們將代 理服務器設置為ISA內網網卡的IP，端口為8080。這下大家就明白了為什么安裝ISA2006時要求服務器上不能有進程占用8080端口，因為8080端口被ISA用于為內網用戶提供Web代理服務。

?

默認情況下ISA已經啟用了Web代理服務，如果不放心可以檢查一下。打開“ISA服務器管理”，展開 配置－網絡－內部，查看內部網絡的屬性，切換到 “Web代理”標簽，如下圖所示，我們發現ISA的Web代理服務已經在8080端口啟動了。

?

在客戶端測試一下，如下圖所示，我們在客戶機上成功地使用Web代理訪問了互聯網上的網站。

?

下圖是客戶機的TCP/IP設置，我們發現，客戶機并沒有設置DNS參數，那客戶機訪問網站時怎么解析域名呢？答案是轉發至ISA服務器由ISA進行解析。 Web代理配置簡單，但功能也受限制，用戶 只能以瀏覽器作為客戶端對互聯網進行訪問。

?

二 防火墻客戶端代理

由于Web代理只能使用瀏覽器訪問 互聯網，功能不夠全面，因此微軟在ISA中提供了防火墻客戶端代理。用戶只要安裝防火墻客戶端軟件，就能通過ISA的防火墻客戶端代理訪問所有基于Winsock的網絡服務。那該怎么安裝防火墻客戶端軟件呢？這個軟件在ISA2006安裝光盤的\Client目錄下，我們將Client目錄復制到ISA服務器的硬盤上，然后將目錄共享，共享名為Mspclnt（和老版本的ISA保持一致），如下圖所示。

?

客戶機訪問\\beijing\mspclnt，運行Setup.exe，如下圖所示。

?

出現防火墻客戶端的安裝向導，點擊下一步。

?

同意軟件許可協議，點擊下一步。

?

選擇軟件安裝文件夾，我們取默認值。

?

指定ISA服務器，用計算機名或IP均可。

?

準備開始安裝。

?

安裝過程很快完成。

?

安裝結束后，我們測試一下客戶機和服務器之間的通訊狀況。雙擊客戶機桌面右下角的防火墻客戶端圖標，在 程序界面中切換到“設置”標簽，如下圖所示，點擊“測試服務器”。

?

如果測試結果如下圖所示，那就代表防火墻客戶端和服務器之間的通訊正常。

?

接下來準備測試客戶機使用防火墻客戶端訪問互聯網，在測試之前，先在客戶機的瀏覽器中取消Web代理設置，如下圖所示。因為如果同時使用Web代理和防火墻客戶端，訪問網站時優先使用Web代理。

?

用瀏覽器訪問微軟網站進行測試，如下圖所示，OK，防火墻客戶端工作正常。同時應注意，防火墻客戶端也具有DNS轉發功能。

?

三? SNAT客戶端

微軟推薦用戶使用Web代理和防火墻代理，因為這兩種方式都支持用戶身份驗證。但Web代理的功能有限，而防火墻客戶端需要在微軟操作系統上安裝，因此如果用戶使用Linux等系統，就只能選擇ISA的SNAT代理了。SNAT代理其實是Win2003的路由和遠程訪問組件所提供的功能，ISA安裝之后接管了路由和遠程訪問，客戶機使用SNAT代理是很方便的，只需將默認網關指向ISA的內網IP即可。如果配合DHCP服務器就更簡單了，客戶機無需任何設置。 客戶機嘗試SNAT之前先將防火墻客戶端關閉，點擊桌面右下角的防火墻客戶端圖標，如下圖所示，取消“啟用Microsoft Firewall Client for ISA Server”，這樣就可以把防火墻客戶端功能禁用了。

?

設置客戶機的TCP/IP屬性，將默認網關設置為防火墻內網IP，注 意，要設置DNS參數，SNAT服務器不具有DNS轉發功能。

?

如下圖所示，用SNAT訪問互聯網也很輕松。

?

總結：ISA的三種客戶端都能提供訪問互聯網的功能，Web代理只允許用戶使用瀏覽器訪問互聯網，而防火墻客戶端和SNAT則沒有功能方面的限制。如果需要對用戶進行身份驗證，Web代理和防火墻客戶端就可以大顯身手了，事實上，微軟推薦用戶同時使用Web代理和防火墻客戶端。為什么不單獨使用防火墻客戶端呢？因為Web代理可以使用ISA緩存，真正起到加速作用。如果你希望為用戶上網提供盡可能的便利，而且你也不愿意去設置客戶端的瀏覽器或在客戶機上安裝什么客戶端軟 件，那么SNAT必然是你的最愛，只需配好DHCP就一切OK了。最后要提醒大家的是，Web代理和防火墻代理都有DNS轉發功能，而SNAT則不存在這個問題。 本 文出自 “岳雷的微軟網絡課堂” 博客，請務必保留此出處 http://yuelei.blog.51cto.com/202879/8345本文出自 51CTO.COM技術博客

轉載于:https://blog.51cto.com/baitmwxf/290512

總結

以上是生活随笔為你收集整理的详解ISA2006三种客户端的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。