ISA利用三种方式访问外网

  1. 云栖社区>
  2. 博客>
  3. 正文

ISA利用三种方式访问外网

余二五 2017-11-16 18:05:00 浏览1500
展开阅读全文
                               ISA利用三种方式访问外网
上面我们成功的安装了ISA,那现在我们来让他干它应该干的活了,好的现在开始了。
在ISA里我们可以利用三种方式来访问外网:
一、web代理
二、防火墙客户端
三、SNAT客户端
我们今天试验的拓扑如下:
在ISA上默认是拒绝一切访问的我们要用客户端我们就先来建一个访问规则,允许内网访问外网。由于我们现在是在做实验我们就不做那么多的限制。打开Beijing——程序——microsoft ISA Server——ISA服务器管理
在左上角右击防火墙策略——新建访问规则
写上访问规则的名字
设置当客户端的访问行为与规则设定匹配时,防火墙将允许客户端进行访问
选择将此规则应用到“所有出站通讯”,所有出站通讯指的是使用任意协议对外网进行访问。
选择“添加”网络中选择“内部”,然后点击“添加”,这样“内部”就成了规则的访问源,为了方便权限有点太大了。纯属试验啊!呵呵
选择我们要到的目标地址,选择“外部”就行了
选择我们要应用到的用户         记住:选择所有用户没有身份验证
点击完成访问规则就好了
点击应用规则就启用了
 
好了规则建好了,下面开始我们的试验
 
1、那我们就先来介绍一下使用web代理来访问外网
利用web访问很容易设置。我们打开IE,在工具-Internet选项-连接-局域网设置如下图所示。我们将代理服务器设置为ISA内网网卡的IP,端口为8080。这下大家就明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口,因为8080端口被ISA用于为内网用户提供Web代理服务
默认情况下ISA已经启用了Web代理服务,如果不放心可以检查一下。打开“ISA服务器管理”,展开 配置-网络-内部,查看内部网络的属性,切换到“Web代理”标签,如下图所示,我们发现ISAWeb代理服务已经在8080端口启动了
那我们在客户端来试一下看能否访问外网,我们在IE浏览器中输入[url]WWW.BAIDU.COM[/url]。能打开那我们的工作没白费 啊
呵呵!!!!!!!!!
我们来看一下TCP/IP的配置,我们在DNS和网关都没有配置,那为什么能打开网站呢?答案是转发至ISA服务器由ISA进行解析。
配置IE简单,但是权利不大。下面我们来利用防火墙客户端来配置。
二、利用防火墙客户端来配置
利用防火墙客户端的权利比配置IE的权利大,那我们该怎么来配置防火墙呢?这个软件在ISA2006安装光盘的\Client目录下,我们将Client目录复制到ISA服务器的硬盘上,然后将目录共享,共享名为shren(和老版本的ISA保持一致),如下图
 
然后我们连接到beijing的shren上,运行setup.exe
开始安装程序
我同意 下一步
目录选择默认无需更改,下一步
 
下一步
开始安装了
好了完成了
然后再启动——配置一下,我们手动制定的ISA服务器,然后测试服务器,出现测试成功就OK了。可以继续了。GO!!!!!
我们把刚才在IE上配置的关掉,来验证一下我们的配置。
我们;来测试一下,在输入[url]www.baidu.com[/url]
成功哦了!这个也成功了,继续我们最后一种。
三、SNAT客户端
 
微软推荐用户使用Web代理和防火墙代理,因为这两种方式都支持用户身份验证。但Web代理的功能有限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用Linux等系统,就只能选择ISASNAT代理了。SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,客户机使用SNAT代理是很方便的,只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了,客户机无需任何设置。
客户机尝试SNAT之前先将防火墙客户端关闭,点击桌面右下角的防火墙客户端图标,如下图所示,取消“启用Microsoft Firewall Client for ISA Server”,这样就可以把防火墙客户端功能禁用了。
无需别的设置只需配置一下TCP/IP就行了。将默认网关写成防火墙的内网IP,DNS写成我们的DNS服务器就行了。必须配DNS,因为SNAT没有转发地址的功能。如下图:
这样配置就行了。我们再来验证一下。还是输入百度的地址
 
 
看成功了,如果有人说是缓存我们在来输入一个网址,[url]www.google.com[/url]
看哦了。
 
总结:ISA的三种客户端都能提供访问互联网的功能,Web代理只允许用户使用浏览器访问互联网,而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证,Web代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为Web代理可以使用ISA缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件,那么SNAT必然是你的最爱,只需配好DHCP就一切OK了。最后要提醒大家的是,Web代理和防火墙代理都有DNS转发功能,而SNAT则不存在这个问题









本文转自 liuyonglei 51CTO博客,原文链接:http://blog.51cto.com/liuyonglei/122546,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
余二五
+ 关注