让内网用户通过isa访问外网,
ISA
的代理服务支持三种客户端,分别是
:Web
代理客户端,防火墙客户端,
SNAT
客户端,先写一下今天的实验环境,
beijing
还是上次刚刚部署完的
isa
服务器
Berlin
模拟内网用户,
ip
为
10.1.1
.2
,网卡用本地的选
local only
的那块,一块网卡就够,
Istanbul
模拟外网,
ip
为
192.168.11.102
,子网掩码自动就行,其他的先不填,目的只是为了让内网用户能够通过
isa
访问到外网,用
Istanbul
只是在实验环境,如果接网方便的话也可以不用,只是为了逻辑上讲的通就行,
默认情况下,没做任何的防火墙策略,所以现在我们先简单的做个策略让用户能够访问,
打开开始程序,microsoft isa sever,ISA 服务器管理,点开beijing前的加号,在右击防火墙策略,选择新建,访问规则,访问规则名添一个,但一定要能清楚地识别,想想你要是写个123 abc之类的,要是做个二三十条你可就麻烦了,下一步,既然我们是让用户通过那肯定要选允许了嘛,下一步,此协议应用到这,就选个所有出站通讯,因为刚接触嘛,规则就做的宽一点,下一步,至于从哪来,到哪去这我们就选个从任何地点到任何地点吧。用户就来个所有用户,下一步,完成,之后在应用一下策略。现在要是不应用是不会生效的,那个要是选丢弃那刚才做的就被删掉了,
首先我们来尝试一下用WEB 代理访问,在默认的情况下ISA已经启用了web代理,只需在客户端上做些配置就行,在Berlin上右击IE 属性,连接,局域网设置,勾选,为LAN 使用代理服务器,在地址上填写beijing的内网ip端口号为8080,好了现在在Berlin的IE里输入[url]http://192.168.11.102[/url](istanbul的ip)我用的是VPC的虚拟机,据说默认情况下Istanbul就是供实验用的,所以它上面默认就做了一个叫做,istanbul.fabrikam.com的简单网页 ,现在看来我们的这个做法在逻辑上是说得通的,好Berlin上我们没有配dns他只是通过beijing的外网卡去访问istanbul的,用web的方式虽然简单,但是功能上受限制,客户端上只能用浏览器对互联网进行访问,好。
接着尝试第二种方法:防火墙客户端代理,那么如何在客户端安装呢,我是这样做的,在客户端挂上镜像,打开我的电脑,右击D盘,选择打开,找到client的文件夹,(就是第一个)双击setup.exe 文件,安装过程很简单,提取文件进入引导界面之后,下一步,同意许可协议,下一步,默认安装位置,下一步,自动检测合适的isa服务器,下一步,安装等待,ok完成双击一下桌面右下角的小图标isa的那个,选择设置下面的设置,手动指定isa服务器到beijing上测试一下,,应用确定,在访问Istanbul之前别忘把用web代理的设置的给停一下,不出意外的话应该访问成功,我在做这个的时候,用自动检测是失败的,不知哪位大虾看到后能否给解释一下是怎麽回事,?
微软是希望用户使用上面这两种方式的,因为都支持集成验证,但是web的功能有限,客户端又不适合其他的操作系统,那我们怎么办呢?不急还有snat客户端嘛?来试试,先把防火墙客户端给停一下,双击右下角的图标,选择设置,把原先勾选的启用ISA Sever的那个给取消掉,给客户机配上网关和dns就行了网关我们写成beijing的内网ip10.1.1.1,,,,DNS那写beijing的外网ip如192.168.11.101
接着试试吧,
接着说说三种的区别,web代理呢支持身份验证,具有缓存功能,但是有限制,如不能访问像bbs一样的站点,
防火墙客户端呢,支持身份验证,但是需要在客户端安装软件,如果在域的环境下还好可以强制发布一下,但要是在工作组环境下要一台一台的装,我想这不是工程师想干的活。
那要是你不想麻烦,或者客户端的机子类型也很乱,unix linux,或者还有苹果的,那你就选SNAT吧,
本文转自 yuzeying1 51CTO博客,原文链接:http://blog.51cto.com/yuzeying/133256
