详解ISA防火墙三种客户端代理与配置.docx

详解ISA防火墙三种客户端代理与配置.docx

《详解ISA防火墙三种客户端代理与配置.docx》由会员分享，可在线阅读，更多相关《详解ISA防火墙三种客户端代理与配置.docx（9页珍藏版）》请在冰豆网上搜索。

详解ISA防火墙三种客户端代理与配置

ISA的代理服务支持三种客户端，分别是:

一、SNAT客户端

二、Web代理客户端

三、防火墙客户端

做这个实验用到两台计算机。

我们选择BEIJING为ISA服务器，内网网卡IP为10.1.1.254外网网卡IP是

DHCP自动分配的为

192.168.0.134

，另一台计算机是用来做内网的客户机我们选择

TIANJIN。

IP为10.1.1.3

大致的拓扑图如下：

一、SNAT客户端

我们从三种客户端中最简单的一种开始介绍吧！

ISA最简单的客户端是SNAT客户端。

SNAT代理其实是Win2003的路由和远程访问组件所提供的功能，

ISA安装之后接管了路由和远程访问，

客户机使用SNAT代理是很方便的，只需将默认网关指向

ISA的内网IP即可。

如果配合DHCP服务器就更

简单了，客户机无需任何设置。

SNAT代理没有DNS转发功能。

所以在下面配置网卡的

DNS时应手工输入

DNS服务器的IP地址。

长话短说，闲话少说。

下面我们就开始今天的部署吧！

首先打开客户机TIANJIN的本地连接属性来配置

IP地址、默认网关以及首选

DNS服务器。

因为这是内网的主机所以IP我们就定义为10.1.1.3，默认网关是ISA服务器内网网卡的

IP地址，DNS定

义为外网网卡的DNS。

注意：

必须设置DNS参数，否则上不了外网，因为

SNAT代理没有DNS转发功能。

如下图定义完成后点击确定退出本地连接属性。

配置完成后，我们在TIANJIN上来访问一下互联网。

Ok！

没问题利用SNAT代理很轻松的访问到了互联网。

二、Web代理客户端

ISA连接外网的第二种客户端是

“Web代理客户端”。

Web

代理设置起来很容易，就是在客户机的

IE浏览

器属性中设置。

首先我们把客户机的

IP设为原来的

IP10.1.1.3

，默认网关和

DNS服务器的

IP地址都不用

设置。

如下图的设置，设置完成后点击确定退出本地连接属性。

注意：

Web

代理配置简单，但它的功能受

限制，用户只能以浏览器作为客户端对互联网进行访问。

然后在客户机上打开IE，依次点击工具－Internet选项－连接－局域网设置，如下图所示。

点开“局域网设置”后，我们将代理服务器设置为ISA服务器名称也可以设为ISA服务器内网网卡的IP，端

口为8080。

这下大家就明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口，因为8080

端口被ISA用于为内网用户提供Web代理服务。

默认情况下ISA已经启用了Web代理服务，如果不放心可以检查一下。

－网络—内部，点击“内部网络”的属性

打开“ISA服务器管理”，展开配置

切换到“Web代理”标签，如下图所示，我们发现ISA的Web代理服务已经在8080端口启动了。

呵呵⋯

接下来我们在客户端TIANJIN上测试一下，看能不能上了外网。

恩？

？

？

怎么上不去了，这配置很正确啊！

我反复检查了N遍，可是问题依旧存在。

到底是哪的问题啊！

让我百思不得其解。

后来，终于功夫不负有心人，让我看到了一点蛛丝马迹。

开始我一直在客户机上查找

问题，后来在ISA服务器上一检查好像是ISA服务器的访问规则有问题。

于是我又新建了一条访问规则。

如下图

创建访问规则名称

选择“允许”

协议类型为所有出站通讯

从网络内部（本地主机）到网络外部

下一步

Ok！

完成访问规则的建立。

接下来点击应用来保存更改的配置。

应用后点确定

最后再在客户机TIANJIN

上来做一下测试。

这次没问题，如下图所示，我们在客户机上成功地使用

Web

代理访问了XX的网站。

三、防火墙客户端

接下来准备使用防火墙客户端访问互联网，在测试之前，先在客户机的浏览器中取消图所示。

因为如果同时使用Web代理和防火墙客户端，访问网站时优先使用配置完成后点击确定退出。

Web

Web代理设置，如下

代理。

具体配置如下图，

微软在ISA中提供了防火墙客户端代理。

用户只要安装防火墙客户端软件，就能通过ISA的防火墙客户端

代理访问外网了。

那该怎么安装防火墙客户端软件呢？

这个软件在ISA2006安装光盘的Client目录下，我

们在ISA服务器上打开ISA2006安装光盘，如下图所示。

然后将“Client文”件夹复制到客户机TIANJIN上。

复制完成后，我们打开“Client文”件夹，运行文件夹下的“setup.exe程”序。

出现防火墙客户端安装向导后，

点击下一步

选择防火墙客户端安装路径

指定ISA服务器。

计算机名或IP地址都可以。

点击安装开始安装防火墙客户端。

Ok！

安装速度很快，几秒钟后防火墙客户端安装成功。

安装结束后，我们来测试一下客户机和服务器之间的通讯状况如何？

双击客户机桌面右下角的防火墙客户

端图标在程序界面中切换到“设置”标签，如下图所

示，点击“测试服务器”。

如果测试结果如下图所示，那就代表防火墙客户端和服务器之间的通讯是正常。

注意：

如果显示的是“解析名称服务器失败”那么就不能再进行下一步了。

应该先排除现有的问题。

主要检查IP地址、服务器名称和ISA服务器配置的访问规则。

当然其他的问题也不能例外。

客户机与ISA服务器的通讯很正常，下面再来在客户端上访问一下互联网。

看能不能访问到。

成功的访问到了51cto网页。

Ok！

没问题

虽然ISA的三种客户端都能提供访问互联网的功能；但是我更喜欢SNAT客户端，因为使用这种方法只需

要配好DHCP就可以，不需要对客户机再做任何设置,另外，web代理只允许用户使用浏览器访问互联网，

而防火墙客户端和SNAT则没有功能方面的限制。

但是Web代理和防火墙代理都有DNS转发功能，而SNAT

代理却则不存在DNS转发功能。

总之来说还是SNAT客户端简单而且方便。