詳解ISA2006三種用戶端：ISA2006系列之二

<b>詳解</b><b>ISA2006</b><b>三種用戶端</b>

上一篇我們介紹了如何部署ISA2006，本文我們要讓部署好的ISA來幹活了。ISA能幹什麼活？從字面意思看，ISA的意思是網際網路安全加速器，安全指的是防火牆功能，加速器則是代理伺服器功能。今天我們就要部署ISA的代理伺服器功能，看看内網使用者如何利用ISA來通路網際網路。

ISA的代理服務支援三種用戶端，分别是:

<b>Web</b><b>代理用戶端</b>

<b>防火牆用戶端</b>

<b>SNAT</b><b>用戶端</b>

我們搭建一個實驗環境測試三種用戶端的具體應用，實驗拓撲如下圖所示，Beijing安裝了ISA2006标準版，Perth是内網客戶機。

因為ISA預設的防火牆政策是拒絕一切通訊，是以實驗之前我們需要先在ISA上建立一條通路規則，允許内網使用者通路網際網路。由于目前的主要目的是測試ISA的代理伺服器功能，是以我們在防火牆上暫時不做任何限制。在Beijing上依次點選 開始－程式－Microsoft ISA Server－ISA伺服器管理，如下圖所示，右鍵點選防火牆政策，選擇建立“通路規則”。

給建立的通路規則取名為“允許内網使用者任意通路”，如下圖所示。

設定當用戶端的通路行為與規則設定比對時，防火牆将允許用戶端進行通路。

選擇将此規則應用到“所有出站通訊”，所有出站通訊指的是使用任意協定對外網進行通路。

接下來要設定通訊源，如下圖所示，點選“添加”，在網絡中選擇“内部”，然後點選“添加”，這樣“内部”就成了規則的通路源。再用同樣方法，将“本地主機”設定為通路源，這是為了測試友善，我們特意允許ISA伺服器也能通路網際網路。

設定好通訊源後，點選下一步。

現在該設定通訊目标了，我們将通訊目标設定為“外部”網絡。

使用者我們則選擇“所有使用者”，注意，所有使用者中包括未經身份驗證的使用者。

如下圖所示，規則建立完畢。這條規則用通俗的話解釋，就是凡是由内網計算機或ISA本機發起的通路外網的請求，無論是什麼時間，無論使用什麼協定，無論是哪些使用者，ISA一律允許。怎麼樣，這個規則很寬泛吧。

如下圖所示，點選“應用”，使規則生效。好了，我們可以開始客戶機通路測試了。

<b>一</b><b> Web</b><b>代理</b>

客戶機使用ISA提供的Web代理就可以很友善地用浏覽器通路網際網路。Web代理設定起來很容易，以IE浏覽器為例，在客戶機上打開IE，依次點選 工具－Internet選項－連接配接－區域網路設定，如下圖所示。我們将代理伺服器設定為ISA内網網卡的IP，端口為8080。這下大家就明白了為什麼安裝ISA2006時要求伺服器上不能有程序占用8080端口，因為8080端口被ISA用于為内網使用者提供Web代理服務。

預設情況下ISA已經啟用了Web代理服務，如果不放心可以檢查一下。打開“ISA伺服器管理”，展開 配置－網絡－内部，檢視内部網絡的屬性，切換到“Web代理”标簽，如下圖所示，我們發現ISA的Web代理服務已經在8080端口啟動了。

在用戶端測試一下，如下圖所示，我們在客戶機上成功地使用Web代理通路了網際網路上的網站。

下圖是客戶機的TCP/IP設定，我們發現，客戶機并沒有設定DNS參數，那客戶機通路網站時怎麼解析域名呢？答案是轉發至ISA伺服器由ISA進行解析。

<b></b>

<b>Web</b><b>代理配置簡單，但功能也受限制，使用者隻能以浏覽器作為用戶端對網際網路進行通路。</b>

<b>二</b><b> </b><b>防火牆用戶端代理</b>

由于Web代理隻能使用浏覽器通路網際網路，功能不夠全面，是以微軟在ISA中提供了防火牆用戶端代理。使用者隻要安裝防火牆用戶端軟體，就能通過ISA的防火牆用戶端代理通路所有基于Winsock的網絡服務。那該怎麼安裝防火牆用戶端軟體呢？這個軟體在ISA2006安裝CD光牒的\Client目錄下，我們将Client目錄複制到ISA伺服器的硬碟上，然後将目錄共享，共享名為Mspclnt（和老版本的ISA保持一緻），如下圖所示。

客戶機通路\\beijing\mspclnt，運作Setup.exe，如下圖所示。

出現防火牆用戶端的安裝向導，點選下一步。

同意軟體許可協定，點選下一步。

選擇軟體安裝檔案夾，我們取預設值。

指定ISA伺服器，用計算機名或IP均可。

準備開始安裝。

安裝過程很快完成。

安裝結束後，我們測試一下客戶機和伺服器之間的通訊狀況。輕按兩下客戶機桌面右下角的防火牆用戶端圖示，在程式界面中切換到“設定”标簽，如下圖所示，點選“測試伺服器”。

如果測試結果如下圖所示，那就代表防火牆用戶端和伺服器之間的通訊正常。

接下來準備測試客戶機使用防火牆用戶端通路網際網路，在測試之前，先在客戶機的浏覽器中取消Web代理設定，如下圖所示。因為如果同時使用Web代理和防火牆用戶端，通路網站時優先使用Web代理。

用浏覽器通路微軟網站進行測試，如下圖所示，OK，防火牆用戶端工作正常。<b>同時應注意，防火牆用戶端也具有</b><b>DNS</b><b>轉發功能。</b>

<b>三</b><b>  SNAT</b><b>用戶端</b>

微軟推薦使用者使用Web代理和防火牆代理，因為這兩種方式都支援使用者身份驗證。但Web代理的功能有限，而防火牆用戶端需要在微軟作業系統上安裝，是以如果使用者使用Linux等系統，就隻能選擇ISA的SNAT代理了。SNAT代理其實是Win2003的路由和遠端通路元件所提供的功能，ISA安裝之後接管了路由和遠端通路，客戶機使用SNAT代理是很友善的，隻需将預設網關指向ISA的内網IP即可。如果配合DHCP伺服器就更簡單了，客戶機無需任何設定。

客戶機嘗試SNAT之前先将防火牆用戶端關閉，點選桌面右下角的防火牆用戶端圖示，如下圖所示，取消“啟用Microsoft Firewall Client for ISA Server”，這樣就可以把防火牆用戶端功能禁用了。

設定客戶機的TCP/IP屬性，将預設網關設定為防火牆内網IP，<b>注意，要設定</b><b>DNS</b><b>參數，</b><b>SNAT</b><b>伺服器不具有</b><b>DNS</b><b>轉發功能。</b>

如下圖所示，用SNAT通路網際網路也很輕松。

總結：ISA的三種用戶端都能提供通路網際網路的功能，Web代理隻允許使用者使用浏覽器通路網際網路，而防火牆用戶端和SNAT則沒有功能方面的限制。如果需要對使用者進行身份驗證，Web代理和防火牆用戶端就可以大顯身手了，事實上，微軟推薦使用者同時使用Web代理和防火牆用戶端。為什麼不單獨使用防火牆用戶端呢？因為Web代理可以使用ISA緩存，真正起到加速作用。如果你希望為使用者上網提供盡可能的便利，而且你也不願意去設定用戶端的浏覽器或在客戶機上安裝什麼用戶端軟體，那麼SNAT必然是你的最愛，隻需配好DHCP就一切OK了。最後要提醒大家的是，Web代理和防火牆代理都有DNS轉發功能，而SNAT則不存在這個問題。

本文轉自yuelei51CTO部落格，原文連結：http://blog.51cto.com/yuelei/83453 ，如需轉載請自行聯系原作者