详 解ISA2006三种客户端<?XML:NAMESPACE PREFIX = O />
上一篇我们介绍了如何部署ISA2006,本文我们要让部署好的ISA来干活了。ISA能干什么活?从字面意思看,ISA的意思是互联网安全加速器,安全指的是防火墙功能,加速器则是代理服务器功能。今天我们就要部署ISA的代理服务器功能,看看内网用户如何利用ISA来访问互联网。
ISA的代理服务支持三种客户端,分别是:
Web代理客户端
防火墙客户端
SNAT客户端
我们搭建一个实验环境测试三种客户端的具体应用,实验拓扑如下图所示,Beijing安装了ISA2006标准版,Perth是内网客户机。
<?XML:NAMESPACE PREFIX = V />
因为ISA默认的防火墙策略是拒绝 一切通讯,所以实验之前我们需要先在ISA上创建一条访问规则,允许内网用户访问互联网。由于当前的主要目的是测试ISA的代理服务器功能,因此我们在防火墙上暂时不做任何限制。在Beijing上依次点击 开始-程序-Microsoft ISA Server-ISA服务器管理,如下图所示,右键点击防火墙策略, 选择新建“访问规则”。
给新建的访问规则取名为“允许内网用户任意访问”,如下图所示。
设置当客户端的访问行为与规则设定匹配时,防火墙将允许客户端进行访问。
选择将此规则应用到“所有出站通讯”,所有出站通讯指的是使用任意协议对外网进行访问。
接下来要设置通讯源,如下图所示,点击“添加”,在网络中选择“内部”,然后点击“添加”,这样“内部”就成了规则的访问源。再用同样 方法,将“本地主机”设置为访问源,这是为了测试方便,我们特意允许ISA服务器也能访问互联网。
设置好通讯源后,点击下一步。
现在该设置通讯目标了,我们将通讯目标设定为“外部”网络。
用户我们则选择“所有用户”,注意,所有用户中 包括未经身份验证的用户。
如下图所示,规则创建完毕。这条规则用通俗的话解释,就是凡是由内网计算机或ISA本机发起的访问外网的请求,无论是什么时间,无论使用什么协议,无论是哪些用户,ISA一律允许。怎么样,这个规则很宽泛吧。
如下图所示,点击“应用”,使规则生效。好了,我们可以开始客户机访问测试了。
一 Web代理
客户机使用ISA提供的Web代理就可以很方便地用浏览器访问互联网。Web代理设置起来很容易,以IE浏览器为例,在客户机上打开IE,依次点击 工具-Internet选项-连接-局域网设置,如下图所示。我们将代 理服务器设置为ISA内网网卡的IP,端口为8080。这下大家就明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口,因为8080端口被ISA用于为内网用户提供Web代理服务。
默认情况下ISA已经启用了Web代理服务,如果不放心可以检查一下。打开“ISA服务器管理”,展开 配置-网络-内部,查看内部网络的属性,切换到 “Web代理”标签,如下图所示,我们发现ISA的Web代理服务已经在8080端口启动了。
在客户端测试一下,如下图所示,我们在客户机上成功地使用Web代理访问了互联网上的网站。
下图是客户机的TCP/IP设置,我们发现,客户机并没有设置DNS参数,那客户机访问网站时怎么解析域名呢?答案是转发至ISA服务器由ISA进行解析。
Web代理配置简单,但功能也受限制,用户 只能以浏览器作为客户端对互联网进行访问。
二 防火墙客户端代理
由于Web代理只能使用浏览器访问 互联网,功能不够全面,因此微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在ISA2006安装光盘的\Client目录下,我们将Client目录复制到ISA服务器的硬盘上,然后将目录共享,共享名为Mspclnt(和老版本的ISA保持一致),如下图所示。
客户机访问\\beijing\mspclnt,运行Setup.exe,如下图所示。
出现防火墙客户端的安装向导,点击下一步。
同意软件许可协议,点击下一步。
选择软件安装文件夹,我们取默认值。
指定ISA服务器,用计算机名或IP均可。
准备开始安装。
安装过程很快完成。
安装结束后,我们测试一下客户机和服务器之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标,在 程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。
如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯正常。
接下来准备测试客户机使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消Web代理设置,如下图所示。因为如果同时使用Web代理和防火墙客户端,访问网站时优先使用Web代理。
用浏览器访问微软网站进行测试,如下图所示,OK,防火墙客户端工作正常。同时应注意,防火墙客户端也具有DNS转发功能。
三 SNAT客户端
微软推荐用户使用Web代理和防火墙代理,因为这两种方式都支持用户身份验证。但Web代理的功能有限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用Linux等系统,就只能选择ISA的SNAT代理了。SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,客户机使用SNAT代理是很方便的,只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了,客户机无需任何设置。
客户机尝试SNAT之前先将防火墙客户端关闭,点击桌面右下角的防火墙客户端图标,如下图所示,取消“启用Microsoft Firewall Client for ISA Server”,这样就可以把防火墙客户端功能禁用了。
设置客户机的TCP/IP属性,将默认网关设置为防火墙内网IP,注 意,要设置DNS参数,SNAT服务器不具有DNS转发功能。
如下图所示,用SNAT访问互联网也很轻松。
总结:ISA的三种客户端都能提供访问互联网的功能,Web代理只允许用户使用浏览器访问互联网,而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证,Web代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为Web代理可以使用ISA缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软 件,那么SNAT必然是你的最爱,只需配好DHCP就一切OK了。最后要提醒大家的是,Web代理和防火墙代理都有DNS转发功能,而SNAT则不存在这个问题。
本 文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处 http://yuelei.blog.51cto.com/202879/8345
本文出自 51CTO.COM技术博客
- java同步异步调用_详解java 三种调用机制(同步、回调、异步)
1:同步调用:一种阻塞式调用,调用方要等待对方执行完毕才返回,jsPwwCe它是一种单向调用 2:回调:一种双向调用模式,也就是说,被调用方在接口被调用时也会调用对方的接口: 3:异步调用:一种类似消 ...
- AIDL使用详解(三) 客户端通过AIDL与服务端通信 实例项目
项目简介 我们要实现一个计算器的功能. 首先实现一个服务端,用于提供计算服务,供客户端去调用.它接受客户端提供的两个值,计算之后,返回两个数之和. 第二,实现客户端界面进行操作. 第三: 我们命名客户 ...
- Windows下图文详解PHP三种运行方式(php_mod、cgi、fastcgi)
PHP能不能成功的在Apache服务器上运行,就看我们如何去配置PHP的运行方式.PHP运行目前为止主要有三种方式: a.以模块加载的方式运行,初学者可能不容易理解,其实就是将PHP集成到Apache ...
- Reactor模式详解及 三种模式演变
无论是C++还是Java编写的网络框架,大多数都是基于Reactor模式进行设计和开发,Reactor模式基于事件驱动,特别适合处理海量的I/O事件. 什么是Reactor模式 要回答这个问题,首先当 ...
- 详解 Calico 三种模式(与 Fannel 网络对比学习)
参考 Component architecture calico架构与网络模型深入分析 35 | 解读Kubernetes三层网络方案 calico学习 Kubernetes网络插件Flannel的3 ...
- android分屏模式_安卓 7.0 分屏功能详解:三种模式,想分就分
IT之家讯 8月18日消息,安卓7.0的一大特色就是自带全新分屏功能,分为多画面显示模式.画中画模式和自由分屏模式三种,本文将详细介绍这三种模式. 多画面显示模式 启动该模式的方法有两种,一是在后台应 ...
- Java控制器controller_详解springMVC—三种控制器controller
在springmvc中提供了三种controller的配置,1.针对不需要controller代码的,也就是只起到跳转页面的作用.2.可以接受实体类型的controller.3.可以接受表单数据的co ...
- 详解django三种文件下载方式
推荐使用FileResponse,从源码中可以看出FileResponse是StreamingHttpResponse的子类,内部使用迭代器进行数据流传输. 在实际的项目中很多时候需要用到下载功能,如 ...
- 第四篇、代理模式详解(三种)
一.代理模式 代理模式的定义:代理模式给某一个对象提供一个代理对象,并由代理对象控制对原对象的引用.通俗的来讲代理模式就是我们生活中常见的中介. 二.代理模式的实现方式 1.静态代理 在代理之前,所有 ...
