模板
教程
环境
性能
功能
管理
ISA配置本地客户端的安全Internet访问(1)
ISA配置本地客户端的安全Internet访问
3.1 配置本地客户端的安全Internet访问
安装ISA Server之后,就可以对本地客户机进行安全访问配置。对于所有的客户端请求,ISA Server通过分析访问协议规则来决定是否允许访问。如果请求得到允许,ISA Server就会动态地打开和关闭通信所需的端口。
为本地客户端建立安全的Internet访问要求先决定是将内部客户端设置为安全网络地址转换客户端还是防火墙客户端。接下来,把客户机上的Web浏览器配置为使用ISA Server代理服务。最终,一旦配置了客户端,就必须在ISA Server上创建允许Internet协议通过防火墙的协议规则。
本节学习目标
描述安全网络地址转换、防火墙以及代理服务客户端在特性和配置要求方面的不同之处
为客户机配置通过ISA Server的安全Internet访问
把Microsoft Internet Explorer浏览器配置为使用ISA Server Web代理服务
在客户机上安装防火墙客户端软件
估计学习时间:1小时
3.1.1 ISA Server客户端
ISA Server支持如下3种类型的客户端:
防火墙客户端:安装并启用了防火墙客户端软件的客户端
安全网络地址转换客户端:尚未安装防火墙客户端软件的客户机
Web代理客户端:配置为使用ISA Server的客户端Web应用程序
(图片较大 请放大查看)
防火墙客户端和安全网络地址转换客户端也可以设置为Web代理客户端。这是因为所有的Web代理客户端会话(换句话说,就是由浏览器发出的Web请求。该浏览器配置为把ISA Server作为代理服务器使用)都直接发送给Web代理服务。所有其他的网络请求,不管是防火墙客户端会话还是安全网络地址转换客户端会话都是直接发送给ISA Server防火墙服务。
3.1.2 评估客户端需求
在安装或配置客户端软件之前,评估组织的需要。确定内部客户端需要哪一种应用软件和服务,确定要如何发布服务器。然后,再看ISA Server支持的不同客户端类型如何能满足这些需要。
实际上,您给每一个客户机所做的选择无非是要么给它安装防火墙客户端软件,要么是简单地把客户端设定为安全网络地址转换客户端。表3.2列出了适用某一种客户端类型的情况。
注意 配置Internet访问,ISA Server服务器本机不建立Internet访问。要实现这一点,需要创建IP数据数据包筛选器。第4章会对创建IP数据数据包筛选器进行讨论。
(图片较大 请放大查看)
(图片较大 请放大查看)
3.1.3 配置安全网络地址转换客户端
安全网络地址转换客户端不要求在客户端上安装指定的软件。然而,您必须考虑网络拓扑结构并确保ISA Server计算机能够为来自客户机的请求提供服务。
具体地说,就是安全网络地址转换客户端的默认网关必须要合理配置。设置默认网关属性时,确定您正配置的网络拓扑结构是如下两种类型中的哪一种:
简单网络 简单网络拓扑在安全网络地址转换客户端和ISA Server计算机之间没有配置任何路由器。
复杂网络 复杂网络拓扑有一个或多个路由器,来连接配置在安全网络地址转换客户端和ISA Server计算机之间的多个子网。
3.1.3.1 在简单网络上配置安全网络地址转换客户端
在简单网络上配置安全网络地址转换客户端时,需要把它的默认网关设定设为ISA Server计算机的内部网络地址卡的IP地址。使用客户端上的TCP/IP协议设置,可以手工进行设置。(这些协议设置可以通过单击控制面板的Network图标来设定)。此外,也可以使用DHCP服务来自动配置这些设置。
3.1.3.2 在复杂网络上配置安全网络地址转换客户端
要在复杂网络上配置安全网络地址转换客户端,应该把默认网关设定设置到安全网络地址转换客户端和ISA Server链接的最后一个路由器上。在这种情况下,不需要改变安全网络地址转换客户端的默认网关设置。
当然最好是由沿着最短路径把通信路由给ISA Server的路由器来使用默认网关。同时,路由器不应该设置为放弃指向公司网络以外地址的数据包,应该由ISA Server来决定如何路由这些数据包。
3.1.3.3 针对拨号网络的附加安全网络地址转换配置
针对基于拨号连接Internet的简单和复杂网络,安全网络地址转换客户端要求附加的配置。为了在Web浏览器之外建立一个来自于客户端的Internet连接,而且该客户端没有安装客户端防火墙,您必须先在ISA Management里创建一个拨号项策略单元,然后,您需要把Network Configuration(网络配置)节点的属性配置为:向上游服务器路由时,使用拨号项。详见本章3.2节。
