模板
教程
环境
性能
功能
管理
ISA配置本地客户端的安全Internet访问(2)
ISA配置本地客户端的安全Internet访问
3.1.4 解析安全网络地址转换客户端名
安全网络地址转换客户端可以从局域网和Internet的计算机请求目标。因此,安全网络地址转换客户端需要DNS服务器。DNS服务器可以为外部和内部的计算机解析域名。
3.1.4.1 仅要求Internet访问
如果安全网络地址转换只要求Internet访问并且不需要解析网络内部的DNS域名,那么应该为使用外部(基于Internet的)DNS服务器的客户端配置TCP/IP设置。接着,需要创建一个允许这些客户端使用DNS查询操作的协议。
3.1.4.2 内部网络和Internet访问
如果安全网络地址转换客户端从内部网络和Internet请求数据,这些客户端应该使用位于内部网络的DNS服务器。应该把DNS服务器配置为既能解析内部地址又能解析Internet地址。另一种方法是,还可以把客户端的TCP/IP属性配置为把外部DNS服务器识别为首选服务器而内部DNS服务器识别为一个备选DNS服务器。
3.1.5 防火墙客户端
防火墙客户端就是安装并启用了防火墙客户端软件的计算机。它运行使用ISA Server防火墙服务的Winsock应用程序。当防火墙客户端使用Winsock应用程序向某台计算机请求对象时,该客户端就检查它的LAT复本看指定的计算机是否在其中。如果不在,请求就发送到ISA Server防火墙服务。该服务处理这个请求并把它转发给权限允许的适当的目的。防火墙客户端软件可以把用于身份验证的Windows用户信息发送给ISA Server。
安装了客户端软件以后,通过在客户端当前连接的ISA Server上指定一个不同的名称,或着是更改防火墙客户端软件中的名称,可以更改客户端连接的服务器的名称。在防火墙设置刷新后配置的变化才会生效。为了集中管理防火墙的客户端软件配置,可以修改ISA Management的Client Configuration(客户端配置)节点下的防火墙客户端属性来改变防火墙。此节点包括用于防火墙客户端软件和防火墙客户端Web浏览器设置的集中配置控制。
如图3.1所示,ISA Server计算机包括一个名为mspclnt的网络共享,客户端可以通过局域网与之连接。该共享包括安装程序,可以用来为客户端安装防火墙客户端软件。操作系统是Microsoft Windows Me、Windows 95、Windows 98、Windows NT 4.0、或Windows 2000的客户端可以安装防火墙客户端软件。此外,只有Windows 2000和Windows NT 4.0支持16位的Winsock应用程序。在安装并启用了防火墙客户端软件后,该计算机就可以做为防火墙客户端运行了。
按照以下步骤安装防火墙客户端软件:
1. 在客户机的命令提示符中输入Path\Setup,这里path是共享ISA Server客户端安装文件的路径。
注意 ISA Server 客户端的安装程序位于ISA Server的共享名为ISA_Server_ name\ MSPClnt的文件夹中。
2. 按照屏幕上的指示进行操作。
注意 不能在ISA Server计算机上安装防火墙客户端软件。
3.1.6 防火墙客户端应用程序设置
安装防火墙客户端软件不能自动地配置独立的Winsock应用程序。相反,客户端软件和其他应用程序使用同一个动态连接库(.dl)。防火墙客户端拦截应用程序请求并决定是否把请求路由给ISA Server。
在处理Winsock请求时,防火墙客户端应用程序在安装Winsock程序的目录中寻找Wspcfg..ini文件。如果找到了该文件,它再寻找[WSP_Client_App]部分,此处WSP_Client_App是没有.exe扩展名的Winsock应用程序文件名。如果该部分不存在,防火墙客户端应用程序接下来查找[Common Configruation]部分,如果该部分也不存在,它将在Mspclnt.ini文件中继续查找此部分。用这种方法找到的第一部分,而且只有该部分时,它将应用到指定应用程序的配置设定中。
3.1.6.1 高级客户端配置
对大多数Winsock应用程序,默认的防火墙客户端配置不需要进一步修改。然而,在有些情况下,需要添加客户端配置信息,您可以在下面所述的两个位置保存客户端配置 信息。
Mspclnt.ini 这是一个全局的客户端配置文件,它位于防火墙客户端安装文件夹。Mspclnt.ini文件定期地由客户端从ISA Server下载并覆盖先前的版本。因而可以在ISA Server计算机改变配置文件,更改的设置会自动地下载到客户端。
在ISA Management的Client Configuration节点中更改配置的设置。在详细信息窗格中,访问防火墙客户端的属性,在FirewalClient Properties对话框,点击Application Settings选项卡,然后创建、编辑或者删除应用程序的设置。防火墙定期下载这些设置。
Wspcfg.ini 该文件位于指定的客户端应用程序文件夹。ISA Server计算机并不覆盖此文件。因此,如果在此文件中更改配置,这些更改只应用到指定的客户端中。
3.1.6.2 Wspcfg.ini文件示例
下面是WSP客户端App.exe的客户端配置文件中的[WSP_Client_App]部分示例:
[WSP_Client_App]
Disable=0
NameResolution=R
LocalBindTcpPorts=7777
LocalBindUdpPorts=7000–7022, 7100–7170
RemoteBindTcpPorts=30
RemoteBindUdpPorts=3000–3050
ServerBindTcpPorts=100–300
ProxyBindIp=80:110.52.144.103, 82:110.51.0.0
KillOldSession=1
Persistent=1
ForceProxy=i:172.23.23.23
ForceCredentials=1
NameResolutionForLocalHost=
表3.3描述了可以用于Winsock应用程序的配置文件的各项。
(图片较大 请放大查看)
(图片较大 请放大查看)
(图片较大 请放大查看)
