ISA配置本地客户端的安全Internet访问（4）

　　 
　　ISA配置本地客户端的安全Inte.net访问
　　 3.1.8　练习：为Web代理客户端建立安全的Internet访问

　　 在本练习中，可以利用ISA Server的安全路由性能，通过Server1来建立来自Server2的安全Web访问。由于ISA Server拒绝所有的数据包通过除非明确允许它们通过，因此为了建立来自Server2的安全Web访问，您必须创建一个协议规则来允许所有的IP通信通过ISA Server防火墙。本练习示范了怎样创建这样一个协议规则。需要注意的是，由于规则不对传入通信打开ISA Serve，所以本练习允许不使用防火墙客户端软件，为客户端配置安全的Internet访问。

　　 练习假设您已经通过拨号连接方式建立了从ISA Server计算机到Internet的连接，并且还按照“前言”所述的方法配置了Server2和Server1间的局域网连接。

　　 练习1：创建协议规则
　　 在这个练习中，您创建一个允许安全Internet访问的协议规则。

　　 Ø　　　　　打开New ProtocoRule向导

　　 1.　　以Administrator 身份登陆Server1 。

　　 2.　　单击Start 菜单，然后指向Programs | Miscrosoft ISA Server，最后单击ISA Management。

　　 3.　　单击View菜单上的Taskpad。

　　 4.　　在控制台树上展开Servers and Arrays节点，然后展开MyArray节点。

　　 出现Server1的Configuration节点。

　　 5.　　展开Aclearcase/" target="_blank" >ccess Policy节点，选择ProtocoRules文件夹。

　　 6.　　在详细信息窗格中，选择Create A ProtocoRule图标。

　　 Ø　　　　　利用New ProtocoRule向导来他建新协议规则

　　 1.　　在ProtocoRule Name文本框中输入AllowIP。

　　 注意　这个练习旨在提供一个允许所有内部客户端都可以访问全部IP通信的简捷方法。在实际的安装情况下，可能要限制指定的用户、组以及客户端对指定协议的访问。

　　 2.　　选择Next。

　　 3.　　在Rule Action屏幕，确定已选定Allow单选按钮，然后单击Next。

　　 4.　　在Protocols屏幕，确定AlIP Traffic出现在Apply This Rule To的下拉列表框中，然后单击Next。

　　 5.　　在Schedule屏幕，确定Always出现在Use This Schedule下拉列表框中，然后单击Next按钮。

　　 6.　　在Client Type屏幕，确定选中了Any Request单选按钮，然后单击Next。

　　 7.　　在Completing the New ProtocoRule Wizard屏幕，单击Finish。

　　 Allow IP规则出现在详细信息窗格中。

　　 注意　创建新协议规则以后，可能需要等待几分钟，新设置才能生效。在进行练习2之前，可以等待几分钟或者按照第3章3.4小节所述的重启ISA Server服务。

　　 练习2：配置IE浏览器使用Web代理服务
　　 这个练习启动IE浏览器和ISA Server Web服务一起工作。使用Server1上的拨号连接建立到ISP的连接。

　　 1.　　以Administrator的身份从Server2登陆到Domain01。

　　 2.　　打开Internet Explorer浏览器。

　　 3.　　 如果出现Internet Connection Wizard对话框，按照向导指示配置一个手工(LAN)连接。

　　 4.　　在Tools菜单，单击Internet Options。

　　 5.　　在Connections选项卡，单击LAN Settings。

　　 6.　　选中Use A Proxy Server复选框。

　　 7.　　在Address文本框中输入192.168.0.1，在端口号文本框输入8080。

　　 8.　　单击OK按钮关闭LocaArea Network (LAN) Settings对话框。

　　 9.　　单击OK按钮关闭Internet Options对话框。

　　 现在可以在Server2上使用IE浏览器自由地浏览Web站点了。

　　 3.1.9　练习：安装FirewalClient

　　 在这个练习中，可以在客户端上安装防火墙客户端软件。如果客户机上没有安装和启动防火墙客户端软件，Firewall服务只能把访问策略规则应用到代表内部客户端的IP地址上。在客户机上安装了防火墙客户端软件时，访问策略规则就可以应用到IP地址和用户以及计算机名上。防火墙客户端要提高性能可以通过保存一份LAT和LDT的本地复本、通过为有辅助连接的协议提供内置的支持、通过全局的客户端配置文件Mspclnt.ini允许Winsock应用程序的高级配置和允许ISA Server的自动发现特性来实现。

　　 练习：通过本地网安装防火墙客户端
　　 在Server2计算机上进行该练习。

　　 1.　　打开My Network Places，浏览网络查找“\server1mspclnt\”。

　　 2.　　在server1\mspclnt中双击SETUP图标。

　　　　　 出现Microsoft FirewalClient – Install对话框。

　　 3.　　单击Next。

　　 4.　　在Destination Folder屏幕，接受默认的位置，然后单击Next。

　　 5.　　在Ready To InstalThe Program屏幕，单击Instal。

　　　　　 防火墙客户端安装成功，出现InstalWizard Completed屏幕。

　　 6.　　单击Finish。

　　 3.1.10　小结
　　 要为本地客户端建立安全Internet访问，需要先在ISA Server中配置协议规则，允许Internet协议通过ISA Server防火墙到达客户端。接着，可以决定是把内部客户端配置为安全网络地址转换客户端还是防火墙客户端。配置为安全网络地址转换客户端不要求什么配置操作，配置为防火墙客户端就需要在客户端上安装防火墙客户端软件。

　　　　　 在安装或配置客户端软件之前，评估组织的需要。如果您需要支持漫游客户，需要对已验证过身份的客户端应用访问策略，需要支持有辅助连接的协议或者是需要允许针对非Web的Internet会话按需拨号，就应该安装防火墙客户端软件。如果您正使用ISA Server来保护发布服务器，且如果ISA Server是以缓存模式安装的，或者您希望避免在客户端上安装软件，可以把您的客户端配置为安全网络地址转换客户端。

　　　　　 防火墙客户端和安全网络地址转换客户端也可以是Web代理服务客户端。Web代理服务(w3proxy)是一种支持来自任何代理能力的应用程序的Windows 2000服务。配置Web代理服务客户端不需要安装任何软件。但是，您必须把客户端上的Web浏览器应用程序配置为使用ISA Server计算机做为代理服务器。 （部分完）

原文转自：http://www.ltesting.net