彻底剖析ISAServer客户端及配置
最近由于我儿子的出世,事情多了好多,也将《彻底剖析ISAServer客户端及配置》此片博文拖延了好久,这篇博文也足足让我写了一周时间,为此让经常看我博文的博友感到很抱歉,毕竟好长时间没有更新我博客的博文了。对于《彻底剖析ISAServer客户端及配置》此片博文如果文中有错误的地方还请各位博友给我指点出来,我很乐意与各位博友讨论和分享。
ISA Server支持Web代理客户端、SecureNAT客户端与防火墙客户端等三种客户端,我在这里将介绍它们的差异与如何来配置这些客户端。
î ISA Server客户端概述
î ISA Server的配置
î “Web代理客户端”的配置
î “SecureNAT客户端”的配置
î “防火墙客户端”的配置
î 自动发现
î 验证用户身份
î 自动安装Microsoft Firewall Client
î 选择适当的客户端
一、ISA Server客户端概述
ISA Server支持三种不同的客户端,它们分别有着不同的配置,支持的网络协议也有所不同,还有与ISA Server之间也有着略微不同的沟通方式。
下图为这三个客户端与ISA Server防火墙之间的关系图。ISA Server防火墙通过防火墙服务与筛选器,来决定是否让客户端可以访问因特网的资源。同时ISA Server防火墙也通过图中的Web代理筛选器将网页与FTP对象保存到缓存区。
î Web代理客户端
Web代理客户端只能利用网页应用程序(例如浏览器)访问因特网的HTTP、HTTPS与FTP对象。Web代理客户端是将请求传递给ISA Server的连接端口的8080而当ISA Server接收到Web代理客户端的请求后,会将此请求委托防火墙服务来决定是否允许。ISA Server防火墙会从缓存区来读取Web代理客户端所请求的对象,而且也会将从因特网取得的对象保存到缓存区。
î SecureNAT客户端
SecureNAT客户端能过通过ISA Server来访问因特网的TCP、UDP、HTTP、HTTPS、FTP与其他网络协议的资源。SecureNAT客户端是利用默认网关将请求传递给ISA Server,而当ISA Server接收到SecureNAT客户端的请求后,会先利用NAT driver(Network Address Translation driver)将数据包的源地址转换一个对外有效的IP地址,然后再将此请求转交给防火墙服务,并搭配适当的筛选器,来决定是否允许此请求。
î 防火墙客户端
这些客户端必须另外安装Microsoft Firewall Client。防火墙客户端是将HTTP请求传递给ISA Server的连接端口8080,将非HTTP请求传递给ISA Server的连接端口1745,而当ISA Server接收到防火墙客户端请求后,会将此请求转给防火墙服务,并搭配适当的筛选器,来决定是否允许此请求。
下表列出各个客户端的基本差异,我们还会在后面详细说明其他差异点。
|
|
Web代理客户端 |
SecureNAT客户端 |
防火墙客户端 |
|
支持的操作系统 |
所有操作系统 |
所有操作系统 |
只支持Windows操作系统 |
|
支持的网络协议 |
HTTP、HTTPS、FTP |
TCP、UDP、HTTP、HTTPS、FTP与其他 |
TCP、UDP之Winsock应用程序 |
|
是否需要额外安装软件 |
否,但是需要浏览器配置 |
否,但是需要网络配置 |
是 |
|
验证用户身份-HTTP |
是 |
只有×××客户端 |
是 |
|
验证用户身份-非HTTP |
不支援访问 |
只有×××客户端 |
是 |
注:此处的HTTP泛指HTTP、HTTPS与FTP,除此之外,我在后面内容中也会常用网页对象来代表HTTP、HTTPS对象。
二、ISA Server的配置
我们需要在ISA Server创建规则来开放内部网络用户可以访问外部网站。
(一)、防火墙规则的开放
第一步:如下图所示,单击“防火墙策略”→单击右边“任务”标签处的“创建访问规则”。
第二步:在“欢迎实用新建访问规则向导”画面中为此访问规则命名,例如允许内部与本地主机访问外部网站。
第三步:在下图中选择“允许”后单击“下一步”。
第四步:在下图中选择此规则要应用到的协议,由于我们只要开放连接网站,因此请选择“所选的协议”→单击“添加”按钮。
第五步:在下图中一次选择HTTP,单击“添加”按钮→选择HTTPS,单击“添加”按钮→单击“关闭”按钮。
第六步:在下图中单击“下一步”。
第七步:在下图中选择此规则的“应用来源”,由于目前我们要让ISA Server计算机本身和ISA Server客户端上网,因此选择“本地主机”和“内部”。
第八步:在下图中将此规则的“应用目的地”设置为“外部”,也就是允许访问外部所有的网站。
第九步:在下图中单击“下一步”,以便将此原则应用到所有的用户。
第十步:如下图在正在“完成新建访问规则向导”画面中点击“完成”。
第十一步:在下图中单击“应用”。
完成设置后,这些设置会被保存到配置存储服务器(CSS)内,而ISA Server会定期(默认为15秒)检查与应用CSS内的最新更新(我这里实验环境中ISA Server与CSS是同一台计算机),阵列中每一台ISA Server也都会将这些设置保存一份到其计算机内,并保持与CSS同步,如下图所示.
(二)、确认可接受“Web代理客户端”的请求
除了开放规则之外,还必须确认ISA Server是否会接收内部网络Web代理客户端的请求,确认的步骤如下:
第一步:如下图所示选择“网络”→单击“网络”标签→双击“内部”网络。
第二步:确认下图中“为此网络启用Web代理客户端连接”已经选中。
注:有上图中可以看出ISA Server提供Web代理服务的连接端口号为8080,如果内部网络中有其他软件使用到这个连接端口,请此软件停用或变更连接端口号,以免互相冲突。
三、“Web代理客户端”的配置
所有的操作系统(例如winxp、vista等)都可以扮演Web代理客户端的角色,不过只支持HTTP、HTTPS与FTP网络协议。
ISA Server默认通过连接端口8080来侦听Web代理客户端的请求,当ISA Server收到Web代理客户端访问因特网网页或FTP对象的请求时,会由防火墙服务来决定是否允许此请求,如果允许,接下来会通过网页代理筛选器来检查缓存区是否有客户端所需的对象,如果有,防火墙服务会将此对象传递给客户端,如果没有,则上网下载此对象,并通过网页代理筛选器将下载的对象保存到缓存区。
需要在Web代理客户端的应用程序内指定ISA Server当作是代理服务器,该应用程序才会将访问因特网网页与FTP对象的请求,传递给ISA Server的连接端口8080。以内部网络中的Bahmas客户端与浏览器Internet Explorer为例,其配置步骤如下所示:
第一步:先择“开始”→Internet Explorer→选择“工具”菜单→“Internet”选项。
第二步:在下图中选择“连接”标签→单击“局域网设置”按钮。
第三步:在下图中的选项输入ISA Server内网卡的IP地址192.168.0.200与连接端口8080,并且勾选“对本地地址不使用代理服务器”这样可以加快对本地资源的访问。
注:只要我们在ISA Server外网卡上填上公网的DNS,此时我们这台客户端就能访问网页了。
四、“SecureNAT客户端”的配置
所有操作系统都可以扮演SecureNAT客户端,并且支持TCP、UDP、HTTP、HTTPS、FTP与其他网络协议。如果要将内部或DMZ网络内的服务器,例如电子邮件服务器,网站服务器、网站等,发布给因特网用户,请将这台服务器配置为SecureNAT客户端。
(一)、“SecureNAT客户端”的配置
请将SecureNAT客户端的默认网关指定到ISA Server内网卡的IP地址,以便客户端将对外的数据包传递到ISA Server,也可以将它指定到其他路由器,但是该路由必须会将数据包传递到ISA Server内网卡。
除此之外,请将SecureNAT客户端的首选DNS 服务器指定到公司内部的DNSfwuuqi或者因特网上任何一台可以正常运作的DNS服务器,以便通过DNS服务器来解析DNS主机名。(二)、开放DNS流量
SecureNAT客户端在解析DNS主机名时,如果需要通过ISA Server来向外部查询,就需要在ISA Server开放从内部网络来的DNS流量能够通过。开放DNS流量的步骤如下所示:
第一步:在ISA Server服务器管理单击“防火墙策略”→单击右边“任务”标签处的“创建访问规则”。
第二步:在“在欢迎使用新建访问规则向导”画面中为此规则命名。
第三步:在下图中选择“允许”→单击“下一步”→“所选的协议”→单击“添加”按钮。
第四步:在下图中选择DNS→单击“添加”、“关闭”、“下一步”。
第五步:在下图中选择此规则的应用来源,由于我们要让内部网络所有计算机的DNS请求通过ISA Server防火墙,因此这里选择“内部”。
第六步:在下图中选择此规则的应用目标,在这里我们选择“外部”,也就是允许向外部所有的DNS服务器查询。
第七步:在“用户集”画面直接单击“下一步”,以便将此规则应用到所有用户。
第八步:在正在“完成新建访问规则向导”画面中单击“完成”。
第九步:回到ISA Server服务器管理控制台单击“应用”后单击“确定”。
完成上述所有配置后,现在就可以利用这台SecureNAT客户端计算机上网测试,此时Bahamas客户端就可以通过ISA Server下载所需的网页对象了。
注:我们在前面只开放了让内部网络客户的DNS请求可以通过ISA Server防火墙,但是并未包含ISA Server这台计算机(本地主机),然后经过实际的测试,却发现ISA Server这台计算机的DNS流量也可以通过ISA Server防火墙,为什么呢?其实是因为内置的系统策略已经开放了部分流量,其中包含了允许ISA Server防火墙这台计算机的DNS流量可以进出所有网络。我们可以通过如下图所示选择“防火墙策略”→选择“任务”标签标签→单击“现实系统策略规则”来查看。
(三)、将“SecureNAT客户端”配置成“Web代理客户端”
只要SecureNAT客户端的网页应用程序将访问网页的请求,传递给ISA Server连接端口8080(也就是将ISA Server当作代理服务器),ISA Server就会把它视为Web代理客户端。以Internet Explorer来说,将ISA Server指定为代理服务器的方法Web代理客户端相同,配置完成后,客户端的Internet Explorer会将访问因特网页对象的请求,传递给ISA Server连接端口8080,并由网页代理筛选器处理缓存事宜,然而客户端访问其他对象(非网页与非FTP对象)时,还是直接通过默认网关来传递给ISA Server。
例:我在客户端的Internet Explorer内指定将ISA Server当作代理服务器,不过在FireFox内并没有将ISA Server配置为代理服务器,此时如果我们分别用Internet Explorer与FireFox上网,那么我的计算机是SecureNAT客户端?还是Web代理客户端呢?对ISA Server来说,Internet Exporer这个连接被视为Web代理客户端,但是FireFox这个连接则被视为SecureNAT客户端。
五、“防火墙客户端”的配置
客户端必须是Windows品尼高台才可以扮演防火墙客户端的角色,而且还要安装Mircosoft Firewall Client软件。
(一)、“防火墙客户端”配置
防火墙客户端的TCP/IP只需要配置IP地址与子网掩码即可,可以不需要配置默认网关与DNS服务器。
î 安装Microsoft Firewall Client
客户端安装Microsoft Firewall Client后,当客户端Winsock应用程序请求与其他网络的计算机沟通时,会由Microsofte Firewall Client负责将此请求传递给ISA Server,但是如果要否通对象是内部网络其他计算机,则此沟通请求不会传递给ISA Server。
请先在ISA Server创建规则来开放NetBIOS会话、NetBOIS名称服务、NetBIOS数据包三个网络协议,方向为从内部网络到本地主机,否则防火墙客户端无法解析ISA Server的计算机名,无法检测到ISA Server。请大家参照下图进行创建规则,我在这里就罗嗦了。
Microsofte Firewall Client软件是放在ISA Server CD的Client文件夹内,请在防火墙客户端执行此文件夹内的setup.exe程序,安装过程中到了下图画面时,请改为手动选择欲连接的ISA Server,也就是选择图中的“连接到此ISA服务器计算机”,然后输入ISA服务器的主机名或IP地址,例如图中192.168.0.200为ISA Server内网卡的IP地址。
î “防火墙客户端”默认也是“Web代理客户端”
当防火墙客户端安装好了,系统自动会在浏览器Internet Explorer内将ISA Server配置为代理服务器,也就是客户端利用Internet Explorer访问因特网的网页与FTP对象时,该客户端会被视为Web代理客户端。可以在此客户端计算机上通过以下方法来查看这个配置:“开始”→Internet Explorer→“工具”菜单→“Internet 选项”→“连接”标签→单击“局域网设置”按钮,如下图所示,图中的网址china-ISA是ISA Server的计算机名,它对应到ISA Server内网卡的IP地址192.168.0.200。
注:对于ISA Server来说,只要客户端应用程序是将访问因特网的请求传递给ISA Server连接端口1745,这个客户端就是防火墙客户端。
î 确认可接受“防火墙客户端”的请求
我们必须确认ISA Server是否已经可以接收内部网络防火墙客户端访问因特网的请求,确认的步骤为如下图所示双击网络之下的“内部”网络→确认“启用次网络的防火墙客户端支持”已经选中(这是默认值)。
完成上述之后,现在可以测试看看这台防火墙客户端是否可以通过ISA Server来正常访问因特网的资源,比如连接外部网站来进行测试。
(二)、内部网络计算机的定义
当防火墙客户端的Winsock应用程序请求与其他网络的计算机沟通时,会由Microsoft Firewall Client负责将此请求传递给ISA Server,但是如果沟通对象是内部网络的其他计算机,则此请求并不会传递给ISA Server。
这里所谓的内部网络的其他计算机是指定义在内部网络的IP地址与域,如下图所示(在ISA Server管理控制台内选择“配置”处的“网络”→双击“内部网络”即可找到此画面了),可以自定义IP地址与域。例如图中定义在“地址”标签处的IP地址为192.168.0.0~192.168.0.255,这些IP地址都是属于内部网络的IP地址;而定义在“域”标签处的为zhp.com,表示所有主机名后缀为zhp.com的计算机都是属于内部网络计算机,而如果只要指定单一计算机,则只要输入该计算机的DNS名即可。
注:在完成上述配置后,防火墙客户端默认会每隔6小时自动下载这些配置。也可以重新启动防火墙客户端计算机或者在防火墙客户端计算机双击屏幕右下角Microsoft Firewall Client图标,然后单击下图中的“测试服务器”或“立即检测”按钮。
