不是所有的Web站点开发人员和管理员都会考虑到使用完善的应用层状态识别防火墙(ISA防火墙)来进行保护的网络环境,所以有时访问位于ISA防火墙后的Web站点会出现一些问题。例如一些基于Java的Web站点,或者当你使用需要认证的Web代理时,一些网络应用程序不能正常工作。
当你遇到这些问题时,解决的办法是配置这些站点进行直接访问。根据ISA客户类型的不同,直接访问也有一些不同:
对于Web代理客户,直接访问允许客户使用另外一种方法来访问资源而越过Web代理客户的配置。客户可以使用SNat客户或者防火墙客户的配置来进行访问,当然防火墙客户更为安全;
对于防火墙客户,直接访问允许客户直接访问位于和自己处于ISA防火墙同个网络中的主机。
我们会在两部分文章中讨论直接访问的这两种类型,在第一部分中,我们先讨论Web代理客户的直接访问。
Web代理客户的直接访问
默认情况下,ISA防火墙在HTTP、HTTPS和基于HTTP隧道的FTP这三种协议上绑定了Web代理过滤器,以提供应用层防护和利用缓存。但是,因为ISA防火墙强大和完善的应用层防护功能,有些站点通过Web代理过滤器访问时会出现问题,此时你就需要越过Web代理过滤器来访问这些站点。
我们来看看直接访问是如何解决这些问题的:
首先,我们假设你处于一个高安全要求的网络环境,然后在客户机上安装了防火墙客户端,配置它们作为Web代理客户(安装防火墙客户端时会自动进行配置),现在的问题是你想使用OE(Outlook Express)来连接到你的Hotmail账户,你已经建立了一个简单的防火墙策略,包含的访问规则如下:
允许内部所有用户访问外部的DNS服务;
允许所有经过认证的用户访问外部的所有协议;
拒绝所有的默认规则
规则如下图所示:
现在我们配置内部网络中的防火墙客户和Web代理客户通过OE来连接到Hotmail站点,当你想在OE里面进行访问时,会出现以下错误提示:
译者注:OE默认会和IE共享Internet连接属性中的配置,所以在你配置客户为Web代理客户时,OE会自动获取Web代理服务器的信息并用于连接。
注意看错误信息中的 Proxy Authentication Required (The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied)。这说明了OE不能在需要验证的Web代理后正常工作。解决的方法是使用直接访问来越过Web代理,然后利用客户上的防火墙客户端配置来访问Hotmail站点。
我们需要在ISA防火墙上客户对应的网络属性中配置直接访问,在此例中,我们是在内部网络属性中进行配置。打开ISA防火墙管理控制台,展开服务器名,展开配置下的网络节点,然后右击右面板中网络标签下的内部网络。
在内部属性对话框,点击Web浏览器标签,然后点击添加按钮,
在添加服务器对话框,选择域或计算机,然后输入你想直接访问的站点名,在此例中,我们需要直接访问的是hotmail.com,所以我们输入*.hotmail.com,这样可以直接访问hotmail.com域中的所有服务器,点击确定;
然后重复添加的步骤,加入以下站点:
*.msn.com
*.passport.com
*.passport.net
在内部属性对话框上点击应用再点击确定,最后在ISA管理控制台点击应用以保存修改和更新防火墙策略。
防火墙客户和Web代理客户的配置信息保存在ISA防火墙上,默认情况下,它们每六小时更新自己的配置信息。你可以通过重启客户计算机或者使用防火墙客户端重新检测ISA服务器来强制更新配置信息。
双击任务栏的防火墙客户端图标,然后点击测试服务器按钮,这样强制该客户从ISA防火墙上更新配置信息。在检测ISA服务器的对话框上点击关闭,然后在防火墙客户端对话框上点击应用。
然后点击Web浏览器标签,确定勾选了允许Web浏览器自动配置,然后点击现在配置,然后在Web浏览器设置更新的对话框上点击确定。注意此自动配置和IE属性中的自动配置是不一样的,IE属性中的自动配置是使用WPAD来自动寻找ISA防火墙。
然后在防火墙客户端对话框上点击应用再点击确定。
现在你打开OE,你就可以访问Hotmail站点了。在ISA防火墙的日志中,你可以看到以下信息。注意,OE的连接是经过认证了的,是通过防火墙客户端提供的客户身份信息。
在此例中使用的是防火墙客户,如果是SNat客户,那么你还需要建立一个允许这些客户访问外部这些站点的访问规则。
例如,你在一台DC上想使用OE,但是在服务器上不推荐安装防火墙客户端,所以你需要添加一个访问规则以允许这台服务器访问需要的站点而不需要进行身份验证。
解决这一问题需要以下规则元素:
你需要访问的站点的域名集;
需要匿名访问外部的客户(没有安装防火墙客户端)计算机集;
允许这个计算机集匿名访问这个外部域名集的访问规则;
访问Hotmail站点需要的域名集如下图所示:
计算机集中包含了你内部需要直接访问外部这些站点的SNat客户的IP地址,在此例中如下图所示:
建立好的访问规则如下图所示。注意,你需要将此匿名访问规则放在任何使用相同协议的需要身份验证的访问规则之前,你应该把匿名访问规则放置在任何需要身份认证的访问规则前。
