3.1
配置本地客户端的安全Internet访问
安装ISA Server之后,就可以对本地客户机进行安全访问配置。对于所有的客户端请求,ISA Server通过分析访问协议规则来决定是否允许访问。如果请求得到允许,ISA Server就会动态地打开和关闭通信所需的端口。
为本地客户端建立安全的Internet访问要求先决定是将内部客户端设置为安全网络地址转换客户端还是防火墙客户端。接下来,把客户机上的Web浏览器配置为使用ISA Server代理服务。最终,一旦配置了客户端,就必须在ISA Server上创建允许Internet协议通过防火墙的协议规则。
本节学习目标
l
描述安全网络地址转换、防火墙以及代理服务客户端在特性和配置要求方面的不同之处
l
为客户机配置通过ISA Server的安全Internet访问
l
把Microsoft Internet Explorer浏览器配置为使用ISA Server Web代理服务
l
在客户机上安装防火墙客户端软件
估计学习时间:1小时
3.1.1
ISA Server客户端
ISA Server支持如下3种类型的客户端:
l
防火墙客户端:安装并启用了防火墙客户端软件的客户端
l
安全网络地址转换客户端:尚未安装防火墙客户端软件的客户机
l
Web代理客户端:配置为使用ISA Server的客户端Web应用程序
防火墙客户端和安全网络地址转换客户端也可以设置为Web代理客户端。这是因为所有的Web代理客户端会话(换句话说,就是由浏览器发出的Web请求。该浏览器配置为把ISA Server作为代理服务器使用)都直接发送给Web代理服务。所有其他的网络请求,不管是防火墙客户端会话还是安全网络地址转换客户端会话都是直接发送给ISA Server防火墙服务。
3.1.2
评估客户端需求
在安装或配置客户端软件之前,评估组织的需要。确定内部客户端需要哪一种应用软件和服务,确定要如何发布服务器。然后,再看ISA Server支持的不同客户端类型如何能满足这些需要。
实际上,您给每一个客户机所做的选择无非是要么给它安装防火墙客户端软件,要么是简单地把客户端设定为安全网络地址转换客户端。表3.2列出了适用某一种客户端类型的情况。
注意
配置Internet访问,ISA Server服务器本机不建立Internet访问。要实现这一点,需要创建IP数据数据包筛选器。第4章会对创建IP数据数据包筛选器进行讨论。
3.1.3
配置安全网络地址转换客户端
安全网络地址转换客户端不要求在客户端上安装指定的软件。然而,您必须考虑网络拓扑结构并确保ISA Server计算机能够为来自客户机的请求提供服务。
具体地说,就是安全网络地址转换客户端的默认网关必须要合理配置。设置默认网关属性时,确定您正配置的网络拓扑结构是如下两种类型中的哪一种:
l
简单网络
简单网络拓扑在安全网络地址转换客户端和ISA Server计算机之间没有配置任何路由器。
l
复杂网络
复杂网络拓扑有一个或多个路由器,来连接配置在安全网络地址转换客户端和ISA Server计算机之间的多个子网。
3.1.3.1 在简单网络上配置安全网络地址转换客户端
在简单网络上配置安全网络地址转换客户端时,需要把它的默认网关设定设为ISA Server计算机的内部网络地址卡的IP地址。使用客户端上的TCP/IP协议设置,可以手工进行设置。(这些协议设置可以通过单击控制面板的Network图标来设定)。此外,也可以使用DHCP服务来自动配置这些设置。
3.1.3.2 在复杂网络上配置安全网络地址转换客户端
要在复杂网络上配置安全网络地址转换客户端,应该把默认网关设定设置到安全网络地址转换客户端和ISA Server链接的最后一个路由器上。在这种情况下,不需要改变安全网络地址转换客户端的默认网关设置。
当然最好是由沿着最短路径把通信路由给ISA Server的路由器来使用默认网关。同时,路由器不应该设置为放弃指向公司网络以外地址的数据包,应该由ISA Server来决定如何路由这些数据包。
3.1.3.3 针对拨号网络的附加安全网络地址转换配置
针对基于拨号连接Internet的简单和复杂网络,安全网络地址转换客户端要求附加的配置。为了在Web浏览器之外建立一个来自于客户端的Internet连接,而且该客户端没有安装客户端防火墙,您必须先在ISA Management里创建一个拨号项策略单元,然后,您需要把Network Configuration(网络配置)节点的属性配置为:向上游服务器路由时,使用拨号项。详见本章3.2节。
3.1.4
解析安全网络地址转换客户端名
安全网络地址转换客户端可以从局域网和Internet的计算机请求目标。因此,安全网络地址转换客户端需要DNS服务器。DNS服务器可以为外部和内部的计算机解析域名。
3.1.4.1 仅要求Internet访问
如果安全网络地址转换只要求Internet访问并且不需要解析网络内部的DNS域名,那么应该为使用外部(基于Internet的)DNS服务器的客户端配置TCP/IP设置。接着,需要创建一个允许这些客户端使用DNS查询操作的协议。
3.1.4.2 内部网络和Internet访问
如果安全网络地址转换客户端从内部网络和Internet请求数据,这些客户端应该使用位于内部网络的DNS服务器。应该把DNS服务器配置为既能解析内部地址又能解析Internet地址。另一种方法是,还可以把客户端的TCP/IP属性配置为把外部DNS服务器识别为首选服务器而内部DNS服务器识别为一个备选DNS服务器。
3.1.5
防火墙客户端
防火墙客户端就是安装并启用了防火墙客户端软件的计算机。它运行使用ISA Server防火墙服务的Winsock应用程序。当防火墙客户端使用Winsock应用程序向某台计算机请求对象时,该客户端就检查它的LAT复本看指定的计算机是否在其中。如果不在,请求就发送到ISA Server防火墙服务。该服务处理这个请求并把它转发给权限允许的适当的目的。防火墙客户端软件可以把用于身份验证的Windows用户信息发送给ISA Server。
安装了客户端软件以后,通过在客户端当前连接的ISA Server上指定一个不同的名称,或着是更改防火墙客户端软件中的名称,可以更改客户端连接的服务器的名称。在防火墙设置刷新后配置的变化才会生效。为了集中管理防火墙的客户端软件配置,可以修改ISA Management的Client Configuration(客户端配置)节点下的防火墙客户端属性来改变防火墙。此节点包括用于防火墙客户端软件和防火墙客户端Web浏览器设置的集中配置控制。
如图3.1所示,ISA Server计算机包括一个名为mspclnt的网络共享,客户端可以通过局域网与之连接。该共享包括安装程序,可以用来为客户端安装防火墙客户端软件。操作系统是Microsoft Windows Me、Windows 95、Windows 98、Windows NT 4.0、或Windows 2000的客户端可以安装防火墙客户端软件。此外,只有Windows 2000和Windows NT 4.0支持16位的Winsock应用程序。在安装并启用了防火墙客户端软件后,该计算机就可以做为防火墙客户端运行了。
按照以下步骤安装防火墙客户端软件:
1.
在客户机的命令提示符中输入PathSetup,这里path是共享ISA Server客户端安装文件的路径。
注意
ISA Server 客户端的安装程序位于ISA Server的共享名为ISA_Server_ name MSPClnt的文件夹中。
2.
按照屏幕上的指示进行操作。
注意
不能在ISA Server计算机上安装防火墙客户端软件。
3.1.6
防火墙客户端应用程序设置
安装防火墙客户端软件不能自动地配置独立的Winsock应用程序。相反,客户端软件和其他应用程序使用同一个动态连接库(.dll)。防火墙客户端拦截应用程序请求并决定是否把请求路由给ISA Server。
在处理Winsock请求时,防火墙客户端应用程序在安装Winsock程序的目录中寻找Wspcfg..ini文件。如果找到了该文件,它再寻找[WSP_Client_App]部分,此处WSP_Client_App是没有.exe扩展名的Winsock应用程序文件名。如果该部分不存在,防火墙客户端应用程序接下来查找[Common Configruation]部分,如果该部分也不存在,它将在Mspclnt.ini文件中继续查找此部分。用这种方法找到的第一部分,而且只有该部分时,它将应用到指定应用程序的配置设定中。
3.1.6.1 高级客户端配置
对大多数Winsock应用程序,默认的防火墙客户端配置不需要进一步修改。然而,在有些情况下,需要添加客户端配置信息,您可以在下面所述的两个位置保存客户端配置
信息。
l
Mspclnt.ini
这是一个全局的客户端配置文件,它位于防火墙客户端安装文件夹。Mspclnt.ini文件定期地由客户端从ISA Server下载并覆盖先前的版本。因而可以在ISA Server计算机改变配置文件,更改的设置会自动地下载到客户端。
在ISA Management的Client Configuration节点中更改配置的设置。在详细信息窗格中,访问防火墙客户端的属性,在Firewall Client Properties对话框,点击Application Settings选项卡,然后创建、编辑或者删除应用程序的设置。防火墙定期下载这些设置。
l
Wspcfg.ini
该文件位于指定的客户端应用程序文件夹。ISA Server计算机并不覆盖此文件。因此,如果在此文件中更改配置,这些更改只应用到指定的客户端中。
