客户端的管理
ISA Server内部网络的所有计算机,不论是服务器或一般用户计算机,都称为ISA Server的Client端,共可分为三种类型:Firewall Client、SecureNAT Client、Web Proxy Client,首先必须知道如何区分此三种Client类型,以及它们有何不同点,说明如下:
●Firewall Client:任何一部用户计算机上安装Firewall Client软件者,便是Firewall Client端计算机。
●SecureNAT Client:凡是「非」Firewall Client端的计算机者,都是SecureNAT Client端计算机。
●Web Proxy Client:凡在浏览器上指定使用ISA Server的上网代理服务(Proxy Service)者,都是Web Proxy Client端计算机。
由以上明确的区分来看,ISA Server的内部网络的所有计算机,不是Firewall Client端,就是SecureNAT Client端,而Web Proxy Client端可以是Firewall Client端,也可以是SecureNAT Client端,那么三者有何不同,可由下表来分析说明:
不同点 Firewall Client SecureNAT Client Web Proxy Client
是否需要安装? 是 否 否
操作系统? 只支持Window系列的操作系统 任何操作系统都可以(含麦金塔、Linux等),只要是支持TCP/IP都可以 任何操作系统都可以(含麦金塔、Linux等),只要能执行浏览器者都可以
当网络架构改变时 没影响 Gateway要修改 没影响
用户认证? IP IP或用户名称 浏览器
支持何种通讯协议 全部 Winsock HTTP、HTTPS、FTP
图7-1表现出三种Client端的包(Packet),传送至外部网络(Internet)的流动路线,但不论是哪一种Client端,ISA Server都可以保证它在内部网络上以及访问Internet数据时,都十分安全。
图7-1
Client端的包流动路线
7-1
SecureNAT Client
SecureNAT(Secure Network Address Translation)Client端的计算机,是ISA Server内部网络里最普遍的一种Client端形式,也是对ISA Server的特色(Feature)支持最完整的,因为在SecureNAT Client端计算机上不需要安装任何软件,当ISA Server防火墙建立完成后,内部网络的计算机(不论是服务器或一般用户计算机),只要把Gateway指向ISA Server的对「内」网卡IP位置,这台计算机就称为SecureNAT Client端计算机。例如:用户计算机的IP是100.100.100.200,而ISA Server对「内」网卡IP位置是100.100.100.1,那么Gateway设置如图7-2即可。
图7-2
SecureNAT Client端计算机的Gateway设置
ISA Server的内部网络,基本上可以概分为两种,只有一层(不一定是一台)防火墙的网络部署,内部网络所有的计算机(包含服务器),与ISA Server之间都不需要路由(Routing),可以直接将Gateway指向ISA Server的IP位置,这种称为「简易网络部署」(Simple Network),另一种称为「复杂网络部署」(Complex Network),就是有二层以上的ISA Server网络部署,或者有DMZ设计者,内部网络的计算机与「对外」的ISA Server中间需要路由(Routing),也就是「对外」的ISA Server与第二层的ISA Server存在链(Chain)的关联,只要内部网络的计算机将Gateway指向第二层的ISA Server的IP位置,也就是SecureNAT Client端计算机。
不论内部网络的计算机,本身的IP是手动设置的固定IP,或者是由DHCP服务器分配所得的动态IP,都不影响SecureNAT Client端设置,但是DNS指向(请参考图7-1)应该是外部网络的DNS Server,如果是指向内部网络的DNS Server,那么此DNS Server必须要能够与Internet交换,换句话说,此DNS Server必须发布(Publish)出去,一旦计算机成为SecureNAT Client端,就受限于Application Filters里的DNS Filter(可参考第5-3-1节:应用程序过滤的说明)。
SecureNAT Client端的计算机,只要是支持TCP/IP协议,任何操作系统都可以(含麦金塔、Linux等)成为ISA Server的内部成员,受到ISA Server的完整保护。
7-2
Firewall Client
当网络中需要使用Winsock的应用程序时,就必须在用户计算机上安装Firewall Client的软件,此时这台计算机就是ISA Server的Firewall Client端计算机。在介绍安装Firewall Client的软件之前,我们先说明安装的四种限制:
●限制一:Firewall Client的软件,不可以安装在ISA Server的本机上。
●限制二:ISA Server的安装模式如果是Cache Mode的话,内部网络将不支持Firewall Client端计算机。
●限制三:欲使用的Winsock应用程序,必须要能穿越ISA Server,也就是ISA Server有安装支持此应用程序的网络通讯协议,而且ISA Server只支持Winsock 1.1以上版本。
●限制四:ISA Server只支持Windows 95、Windows 98、Windows ME、Windows NT4.0、Windows 2000等操作系统为Firewall Client端计算机,而16位的Winsock应用程序,只支持Windows NT4.0、Windows 2000两种操作系统为Firewall Client端计算机。
排除以上四种限制后,就可以开始安装Firewall Client的软件。在ISA Server的CD光盘中有个「Clients」的目录,里面有一个Setup.exe安装程序,如果直接在用户计算机上执行此安装程序,将会出现图7-3的提示窗口,表示不可以在CD光盘上直接执行Firewall Client的安装,必须透过「网络邻居」,由ISA Server主机上执行一个共享文件,Clients目录下的Setup.exe安装程序。
图7-3
安装Firewall Client的提示画面
可以透过「网络邻居」直接执行ISA Server主机上的Firewall Client端的安装程序,也可以在用户计算机上按「开始」→「执行」,然后输入"// ISA Server主机名称/ Clients/ Setup.exe",或者直接执行安装也可以,不论如何都会出现Firewall Client的向导欢迎画面(如图7-4),请直接按下「Next」钮,进入下一步。
图7-4
Firewall Client的向导欢迎画面
接着会出现「选择安装目录」的窗口(如图7-5),可以按下「Change」钮,更改系统安装目录,一般建议都会直接使用系统预设的指定目录,然后按下「Next」钮,进入下一步。
图7-5
Firewall Client的安装目录
接下来会出现向导已经准备好安装前的一切动作提示窗口(如图7-6),直接按下「Install」钮执行安装,然后进入下一步。
图7-6
Firewall Client的安装提示窗口
接着出现一连串安装动作,如图7-7,向导会由ISA Server上,自动安装或复制许多对象至用户计算机上,当完成时直接按下「Next」钮,进入下一步。
图7-7
Firewall Client的安装过程窗口
出现安装向导完成画面(如图7-8),直接按下「Finish」钮即可完成Firewall Client的安装。
图7-8
Firewall Client的安装完成窗口
当用户计算机安装完成Firewall Client的软件后,就可以透过ISA Server特别指定的信道至外界访问数据,也会在用户计算机上的控制台安装一个Firewall Client端的图标控件(如图7-9)。
图7-9
控制台上的控件
如果要设置Firewall Client端的运行,进入用户计算机上的「控制台」,用鼠标双击「Firewall Client」图标,会出现设置项目(如图7-10),说明如下:
Enable Firewall Client:
预设是启动的,如果要停止Firewall Client端的运行,只要将打勾取消即可。
Automatically Detect ISA Server:
可以自动与ISA Server本机的Firewall Client配置作更新动作,系统预设每6小时或者在用户计算机重新启动时,都会触发配置更新的动作,预设是没有启动的,请自行勾起。
Use This ISA Server:
预设已经输入一台ISA Server主机名称,旁边有一个「Update Now」的按钮,按下时会立即与ISA Server主机作配置更新的动作,如果成功会出现图7-11的连结成功提示窗口。
Show Firewall Client Icon On Taskbar:
当Firewall Client有运行时,在用户计算机桌面上的系统托盘右边区域,会出现一个地球上有一条插头的图标。
Hide The Taskbar Icon When Connected:
Firewall Client未必时时刻刻都与ISA Server主机连结着,如果勾选此项,当Firewall Client与ISA Server主机连结时,会将用户计算机桌面上的系统托盘右边区域图标隐藏起来。
图7-10
Firewall Client端的设置画面
图7-11
配置更新连结成功提示窗口
用户的计算机在安装Firewall Client软件后,除了在「控制台」内增加设置图标外,还在系统预设目录(C:Program Files Microsoft ISA Server )上,增加了一些文件,说明如下:
FIREWALLC.LOG
每次安装Firewall Client软件后,在系统预设目录下,一定会产生一个Log文件,文件名为FIREWALLC.LOG,此文件可以解决许多设置问题,因为里面有许多安装及服务的内容,
图7-12是一个FIREWALLC.LOG文件的范例。
图7-12
FIREWALLC.LOG文件范例
MSPLAT.TXT
如果有设置配置自动更新的话,MSPLAT.TXT会被自动且有规律的更新,当一个Winsock应用程序被新建时,或被要求访问时,都由此文件来决定,是在防火墙内或防火墙外,因为此文件记录LAT(Locate Address Table)的IP位置。
MSPCLNT.INI
如果设置配置自动更新,MSPCLNT.INI会被自动且有规律的更新,此文件设置了Firewall Client许多重要的项目(如图7-13 的MSPCLNT.INI文件范例),但不建议由此更改设置值,应该由ISA Server本机修改后,用户计算机执行配置更新的动作,或等6小时后Firewall Client端的所有计算机自动更新。
图7-13
MSPCLNT.INI文件范例
WSPCFG.INI
即使有设置配置自动更新,WSPCFG.INI也不会被更新,但是可以自行更改其内的设置值,此文件内设置了用户计算机内的应用程序信息。
MPCVER.TXT
此处记录着版本信息,例如:Microsoft Fir
