我来贴上全文
ISA Server 2006 的内部客户端概念
Microsoft® Internet Security and Acceleration (ISA) Server 2006 使用多种通讯层来保护公司网络。ISA Server 会在封包层执行防火墙原则,以控制网络接口上的数据,并在流量到达任何资源时先评估流量。只有当 Microsoft Firewall 服务执行规则来判定是否要服务要求之后,才会允许数据通过。
ISA Server 会保护三种客户端类型:防火墙客户端、SecureNAT 客户端及 Web Proxy 客户端,如下图所示。
部署注意事项
支持何种 ISA Server 客户端之选择,取决于 ISA Server 部署实例以及现有的网络基础结构。下表摘要列出客户端需求及部署的详细资料。
|
功能 | SecureNAT 客户端 | 防火墙客户端 | Web Proxy 客户端 |
部署详细资料 | 无需进行软件部署。若要将计算机设定成 SecureNAT 客户端,请设定计算机的默认网关地址,使其将因特网要求路由传送到 ISA Server 计算机。 | 客户端计算机上必须安装防火墙客户端软件。 | 无需进行软件部署。若要将计算机设定成 Web Proxy 客户端,请将计算机上的网页浏览器设定成使用 ISA Server 计算机作为 Web Proxy。至于网页浏览器设定的自动侦测,必须在域名系统 (DNS) 或动态主机配置协议 (DHCP) 中设定 Web Proxy 自动探索 (WPAD)。 |
操作系统支持 | 凡是支持 TCP/IP 的操作系统均可使用。 | 必须使用 Microsoft Windows Server™ 2003 或 Windows® 2000 Server 操作系统。 | 支持所有的平台,但是以 Web 应用程序的方式支持。凡是可设定成使用 Proxy 服务器的网页浏览器,皆可担任 Web Proxy 客户端。 |
通讯协议支援 | 支持所有的简易通讯协议。需要多个主要或次要联机的复杂通讯协议,必须在 ISA Server 计算机上安装应用程序筛选器才能支持。 | 支持所有的 Winsock 应用程序。 | Web Proxy 客户端支持超文本传输通讯协议 (HTTP)、HTTP over SSL (HTTPS),以及供下载要求的文件传输协议 (FTP)。 |
使用者层级验证 | SecureNAT 客户端无法由 ISA Server 予以验证。 | 防火墙客户端会自动将客户端认证与要求一并传送到 ISA Server 计算机。 | Web Proxy 客户端可于 ISA Server 要求认证时接受验证。若启用匿名存取,则不会提供任何认证。 |
其他注意事项 | 供 Windows 客户端以外的客户端使用。如需支持 TCP 或 UDP (例如 ICMP 或 GRE) 以外的通讯协议时使用。如要将客户端的原始来源 IP 地址转寄到已发行的服务器时,请将已发行的服务器设定成 SecureNAT 客户端。 | 如需支持次要通讯协议时使用。供严格访问控制使用。将用户名称记录在记录文件中。 | 适用于使用者型网页存取、Web Proxy 变更,以及设定值的自动侦测。Web 要求会直接转寄到 Web Proxy 筛选器,故效能良好。 |
ISA Server 对于其内部网络的客户端所发出的要求之处理方式,取决于客户端计算机的设定情形,以及所产生的要求类型。例如:
• | 在防火墙客户端计算机 (安装且启用防火墙客户端软件的计算机) 上,使用 Winsock 应用程序发展接口 (API) 所产生的要求,会受到防火墙客户端软件拦截。如果要求的地址为本机,会直接建立联机。否则会将要求传送到 ISA Server 计算机上的防火墙服务。 |
• | 在未设定 Web Proxy 客户端设定的防火墙客户端计算机或 SecureNAT 客户端计算机上,从客户端发出的 Web 要求 (HTTP、HTTPS 或下载用的 FTP) 会通透性地传送到接收要求的网络之 Web Proxy 接听程序。此即所谓的通透网络地址转换 (NAT)。 |
• | 在设定成 Web Proxy 客户端的任何计算机上,Web 要求会直接传送到 Web Proxy 接听程序。 |
防火墙客户端
防火墙客户端系安装且启用防火墙客户端软件的计算机,位在受 ISA Server 保护的网络中。防火墙客户端可安装在每个个别的客户端计算机上,或是使用 Windows 软件安装嵌入式管理单元来集中管理防火墙客户端软件的发行。如需安装及部署的相关信息,请参阅 Microsoft TechNet 上的<部署 ISA Server 2006 防火墙客户端>。
防火墙客户端采用一般的 Winsock 提供者。设定防火墙客户端并不会同时设定个别的 Winsock 应用程序。倒是防火墙客户端软件中的动态链接库 (FwcWsp.dll) 会成为所有 Winsock 应用程序通透性使用的 Winsock 分层式服务提供商。防火墙客户端分层式服务提供商会拦截从客户端应用程序呼叫的 Winsock 功能,并针对本机目的地将要求路由传送到原始下层基础服务提供商,或针对远程目的地以通透方式传送到 ISA Server 计算机上的防火墙服务。
旧版防火墙客户端支持
ISA Server 2006 (4.0 版) 内含的防火墙客户端版本及 ISA Server 2004 的防火墙客户端,为防火墙客户端与 ISA Server 之间的通讯提供更完善的安全性支持。使用 TCP 控制通道随着各个要求以通透方式传送的防火墙客户端认证皆经过加密,不会遭到中途拦截。
此项设定会让旧版的防火墙客户端软件无法联机。也会防止任何执行 Windows NT® Server 4.0、Windows Millennium Edition 或 Windows 98 的防火墙客户端联机。您可以设定让 ISA Server 仅接受使用此安全方法进行通讯的客户端联机,或是选择支持旧版客户端联机。
进行防火墙客户端设定
防火墙客户端设定可如下进行:
• | 在 ISA Server 管理中,您可以指定套用到所有防火墙客户端的应用程序设定,以及套用到特定网络上的防火墙客户端之设定值。在防火墙客户端安装过程中,于 ISA Server 管理中指定的设定会存放在建立于客户端计算机上的配置文件内,且套用到该客户端计算机上所有的用户。安装完成后,会在每次重新启动客户端计算机时、在防火墙客户端计算机上执行手动重新整理时,或于初始重新整理经过六小时后,将 ISA 管理中所修改的防火墙客户端设定传播到客户端计算机。 |
• | 防火墙客户端安装完成后,您可以在特定客户端计算机上修改应用程序设定及设定值。 |
在防火墙客户端安装过程中,会在客户端计算机上建立下列配置文件:
• | Common.ini.
此档案内含所有 Winsock 应用程序的一般设定值。 |
• | Management.ini.
此档案内含防火墙客户端设定值。 |
客户端计算机上的配置文件所在位置视操作系统而定。例如,在 Windows XP 计算机上,配置文件会复制到下列两个位置:
• | \Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004 |
• | \Documents and Settings\username\Local Settings\Application Data\Microsoft\Firewall Client 2004 |
当防火墙客户端设定有所修改时,会采用以下的喜好设定顺序:
1. | 以使用者文件夹中的 .ini 档案为优先。 |
2. | 防火墙客户端会在 All Users 文件夹中查看下一个档案。如果指定的设定值与使用者特定的设定不符,则将其略过。 |
3. | 防火墙客户端依据 [防火墙客户端管理] 对话框中指定的设定,侦测其应当与之联机的 ISA Server 计算机。 |
4. | 防火墙客户端会检查服务器层级设定。套用 ISA Server 上所指定的所有设定值。如果指定的设定值与用户特定或计算机特定的设定不符,则将其略过。 |
修改 ISA Server 管理中的设定值
在 ISA Server 管理中,您可以修改所有网络中所有防火墙客户端的设定值,亦可修改默认内部网络的防火墙客户端内容,或使用者定义的内部或周边网络。下表摘要列出 ISA Server 管理中的防火墙客户端设定。
|
设定 | 在 ISA Server 管理中的位置 | 详细资料 |
允许不使用加密的防火墙客户端联机 | 位于 [ISA Server 管理] 控制台树的 [一般] 节点中的 [定义防火墙客户端设定值] 中 | 此为套用到所有网络中所有防火墙客户端的通用设定。 允许未加密的联机支持早于 Firewall Client for ISA Server 2004 的防火墙客户端版本,或是允许在 Windows NT 4.0、Windows Me 或 Windows 98 上执行的防火墙客户端联机。 若选取这个选项,会封锁来自已验证使用者的未加密流量。请注意,唯有防火墙原则规则特别要求验证,才会验证使用者。 |
应用程序设定 | 位于 [ISA Server 管理] 的 [一般] 节点中的 [定义防火墙客户端设定值] 中 | 防火墙客户端应用程序设定属于通用设定,会套用到所有网络中所有的防火墙客户端。在 ISA Server 2006 Enterprise Edition 中,此设定会套用到数组中所有的网络。 应用程序设定包含 {key, value} 配对,用来指定防火墙客户端软件与特定应用程序的行为模式。 |
启用此网络的防火墙客户端支持 | 位在网络内容页面的 [防火墙客户端] 索引卷标上 | 启用某特定网络负责接听端口 1745 上从防火墙客户端传来的要求。 |
名称 | 位在网络内容页面的 [一般] 索引卷标上 | 若为特定网络,指定 ISA Server 计算机的完整域名 (FQDN) 供防火墙客户端使用。请确定客户端具有可用的 DNS 项目以解析此名称。如果没有可用的 DNS 服务器,则需指定 IP 地址。 |
使用 Web Proxy 服务器 | 位在网络内容页面的 [防火墙客户端] 索引卷标上 | 手动指定 ISA Server 计算机,供网络中的防火墙客户端当作 Web Proxy 使用。 |
自动侦测设定 | 位在网络内容页面的 [防火墙客户端] 索引卷标上 | 指出网络中防火墙客户端上的网页浏览器应使用 WPAD 项目,其系从 DHCP 或 DNS 服务器取得,用来自动探索含有 Wspad.dat 档案的 WPAD 服务器。Wspad.dat 内含处理 URL 要求时所应使用的 Proxy 服务器相关信息,以及其他防火墙客户端设定的信息。 |
使用自动设定脚本文件 | 位在网络内容页面的 [防火墙客户端] 索引卷标上 | 指定让网络中防火墙客户端上的网页浏览器从配置文件中取得设定。ISA Server 预设的配置文件内含处理 URL 要求时所应使用的 Proxy 服务器相关信息,以及在 [网页浏览器] 索引卷标和 [网域] 索引卷标上指定的设定信息。在 ISA Server 2006 Enterprise Edition 中,此脚本亦含有可用来处理特定 URL 要求的数组成员列表,以及用来散布快取功能的快取数组路由通讯协议 (CARP) 算法。您亦可建立自定义的 Proxy 自动配置文件。 |
这个网络中的网页服务器不使用 Proxy | 位在网络内容页面的 [网页浏览器] 索引卷标上 | 指定让网页浏览器直接存取位在其所属网络中的资源。 |
直接存取网域表中所指定的计算机 | 位在网络内容页面的 [网页浏览器] 索引卷标上 | 指出网页浏览器将不会使用网络内容页面的 [网域] 索引卷标上所指定的目的地 Proxy。 |
直接存取这些服务器或网域 | 位在网络内容页面的 [网页浏览器] 索引卷标上 | 提供所应直接存取的地址或网域列表。 |
如果 ISA Server 无法使用,使用这个备份路由来联机到因特网 | 位在网络内容页面的 [网页浏览器] 索引卷标上 | 指定当 ISA Server 无法使用时,让网页浏览器使用备份路由来处理 Web Proxy 要求。 |
域名 | 位在网络内容页面的 [网域] 索引卷标上 | 指定所应直接存取的网域。如此可确保客户端直接联机到本机网络中的服务器,而无需透过 ISA Server 回路绕送。网页浏览器在联机到特定外部网站时,可使用此清单略过 Web Proxy,而改为联机到防火墙客户端或 SecureNAT 客户端。若在 [网页浏览器] 索引卷标上启用 [直接存取网域表中所指定的计算机],即可使用此列表。若要略过 Proxy,要求必须同时符合列表中指定的 IP 地址范围及服务器或域名。 |
修改防火墙客户端计算机上的设定
使用 [Microsoft Firewall Client 管理] 对话框或修改配置文件,可在防火墙客户端计算机上进行设定。请注意下列事项:
• | 在客户端计算机上的 [Microsoft Firewall Client 管理] 对话框中指定的设定,会套用到防火墙客户端计算机上的所有用户。 |
• | 您亦可在 .ini 档案中修改所有使用者的设定,该档案位于 Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004 文件夹中。 |
• | 若要修改特定使用者的防火墙客户端设定,请修改位在 \Documents and Settings\username\Local Settings\Application Data\Microsoft\Firewall Client 2004 文件夹内的 .ini 档案。 |
修改应用程序设定
您可在 ISA Server 管理中修改应用程序设定,以套用到所有的防火墙客户端或某一特定防火墙客户端计算机。下表列出您在设定防火墙客户端应用程序设定时可纳入的项目。第一个直栏列出可以包括在配置文件中的机码。第二个直栏描述可设为机码的值。请注意,某些设定只能在防火墙客户端计算机上设定。
|
索引键 | 值 |
ServerName | 指定防火墙客户端应连接到的 ISA Server 计算机名称 (只能在防火墙客户端计算机上设定)。 |
Disable | 可能值:0 或 1。值设为 1 时,表示停用特定客户端应用程序的防火墙客户端应用程序,除非防火墙客户端设定明确免除起始流量的程序。 |
DisableEx | 可能值:0 或 1。值设为 1 时,表示停用特定客户端应用程序的防火墙客户端应用程序。套用到 ISA Server 2006 的防火墙客户端。若设定此项,会置换 Disable 设定。例如,依预设会启用 svchost 的 DisableEx。 |
Autodetection | 可能值:0 或 1。值设为 1 时,表示防火墙客户端应用程序会自动寻找其所应联机的 ISA Server 计算机 (只能在防火墙客户端计算机上设定)。 |
NameResolution | 可能值:L 或 R。依预设,小数点十进制表示法或因特网域名默认会重新导向到 ISA Server 计算机以进行名称解析,而所有其他名称都会在本机计算机上解析。如果值设为 R,则所有名称都会重新导向到 ISA Server 计算机以进行解析。如果值设为 L,则所有名称都会在本机计算机上解析。 |
LocalBindTcpPorts | 指定本机系结的 TCP 端口、清单或范围。 |
LocalBindUdpPorts | 指定本机系结的 UDP 端口、清单或范围。 |
DontRemoteOutboundTcpPorts | 指定不要透过 ISA Server 连接的输出 TCP 端口、清单或范围 (联机要求不会传送至 ISA Server)。请使用此项目来指定不要让客户端与 ISA Server 通讯的端口。在保护 ISA Server 防火墙不受内部网络的攻击时 (藉由存取随机位置上的固定端口来散布攻击),这很有用。 |
DontRemoteOutboundUdpPorts | 指定本机系结的输出 UDP 端口、清单或范围。 |
RemoteBindTcpPorts | 指定远程系结的 TCP 端口、清单或范围。 |
RemoteBindUdpPorts | 指定远程系结的 UDP 端口、清单或范围。 |
ProxyBindIP | 指定与对应端口相链接时使用的 IP 地址或列表。如有使用相同端口的多台服务器,需要链接到 ISA Server 计算机上相同端口的不同 IP 地址时,适合使用此项目。此项目的语法为: ProxyBindIp=[port]:[IP address], [port]:[IP address] 其端口号码会同时套用到 TCP 和 UDP 端口。 |
ServerBindTcpPorts | 指定应该接受多个联机之所有端口的 TCP 端口、清单或范围。 |
Persistent | 可能值:0 或 1。值设为 1 时,表示当服务已停止并重新启动且服务器无响应时,可在 ISA Server 计算机上维持特定的服务器状态。客户端会在使用中的会话期间,定期将持续作用讯息传送到服务器。如果服务器未响应,则客户端会在服务器重新启动时,尝试还原系结及接听套接字的状态。 |
ForceCredentials | 执行 Windows 服务或服务器应用程序 (如防火墙客户端应用程序) 时使用。如果值设为 1,它就会强制使用本机储存在执行服务之计算机上的替代用户验证凭证。用户认证是使用由防火墙客户端软件所提供的 FwcCreds.exe 应用程序,储存在客户端计算机上。使用者认证必须参照可由 ISA Server 验证的用户帐户,并且位于 ISA Server 本机区域,或是受 ISA Server 信任的网域中。用户帐户通常设为不会过期。否则,每当账户过期时,就必须更新使用者认证 (只能在防火墙客户端计算机上设定)。 |
NameResolutionForLocalHost | 可能值:L (预设)、P 或 E。当呼叫 gethostbyname API 时,用来指定本机 (客户端) 计算机名称的解析方式。 使用 LocalHost 字符串、空字符串或 NULL 字符串指针来呼叫 Winsock API 函数 gethostbyname(),即可解析 LocalHost 计算机名称。Winsock 应用程序会呼叫 gethostbyname(LocalHost),以寻找其本机 IP 地址并传送到因特网服务器。 如果此选项设为 L,gethostbyname() 就会传回本机主计算机的 IP 地址。如果此选项设为 P,gethostbyname() 就会传回 ISA Server 计算机的 IP 地址。此选项设为 E 时,gethostbyname() 只会传回 ISA Server 计算机的外部 IP 地址,亦即本机地址表以外的 IP 地址。 |
ControlChannel | 可能值:Wsp.udp 或 Wsp.tcp (预设)。指定所使用的控制通道类型。 |
EnableRouteMode | 可能值:0 或 1 (预设)。EnableRouteMode 设为 1,且已在防火墙客户端计算机与要求目的地之间设定路由关联性时,会以防火墙客户端的 IP 地址作为来源地址。此值若设为 0,则使用 ISA Server 计算机的 IP 地址。 这个旗标不适用于旧版的防火墙客户端。 |
在防火墙客户端计算机上,除了可以修改 Common.ini 及 Management.ini 档案外,您还能够针对所有使用者或单一特定使用者建立另一个名为 Application.ini 的档案,以便指定特定应用程序的设定信息。例如,若要指定特定应用程序 (FW_Client_App.exe) 的项目,应在 Application.ini 档案中设定以下范例:
[fw_Client_App]
Disable=0
NameResolution=R
LocalBindTcpPorts=7777
LocalBindUdpPorts=7000-7022, 7100-7170
RemoteBindTcpPorts=30
RemoteBindUdpPorts=3000-3050
ServerBindTcpPorts=100-300
ProxyBindIp=80:100.52.144.103, 82:110.51.0.0
Persistent=1
ForceCredentials=1
NameResolutionForLocalHost=L
防火墙客户端本机地址
每当防火墙客户端上执行的 Winsock 应用程序尝试向计算机传送要求时,防火墙客户端分层服务提供商会判定目的地 IP 地址是否为本机地址。如是,防火墙客户端便会将要求直接传送到目的地。如果目的地位在远程,会将要求传送到 ISA Server 计算机上的防火墙服务,由该服务根据 ISA Server 存取规则来处理要求。依默认,防火墙客户端会将下列地址视为本机:
• | 网络所在位置上的所有地址。ISA Server 会为网络中所有的防火墙客户端提供网络所涵盖的一组 IP 地址范围。这些 IP 地址范围由防火墙客户端代理程序存放在内存中。 |
• | 防火墙客户端计算机上的本机路由表中所指定的所有地址。 |
• | 防火墙客户端所在网络中,于网络内容页面的 [网域] 索引卷标上所指定的所有网域后缀。当防火墙客户端联机到此本机网域表中指定的网域时,要求会略过防火墙客户端设定。如此可确保该客户端直接联机到本机网络中的服务器,而无需透过 ISA Server 回路绕送。 |
• | 防火墙客户端计算机上设定的本机地址表 (Locallat.txt) 中所有的 IP 地址。Locallat.txt 档案可建立在本机的 \Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004 文件夹中。建立 Locallat.txt 文件时,请在档案中输入 IP 地址配对。每一个地址配对都定义 IP 地址范围或单一 IP 地址。下列范例显示具有两个项目的 Locallat.txt 档案。第一个项目为 IP 地址范围,第二个项目为单一 IP 地址。请注意,第二个项目是 IP 地址,而非子网掩码: • | 10.51.255.25510.51.255.255 | • | 10.52.144.10310.52.144.103 |
|
处理要求
防火墙客户端处理 IP 地址要求的方式如下:
• | 当客户端计算机上的 Winsock 应用程序尝试联机到某 IP 地址时,防火墙客户端会检查本机网域表,以判定该 IP 地址是否处于内部网络或位在网络外部。如果在本机网域表中找到其域名,即由客户端完成名称解析。否则,客户端会将要求传送到外部 DNS 服务器,要求 ISA Server 代为解析名称。 |
• | 当 ISA Server 代替防火墙客户端进行客户端要求解析时,系根据与收到防火墙客户端要求的网络相关之网络适配器上设定的 DNS 设定来完成名称解析。解析出的 IP 地址会传回防火墙客户端计算机,再由该计算机传送要求至目的地。ISA Server 根据网络适配器所设的生存时间 (TTL) 设定,快取其向防火墙客户端发出的 DNS 查询之查询结果。 |
• | 当名称解析传回目的地服务器的 IP 地址后,防火墙客户端会检查本机地址表及 Locallat.txt,以判定该地址是否为本机。若为内部地址,客户端即直接联机。否则,要求会透过 ISA Server 计算机上的防火墙服务予以处理。 |
名称解析
安装有防火墙客户端的计算机含有各应用程序的设定,用来指定是否由 ISA Server 代替客户端进行名称解析。依预设,在防火墙客户端上执行的 Winsock 应用程序要求,其名称解析的处理方式如下:
• | 小数点十进制表示法或因特网域名会重新导向到 ISA Server 计算机以进行名称解析。 |
• | 不完整的名称则在本机计算机上解析。 |
若要变更此预设行为,可使用下列值修改 NameResolution 设定值:
• | NameResolution=L.
以此设定指定由本机计算机负责解析应用程序要求。 |
• | NameResolution=R.
以此设定指定由 ISA Server 计算机负责解析应用程序要求。 |
若想确定应用程序的名称解析确实执行,不妨修改此设定。您可以修改 Common.ini 档案中的设定,藉此指定将设定套用到所有的应用程序。若要针对特定应用程序指定设定,请在 Application.ini 档案中设定该应用程序名称和值。
当网域及计算机指定为直接存取时,防火墙客户端计算机会尝试解析名称,而不透过 ISA Server。客户端计算机需要在 TCP/IP 参数中指定 DNS 服务器,才能正确解析名称。特别是,客户端计算机必须能够解析发行到内部 IP 地址的资源名称。
如果应用程序的 NameResolution 设定指定为 L 或 R,此设定会置换任何直接存取设定。例如,如果您将 NameResolution 设定指定为 FWC_Application.exe = R,则无论 ISA Server 防火墙客户端配置文件中是否有任何项目将要求目的地指定为本机,该应用程序的 FQDN 解析要求都一律由 ISA Server 处理。
验证
防火墙客户端会随每项要求传送用户讯息至 ISA Server 计算机。如此可让您建立针对特定群组及使用者套用的存取规则。用户必须以 Active Directory® 目录服务用户帐户登入,或者在工作组实例中,必须以镜像在 ISA Server 计算机上的用户帐户登入。当用户名称传送到 ISA Server 计算机时,会记录到 ISA Server 防火墙记录文件中。如此可方便追踪防火墙客户端流量。
回到页首
SecureNAT 客户端
下节提供 SecureNAT 客户端的相关信息,包括处理要求、设定 SecureNAT 客户端、名称解析、验证,以及服务器发行。
处理要求
ISA Server 必须仰赖要求中使用的 IP 地址及通讯协议内容,才能辨识 SecureNAT 客户端。来自 SecureNAT 客户端的要求会先导向网络地址转换 (NAT) 驱动程序,它会以因特网上有效的全局 IP 地址替换 SecureNAT 客户端的内部 IP 地址。客户端要求接着会导向到防火墙服务,以判定是否允许存取。防火墙服务也会快取所要求的对象,或是传递来自 ISA Server 快取的对象。由于来自 SecureNAT 客户端的要求是由防火墙服务来处理,因此 SecureNAT 客户端可有效利用防火墙服务安全性功能。所有的 ISA Server 规则皆可套用到 SecureNAT 客户端,且有关通讯协议使用方法、目的地及内容类型等原则,亦可套用到 SecureNAT 客户端。此外,要求可透过应用程序筛选器及其他扩充功能筛选。
若要能够处理复杂通讯协议 (需要多个主要或次要联机者),Microsoft Windows NAT 采用 NAT 编辑器,其系以内核模式的 NAT 编辑器驱动程序编写而成。ISA Server 应用程序筛选器取代了通常可透过 Windows 型 NAT 编辑器使用的功能,且能够修改通讯协议数据流,以便处理复杂的通讯协议。请注意下列限制:
• | SecureNAT 客户端只能使用在 ISA Server 中设有通讯协议定义的通讯协议。 |
• | 如果可在 ISA Server 计算机上使用应用程序筛选器,SecureNAT 客户端便可使用具有次要联机的复杂通讯协议,透过 ISA Server 来存取资源。 |
设定 SecureNAT 客户端
SecureNAT 客户端不需要特殊软件,但必须仰赖组织化的路由结构,将要求转寄到 ISA Server。您必须设定客户端计算机的默认网关,以便让目标通往因特网的所有流量藉由 ISA Server,以直接或间接方式透过路由器传送。设定预设网关内容时,请辨识您所设定的网络拓扑类型:
• | 简单网络。在简单网络实例中,SecureNAT 客户端与 ISA Server 计算机之间没有路由器,因此您应将 SecureNAT 客户端的预设网关设定为客户端所在的 ISA Server 网络 (通常为内部网络) 中的 IP 地址。您可以使用客户端上的 TCP/IP 设定值,手动设定这个值 (单击 [控制台] 中的 [网络] 图标,就可以存取这些设定)。 |
• | 复杂网络。在复杂网络中,SecureNAT 客户端与 ISA Server 计算机之间具有一或多个路由器,用来桥接多重子网。其链结中最后一个路由器上的预设网关设定,应指向 ISA Server。最佳状况是,路由器应该使用沿着可到达 ISA Server 计算机的最短路径来路由的默认网关。同时,路由器也不能设定为舍弃预定为企业网络外部之地址的封包。ISA Server 会判定路由传送封包的方式。 |
名称解析
SecureNAT 客户端能够向本机网络及因特网中的计算机要求对象。因此,SecureNAT 客户端需要可以解析外部及内部计算机名称的 DNS 服务器。在此提出下列建议:
• | 若为仅限因特网存取,您应在客户端上设定 TCP/IP 设定,以使用因特网上的 DNS 服务器。您应该建立存取规则,允许 SecureNAT 客户端使用 DNS 通讯协议,并针对 SecureNAT 客户端设定 DNS 筛选器。 |
• | 如果 SecureNAT 客户端同时向因特网及内部资源要求数据,则客户端应使用位于内部网络上的 DNS 服务器。您应该设定 DNS 服务器以解析内部地址及因特网地址。 |
特别是,当您在针对 SecureNAT 客户端设定名称解析时,请务必避免透过 ISA Server 计算机回路绕送内部资源要求。例如,假设 SecureNAT 客户端要求存取由外部网络上的 ISA Server 所发行的内部资源,名称解析不应将该要求解析成外部网络上的公用 IP 地址。若作如此解析,且 SecureNAT 客户端将要求传送到外部 IP 地址,则发行服务器可能会直接对 SecureNAT 客户端响应,造成响应丢失。客户端的来源 IP 地址会取代为 ISA Server 内部网络适配器的 IP 地址,而发行服务器将该 IP 地址视为内部地址,因而直接响应 SecureNAT 客户端。在此案例中,其中一向的封包系透过 ISA Server 以外的路径传送,另一方向的封包则透过 ISA Server 传送,但 ISA Server 会认定响应无效而予以丢弃。
验证
SecureNAT 客户端无法传送认证到 ISA Server。要验证 SecureNAT 客户端的连出要求,唯一可用的控件为 IP 地址。如果 ISA Server 存取规则要求验证,用户会看到验证讯息或失败讯息。
SecureNAT 客户端及服务器发行
使用 ISA Server 发行而发行的内部服务器通常会设定成 SecureNAT 客户端。
在服务器发行实例中,ISA Server 会在特定的 IP 地址及端口上,接听存取内部服务器的要求。一旦接获要求,ISA Server 即根据服务器发行规则,将该要求转寄到已发行的服务器。如果 ISA Server 设定为转寄要求至已发行的服务器时,需一并传送封包源自的外部客户端之原始来源 IP 地址,则必须将已发行的服务器设定为 SecureNAT 客户端。内部服务器需具备透过 ISA Server 通向因特网的默认路径,以便回复封包可经由 ISA Server 转译并传回来源 IP 地址。将已发行的服务器设定为 SecureNAT 客户端,即可确保其具备透过服务器发行来源的 ISA Server 计算机通向因特网的默认网关。如果已发行的服务器无法设定为 SecureNAT 客户端 (没有通向因特网的默认路径),请确定服务器发行规则是否选取 [要求看起来是来自 ISA Server 计算机] 设定。
Web Proxy 客户端
Web Proxy 客户端系一种客户端应用程序或计算机,负责传送要求至下列任一端口:
• | ISA Server 计算机上的端口 80。 |
• | ISA Server 用来接听连出 Web 要求的端口,该要求是从客户端计算机所在的网络发出。依默认,ISA Server 接听发自内部网络客户的连出Web 要求时,使用端口 8080。 |
Web Proxy 客户端通常是遵循 HTTP 1.1 的网页浏览器应用程序,且其 Proxy 设定设为传送 Web 要求至 ISA Server。设有 Web Proxy 设定的防火墙客户端及 SecureNAT 客户端也会以 Web Proxy 客户端身份发出 Web 要求。
请启用 ISA Server 默认内部网络及用户定义的内部和周边网络,以接听来自 Web Proxy 客户端的要求。请设定网络内容使其套用到网络中所有的 Web Proxy 客户端。对于未在安装有防火墙客户端软件的计算机上执行的网页浏览器,当启用网页浏览器进行自动侦测,或当网页浏览器设定有自动设定脚本的位置时,会套用上述设定。
设定 Web Proxy 客户端的浏览器设定
下表摘要列出可套用到 Web Proxy 客户端的网页浏览器设定。
|
设定 | 在 ISA Server 管理中的位置 | 详细资料 |
启用这个网络的 Web Proxy 客户端联机 | 位在网络内容页面的 [Web Proxy] 索引卷标上 | 启用网络使其接听来自Web Proxy 客户端的要求。 |
这个网络中的网页服务器不使用 Proxy | 位在网络内容页面的 [网页浏览器] 索引卷标上 | 指定让网页浏览器直接存取位在其所属网络中的资源。 |
直接存取网域表中所指定的计算机 | 位在网络内容页面的 [网页浏览器] 索引卷标上 | 指定网页浏览器不使用网络内容页面的 [网域] 索引卷标上所指定的目的地 Proxy。 |
直接存取这些服务器或网域 | 位在网络内容页面的 [网页浏览器] 索引卷标上 | 指定略过 Proxy 的网域及地址列表。除了在 [网域] 索引卷标上指定的略过网域清单外,您可同时启用此设定。凡是新增到此清单内的目的地,都应同时指定有 IP 地址及 FQDN,或单独指定 FQDN。例如,若要设定内部网络以进行直接存取,需新增内部网络的 IP 地址范围及内部网络域名。 |
当自动设定脚本中的网页浏览器向 ISA Server 发出要求时,即将所指定的 IP 地址范围、计算机及可供直接存取的网站 URL 清单传送到该浏览器;网页浏览器发出要求的方式有二,一种是使用 WPAD 呼叫 (\http://wpad.dat) 来寻找 ISA Server,或是以呼叫取得自动设定脚本位置 (默认位置为 http://ISAServer_Name:8080/array.dll?Get.Routing.Script)。
Web Proxy 筛选器
ISA Server 2006 中的 Web Proxy 筛选器代表网络中要求 HTTP 和 HTTPS 对象且受 ISA Server 保护的客户端,在应用层级中运作。这类 Web 要求可利用应用层检查及快取,其来源不一而足,例如有:
• | 来自 Web Proxy 客户端的要求。来自 Web Proxy 客户端的 Web 要求 (HTTP、HTTPS 或下载用的 FTP);该客户端在浏览器设定中将 ISA Server 指定为 Proxy 服务器;这类要求会直接传送到 Web Proxy 筛选器。 |
• | 来自 SecureNAT 或未设定为 Web Proxy 客户端的防火墙客户端之要求。依预设,HTTP 系结到 Web Proxy 筛选器。在此设定下,来自非 Web Proxy 客户端的客户端 Web 要求,会以通透方式从防火墙服务传送到 Web Proxy 筛选器进行处理。此即所谓的通透 NAT。套用 NAT,以在因特网上有效的全局 IP 地址替代客户端要求的内部 IP 地址,藉此保护内部地址。 |
