0x00. 為了測試基于HTTP隧道的繞過ISA,必須搭模組化拟環境,為了不麻煩,我們這裡不配合域環境認證.本次實驗利用Vmware 10.0搭建環境,實作ISA2006安裝和部署,同時設定基于HTTP代理通路的問題.
本人在ISA的應用上也算是新手,查找了不少資料,有不對的還望批評指正.
搭建環境說明:
Vmware Workstation 10.0
Window 2003 ( ISA_SERVER)
Window 2003 (客戶機)
0x01.各台機器配置:
[Win2003-ISA2006 雙網卡:]
網卡1:(辨別WAN) - 在虛拟機選擇Bridge模式
配置靜态IP:192.168.1.200 /24 網關:192.168.1.1
網卡2:(辨別LAN) - 在虛拟機選擇Bridge模式
靜态配置IP:192.168.2.1/24 網關:NULL
[Win2003 - 客戶機設定]
單網卡,采用Host-only
靜态IP:192.168.2.5 /24 ,網關192.168.2.1
0x02 ISA2006配置
ISA2006安裝過程很簡單,不清楚看下面參考文檔唯一要設定一個就是制定内網IP範圍,這裡我們指定上一步規劃的内網ip 192.168.2.1~255即可.安裝過程需要用到Window2003 系統CD光牒,安裝完畢後需要重新開機一下.
重新開機後,我們看下ISA_server能夠上網和客戶機能否上網.首先我們看下一下兩台電腦IP配置如圖3,4:
在Server機器上ping 192.168.2.99 ,是可以ping通的(關閉了客戶機防火牆),在客戶機ping 192.168.2.1,發現無法ping通,因為Server機器上安裝了ISA起作用了,而且在安裝ISA的時候已經停止了預設的防火牆.因為ISA預設配置的防火牆政策是禁止所有的網絡通信,是以在Server機器上和客戶機上都無法上網,在Server機器上通路Robot‘s
Blog(,如圖5:
最後提示是ISA拒絕通路了,說明ISA起作用了.同樣在客戶機上也無法通路.下面我們利用開啟HTTP代理上網.
0x03 基于HTTP代理上網
配置Server本機可以上網,添加規則,如圖06:
建立的規則資訊:
添加完畢,選擇應用,,注意這個需要重新開機機器才能生效.
設定讓客戶機能夠上網HTTP代理模式
同樣如圖6,添加一條規則,規則資訊不一樣而已:
然後選擇該規則右鍵"屬性",切換到Web代理對話框,啟用http代理,采用預設配置确定後完如圖07:
接下來我們在客戶機設定IE代理模式上網,打開IE,工具->Internet選項,切換到"連結"标簽,設定如圖08:
設定完就可以上網了(如果沒有生效重新開機下ISA_Server吧,蛋疼.).這個就是基于ISA的HTTP代理上網,常用還有另外兩種,基于防火牆的代理和SNAT代理.同時這些代理模式都支援各種認證,比如內建NTLM的認證和證書認證等等方法.這也是國外企業常用的一種安全模式。
0x04總結
基于ISA2006的防火牆的企業内網已經非常多的應用于很多企業,特别是在國外,這種防火牆能夠很好的保證企業内網的安全,雖然有點蛋疼,但是有應用就會有突破.本文的測試的目的就是為了測試基于HTTP隧道對于ISA的ByPass.有任何疑問可以到
參考文檔: