讓内網使用者通過ISA通路外網

讓内網使用者通過isa通路外網，

ISA的代理服務支援三種用戶端，分别是:Web代理用戶端，防火牆用戶端，SNAT用戶端，先寫一下今天的實驗環境，beijing 還是上次剛剛部署完的isa伺服器Berlin模拟内網使用者，ip為10.1.1.2，網卡用本地的選local only的那塊，一塊網卡就夠，Istanbul模拟外網，ip為192.168.11.102，子網路遮罩自動就行，其他的先不填，目的隻是為了讓内網使用者能夠通過isa通路到外網，用Istanbul隻是在實驗環境，如果接網友善的話也可以不用，隻是為了邏輯上講的通就行，預設情況下，沒做任何的防火牆政策，是以現在我們先簡單的做個政策讓使用者能夠通路，

打開開始程式，microsoft isa sever，ISA 伺服器管理，點開beijing前的加号，在右擊防火牆政策，選擇建立，通路規則，通路規則名添一個，但一定要能清楚地識别，想想你要是寫個123 abc之類的，要是做個二三十條你可就麻煩了，下一步，既然我們是讓使用者通過那肯定要選允許了嘛，下一步，此協定應用到這，就選個所有出站通訊，因為剛接觸嘛，規則就做的寬一點，下一步，至于從哪來，到哪去這我們就選個從任何地點到任何地點吧。使用者就來個所有使用者，下一步，完成，之後在應用一下政策。現在要是不應用是不會生效的，那個要是選丢棄那剛才做的就被删掉了，

接着嘗試第二種方法：防火牆用戶端代理，那麼如何在用戶端安裝呢，我是這樣做的，在用戶端挂上鏡像，打開我的電腦，右擊D盤，選擇打開，找到client的檔案夾，（就是第一個）輕按兩下setup.exe 檔案，安裝過程很簡單，提取檔案進入引導界面之後，下一步，同意許可協定，下一步，預設安裝位置，下一步，自動檢測合适的isa伺服器，下一步，安裝等待，ok完成輕按兩下一下桌面右下角的小圖示isa的那個，選擇設定下面的設定，手動指定isa伺服器到beijing上測試一下，，應用确定，在通路Istanbul之前别忘把用web代理的設定的給停一下，不出意外的話應該通路成功，我在做這個的時候，用自動檢測是失敗的，不知哪位大蝦看到後能否給解釋一下是怎麽回事，？

微軟是希望使用者使用上面這兩種方式的，因為都支援內建驗證，但是web的功能有限，用戶端又不适合其他的作業系統，那我們怎麼辦呢？不急還有snat用戶端嘛？來試試，先把防火牆用戶端給停一下，輕按兩下右下角的圖示，選擇設定，把原先勾選的啟用ISA Sever的那個給取消掉，給客戶機配上網關和dns就行了網關我們寫成beijing的内網ip10.1.1.1,,,,DNS那寫beijing的外網ip如192.168.11.101

接着試試吧，

接着說說三種的差別，web代理呢支援身份驗證，具有緩存功能，但是有限制，如不能通路像bbs一樣的站點，

防火牆用戶端呢，支援身份驗證，但是需要在用戶端安裝軟體，如果在域的環境下還好可以強制釋出一下，但要是在工作組環境下要一台一台的裝，我想這不是工程師想幹的活。

那要是你不想麻煩，或者用戶端的機子類型也很亂，unix linux，或者還有蘋果的，那你就選SNAT吧，

本文轉自 yuzeying1 51CTO部落格，原文連結:http://blog.51cto.com/yuzeying/133256