|
客户端的管理 ISA Server内部网络的所有计算机不论是服务器或一般用户计算机都称为ISA Server的Client端共可分为三种类型Firewall ClientSecureNAT ClientWeb Proxy Client首先必须知道如何区分此三种Client类型以及它们有何不同点说明如下 ●Firewall Client任何一部用户计算机上安装Firewall Client软件者便是Firewall Client端计算机 ●SecureNAT Client凡是「非」Firewall Client端的计算机者都是SecureNAT Client端计算机 ●Web Proxy Client凡在浏览器上指定使用ISA Server的上网代理服务(Proxy Service)者都是Web Proxy Client端计算机 由以上明确的区分来看ISA Server的内部网络的所有计算机不是Firewall Client端就是SecureNAT Client端而Web Proxy Client端可以是Firewall Client端也可以是SecureNAT Client端那么三者有何不同可由下表来分析说明 不同点 Firewall Client SecureNAT Client Web Proxy Client 是否需要安装? 是 否 否 操作系统? 只支持Window系列的操作系统 任何操作系统都可以(含麦金塔Linux等)只要是支持TCP/IP都可以 任何操作系统都可以(含麦金塔Linux等)只要能执行浏览器者都可以 当网络架构改变时 没影响 Gateway要修改 没影响 用户认证? IP IP或用户名称 浏览器 支持何种通讯协议 全部 Winsock HTTPHTTPSFTP 图表现出三种Client端的包(Packet)传送至外部网络(Internet)的流动路线但不论是哪一种Client端ISA Server都可以保证它在内部网络上以及访问Internet数据时都十分安全 图Client端的包流动路线 SecureNAT Client SecureNAT(Secure Network Address Translation)Client端的计算机是ISA Server内部网络里最普遍的一种Client端形式也是对ISA Server的特色(Feature)支持最完整的因为在SecureNAT Client端计算机上不需要安装任何软件当ISA Server防火墙建立完成后内部网络的计算机(不论是服务器或一般用户计算机)只要把Gateway指向ISA Server的对「内」网卡IP位置这台计算机就称为SecureNAT Client端计算机例如用户计算机的IP是而ISA Server对「内」网卡IP位置是那么Gateway设置如图即可 图SecureNAT Client端计算机的Gateway设置 ISA Server的内部网络基本上可以概分为两种只有一层(不一定是一台)防火墙的网络部署内部网络所有的计算机(包含服务器)与ISA Server之间都不需要路由(Routing)可以直接将Gateway指向ISA Server的IP位置这种称为「简易网络部署」(Simple Network)另一种称为「复杂网络部署」(Complex Network)就是有二层以上的ISA Server网络部署或者有DMZ设计者内部网络的计算机与「对外」的ISA Server中间需要路由(Routing)也就是「对外」的ISA Server与第二层的ISA Server存在链(Chain)的关联只要内部网络的计算机将Gateway指向第二层的ISA Server的IP位置也就是SecureNAT Client端计算机 不论内部网络的计算机本身的IP是手动设置的固定IP或者是由DHCP服务器分配所得的动态IP都不影响SecureNAT Client端设置但是DNS指向(请参考图)应该是外部网络的DNS Server如果是指向内部网络的DNS Server那么此DNS Server必须要能够与Internet交换换句话说此DNS Server必须发布(Publish)出去一旦计算机成为SecureNAT Client端就受限于Application Filters里的DNS Filter(可参考第节应用程序过滤的说明) SecureNAT Client端的计算机只要是支持TCP/IP协议任何操作系统都可以(含麦金塔Linux等)成为ISA Server的内部成员受到ISA Server的完整保护 Firewall Client 当网络中需要使用Winsock的应用程序时就必须在用户计算机上安装Firewall Client的软件此时这台计算机就是ISA Server的Firewall Client端计算机在介绍安装Firewall Client的软件之前我们先说明安装的四种限制 ●限制一Firewall Client的软件不可以安装在ISA Server的本机上 ●限制二ISA Server的安装模式如果是Cache Mode的话内部网络将不支持Firewall Client端计算机 ●限制三欲使用的Winsock应用程序必须要能穿越ISA Server也就是ISA Server有安装支持此应用程序的网络通讯协议而且ISA Server只支持Winsock 以上版本 ●限制四ISA Server只支持Windows Windows Windows MEWindows NTWindows 等操作系统为Firewall Client端计算机而位的Winsock应用程序只支持Windows NTWindows 两种操作系统为Firewall Client端计算机 排除以上四种限制后就可以开始安装Firewall Client的软件在ISA Server的CD光盘中有个「Clients」的目录里面有一个Setupexe安装程序如果直接在用户计算机上执行此安装程序将会出现图的提示窗口表示不可以在CD光盘上直接执行Firewall Client的安装必须透过「网络邻居」由ISA Server主机上执行一个共享文件Clients目录下的Setupexe安装程序 图安装Firewall Client的提示画面 可以透过「网络邻居」直接执行ISA Server主机上的Firewall Client端的安装程序也可以在用户计算机上按「开始」→「执行」然后输入// ISA Server主机名称/ Clients/ Setupexe或者直接执行安装也可以不论如何都会出现Firewall Client的向导欢迎画面(如图)请直接按下「Next」钮进入下一步 图Firewall Client的向导欢迎画面 接着会出现「选择安装目录」的窗口(如图)可以按下「Change」钮更改系统安装目录一般建议都会直接使用系统预设的指定目录然后按下「Next」钮进入下一步 图Firewall Client的安装目录 接下来会出现向导已经准备好安装前的一切动作提示窗口(如图)直接按下「Install」钮执行安装然后进入下一步 图Firewall Client的安装提示窗口 接着出现一连串安装动作如图向导会由ISA Server上自动安装或复制许多对象至用户计算机上当完成时直接按下「Next」钮进入下一步 图Firewall Client的安装过程窗口 出现安装向导完成画面(如图)直接按下「Finish」钮即可完成Firewall Client的安装 图Firewall Client的安装完成窗口 当用户计算机安装完成Firewall Client的软件后就可以透过ISA Server特别指定的信道至外界访问数据也会在用户计算机上的控制台安装一个Firewall Client端的图标控件(如图) 图控制台上的控件 如果要设置Firewall Client端的运行进入用户计算机上的「控制台」用鼠标双击「Firewall Client」图标会出现设置项目(如图)说明如下 Enable Firewall Client 预设是启动的如果要停止Firewall Client端的运行只要将打勾取消即可 Automatically Detect ISA Server 可以自动与ISA Server本机的Firewall Client配置作更新动作系统预设每小时或者在用户计算机重新启动时都会触发配置更新的动作预设是没有启动的请自行勾起 Use This ISA Server 预设已经输入一台ISA Server主机名称旁边有一个「Update Now」的按钮按下时会立即与ISA Server主机作配置更新的动作如果成功会出现图的连结成功提示窗口 Show Firewall Client Icon On Taskbar 当Firewall Client有运行时在用户计算机桌面上的系统托盘右边区域会出现一个地球上有一条插头的图标 Hide The Taskbar Icon When Connected Firewall Client未必时时刻刻都与ISA Server主机连结着如果勾选此项当Firewall Client与ISA Server主机连结时会将用户计算机桌面上的系统托盘右边区域图标隐藏起来 图Firewall Client端的设置画面 图配置更新连结成功提示窗口 用户的计算机在安装Firewall Client软件后除了在「控制台」内增加设置图标外还在系统预设目录(C:\Program Files \ Microsoft ISA Server \)上增加了一些文件说明如下 FIREWALLCLOG 每次安装Firewall Client软件后在系统预设目录下一定会产生一个Log文件文件名为FIREWALLCLOG此文件可以解决许多设置问题因为里面有许多安装及服务的内容 图是一个FIREWALLCLOG文件的范例 图FIREWALLCLOG文件范例 MSPLATTXT 如果有设置配置自动更新的话MSPLATTXT会被自动且有规律的更新当一个Winsock应用程序被新建时或被要求访问时都由此文件来决定是在防火墙内或防火墙外因为此文件记录LAT(Locate Address Table)的IP位置 MSPCLNTINI 如果设置配置自动更新MSPCLNTINI会被自动且有规律的更新此文件设置了Firewall Client许多重要的项目(如图 的MSPCLNTINI文件范例)但不建议由此更改设置值应该由ISA Server本机修改后用户计算机执行配置更新的动作或等小时后Firewall Client端的所有计算机自动更新 图MSPCLNTINI文件范例 WSPCFGINI 即使有设置配置自动更新WSPCFGINI也不会被更新但是可以自行更改其内的设置值此文件内设置了用户计算机内的应用程序信息 MPCVERTXT 此处记录着版本信息例如Microsoft Fir |
