客戶端的管理
ISA Server內部網絡的所有計算機
不論是服務器或一般用戶計算機
都稱為ISA Server的Client端
共可分為三種類型
Firewall Client
SecureNAT Client
Web Proxy Client
首先必須知道如何區分此三種Client類型
以及它們有何不同點
說明如下
●Firewall Client
任何一部用戶計算機上安裝Firewall Client軟件者
便是Firewall Client端計算機
●SecureNAT Client
凡是「非」Firewall Client端的計算機者
都是SecureNAT Client端計算機
●Web Proxy Client
凡在浏覽器上指定使用ISA Server的上網代理服務(Proxy Service)者
都是Web Proxy Client端計算機
由以上明確的區分來看
ISA Server的內部網絡的所有計算機
不是Firewall Client端
就是SecureNAT Client端
而Web Proxy Client端可以是Firewall Client端
也可以是SecureNAT Client端
那麼三者有何不同
可由下表來分析說明
不同點 Firewall Client SecureNAT Client Web Proxy Client
是否需要安裝? 是 否 否
操作系統? 只支持Window系列的操作系統 任何操作系統都可以(含麥金塔
Linux等)
只要是支持TCP/IP都可以 任何操作系統都可以(含麥金塔
Linux等)
只要能執行浏覽器者都可以
當網絡架構改變時 沒影響 Gateway要修改 沒影響
用戶認證? IP IP或用戶名稱 浏覽器
支持何種通訊協議 全部 Winsock HTTP
HTTPS
FTP
圖
表現出三種Client端的包(Packet)
傳送至外部網絡(Internet)的流動路線
但不論是哪一種Client端
ISA Server都可以保證它在內部網絡上以及訪問Internet數據時
都十分安全
圖
Client端的包流動路線
SecureNAT Client
SecureNAT(Secure Network Address Translation)Client端的計算機
是ISA Server內部網絡裡最普遍的一種Client端形式
也是對ISA Server的特色(Feature)支持最完整的
因為在SecureNAT Client端計算機上不需要安裝任何軟件
當ISA Server防火牆建立完成後
內部網絡的計算機(不論是服務器或一般用戶計算機)
只要把Gateway指向ISA Server的對「內」網卡IP位置
這台計算機就稱為SecureNAT Client端計算機
例如
用戶計算機的IP是
而ISA Server對「內」網卡IP位置是
那麼Gateway設置如圖
即可
圖
SecureNAT Client端計算機的Gateway設置
ISA Server的內部網絡
基本上可以概分為兩種
只有一層(不一定是一台)防火牆的網絡部署
內部網絡所有的計算機(包含服務器)
與ISA Server之間都不需要路由(Routing)
可以直接將Gateway指向ISA Server的IP位置
這種稱為「簡易網絡部署」(Simple Network)
另一種稱為「復雜網絡部署」(Complex Network)
就是有二層以上的ISA Server網絡部署
或者有DMZ設計者
內部網絡的計算機與「對外」的ISA Server中間需要路由(Routing)
也就是「對外」的ISA Server與第二層的ISA Server存在鏈(Chain)的關聯
只要內部網絡的計算機將Gateway指向第二層的ISA Server的IP位置
也就是SecureNAT Client端計算機
不論內部網絡的計算機
本身的IP是手動設置的固定IP
或者是由DHCP服務器分配所得的動態IP
都不影響SecureNAT Client端設置
但是DNS指向(請參考圖
)應該是外部網絡的DNS Server
如果是指向內部網絡的DNS Server
那麼此DNS Server必須要能夠與Internet交換
換句話說
此DNS Server必須發布(Publish)出去
一旦計算機成為SecureNAT Client端
就受限於Application Filters裡的DNS Filter(可參考第
節
應用程序過濾的說明)
SecureNAT Client端的計算機
只要是支持TCP/IP協議
任何操作系統都可以(含麥金塔
Linux等)成為ISA Server的內部成員
受到ISA Server的完整保護
Firewall Client
當網絡中需要使用Winsock的應用程序時
就必須在用戶計算機上安裝Firewall Client的軟件
此時這台計算機就是ISA Server的Firewall Client端計算機
在介紹安裝Firewall Client的軟件之前
我們先說明安裝的四種限制
●限制一
Firewall Client的軟件
不可以安裝在ISA Server的本機上
●限制二
ISA Server的安裝模式如果是Cache Mode的話
內部網絡將不支持Firewall Client端計算機
●限制三
欲使用的Winsock應用程序
必須要能穿越ISA Server
也就是ISA Server有安裝支持此應用程序的網絡通訊協議
而且ISA Server只支持Winsock
以上版本
●限制四
ISA Server只支持Windows
Windows
Windows ME
Windows NT
Windows
等操作系統為Firewall Client端計算機
而
位的Winsock應用程序
只支持Windows NT
Windows
兩種操作系統為Firewall Client端計算機
排除以上四種限制後
就可以開始安裝Firewall Client的軟件
在ISA Server的CD光盤中有個「Clients」的目錄
裡面有一個Setup
exe安裝程序
如果直接在用戶計算機上執行此安裝程序
將會出現圖
的提示窗口
表示不可以在CD光盤上直接執行Firewall Client的安裝
必須透過「網絡鄰居」
由ISA Server主機上執行一個共享文件
Clients目錄下的Setup
exe安裝程序
圖
安裝Firewall Client的提示畫面
可以透過「網絡鄰居」直接執行ISA Server主機上的Firewall Client端的安裝程序
也可以在用戶計算機上按「開始」→「執行」
然後輸入
// ISA Server主機名稱/ Clients/ Setup
exe
或者直接執行安裝也可以
不論如何都會出現Firewall Client的向導歡迎畫面(如圖
)
請直接按下「Next」鈕
進入下一步
圖
Firewall Client的向導歡迎畫面
接著會出現「選擇安裝目錄」的窗口(如圖
)
可以按下「Change」鈕
更改系統安裝目錄
一般建議都會直接使用系統預設的指定目錄
然後按下「Next」鈕
進入下一步
圖
Firewall Client的安裝目錄
接下來會出現向導已經准備好安裝前的一切動作提示窗口(如圖
)
直接按下「Install」鈕執行安裝
然後進入下一步
圖
Firewall Client的安裝提示窗口
接著出現一連串安裝動作
如圖
向導會由ISA Server上
自動安裝或復制許多對象至用戶計算機上
當完成時直接按下「Next」鈕
進入下一步
圖
Firewall Client的安裝過程窗口
出現安裝向導完成畫面(如圖
)
直接按下「Finish」鈕即可完成Firewall Client的安裝
圖
Firewall Client的安裝完成窗口
當用戶計算機安裝完成Firewall Client的軟件後
就可以透過ISA Server特別指定的信道至外界訪問數據
也會在用戶計算機上的控制台安裝一個Firewall Client端的圖標控件(如圖
)
圖
控制台上的控件
如果要設置Firewall Client端的運行
進入用戶計算機上的「控制台」
用鼠標雙擊「Firewall Client」圖標
會出現設置項目(如圖
)
說明如下
Enable Firewall Client
預設是啟動的
如果要停止Firewall Client端的運行
只要將打勾取消即可
Automatically Detect ISA Server
可以自動與ISA Server本機的Firewall Client配置作更新動作
系統預設每
小時或者在用戶計算機重新啟動時
都會觸發配置更新的動作
預設是沒有啟動的
請自行勾起
Use This ISA Server
預設已經輸入一台ISA Server主機名稱
旁邊有一個「Update Now」的按鈕
按下時會立即與ISA Server主機作配置更新的動作
如果成功會出現圖
的連結成功提示窗口
Show Firewall Client Icon On Taskbar
當Firewall Client有運行時
在用戶計算機桌面上的系統托盤右邊區域
會出現一個地球上有一條插頭的圖標
Hide The Taskbar Icon When Connected
Firewall Client未必時時刻刻都與ISA Server主機連結著
如果勾選此項
當Firewall Client與ISA Server主機連結時
會將用戶計算機桌面上的系統托盤右邊區域圖標隱藏起來
圖
Firewall Client端的設置畫面
圖
配置更新連結成功提示窗口
用戶的計算機在安裝Firewall Client軟件後
除了在「控制台」內增加設置圖標外
還在系統預設目錄(C:\Program Files \ Microsoft ISA Server \)上
增加了一些文件
說明如下
FIREWALLC
LOG
每次安裝Firewall Client軟件後
在系統預設目錄下
一定會產生一個Log文件
文件名為FIREWALLC
LOG
此文件可以解決許多設置問題
因為裡面有許多安裝及服務的內容
圖
是一個FIREWALLC
LOG文件的范例
圖
FIREWALLC
LOG文件范例
MSPLAT
TXT
如果有設置配置自動更新的話
MSPLAT
TXT會被自動且有規律的更新
當一個Winsock應用程序被新建時
或被要求訪問時
都由此文件來決定
是在防火牆內或防火牆外
因為此文件記錄LAT(Locate Address Table)的IP位置
MSPCLNT
INI
如果設置配置自動更新
MSPCLNT
INI會被自動且有規律的更新
此文件設置了Firewall Client許多重要的項目(如圖
的MSPCLNT
INI文件范例)
但不建議由此更改設置值
應該由ISA Server本機修改後
用戶計算機執行配置更新的動作
或等
小時後Firewall Client端的所有計算機自動更新
圖
MSPCLNT
INI文件范例
WSPCFG
INI
即使有設置配置自動更新
WSPCFG
INI也不會被更新
但是可以自行更改其內的設置值
此文件內設置了用戶計算機內的應用程序信息
MPCVER
TXT
此處記錄著版本信息
例如
Microsoft Fir
From:http://tw.wingwit.com/Article/os/fwq/201311/10193.html
