本章概要
• 一旦把 ISA Server 安装为防火墙,所有客户计算机的 Internet 访问都默认被禁止。本章将逐步地引导您为这些用户配置安全 Internet 访问服务。这些步骤包括:评估客户的需求、决定是否安装防火墙客户端软件、把网络的 Web 浏览器配置为使用 ISA Server 作为代理服务器、创建协议规则来允许 Internet 通信可以动态地通过防火墙或者仅在需要时通过。配置客户端访问可能需要配置 ISA Server 的自动发现 (Automatic Discovery) 特性。该特性允许客户端可以自动地连接到网络上的 ISA Server 。同时还需要在 ISA Server 中配置拨号项。本章还概述了排除客户端连接故障的方法和工具。
先决条件
为了学习本章,您必须
• 达到“前言”中的要求, Server1 的 IP 地址配置为 192.168.0.1 , Server 2 的 IP 地址配置为 192.168.0.2 。同时, Server1 必须建立到 Internet 的拨号连接。
• 完成第 2 章的练习题,在 Server1 上以集成模式安装 ISA Server ,阵列名为 MyArray 。
安装 ISA Server 之后,就可以对本地客户机进行安全访问配置。对于所有的客户端请求, ISA Server 通过分析访问协议规则来决定是否允许访问。如果请求得到允许, ISA Server 就会动态地打开和关闭通信所需的端口。
为本地客户端建立安全的 Internet 访问要求先决定是将内部客户端设置为安全网络地址转换客户端还是防火墙客户端。接下来,把客户机上的 Web 浏览器配置为使用 ISA Server 代理服务。最终,一旦配置了客户端,就必须在 ISA Server 上创建允许 Internet 协议通过防火墙的协议规则。
• 描述安全网络地址转换、防火墙 以及代理服务客户端在特性和配置要求方面的不同之处
• 为客户机配置通过 ISA Server 的安全 Internet 访问
• 把 Microsoft Internet Explorer 浏览器配置为使用 ISA Server Web 代理服务
• 在客户机上安装防火墙客户端软件
ISA Server 支持如下 3 种类型的客户端:
• 防火墙客户端:安装并启用了防火墙客户端软件的客户端
• 安全网络地址转换 客户端:尚未安装防火墙客户端软件的客户机
• Web 代理客户端:配置为使用 ISA Server 的客户端 Web 应用程序
|
特 性 |
安全网络地址转换 客户端 |
防火墙客户端 |
Web 代理客户端 |
|
是否需要安装 |
否,但是有些网络设置需要改变 |
是 |
否,需要 Web 浏览器配置 |
|
操作系统支持 |
任何支持 TCP/IP 协议的系统 |
只有 Windows 操作 平台 |
所有操作平台,但是需以 Web 应用的方式 |
|
协议支持 |
需要针对多连接协议的程序 |
所有的 Winsock 应用程序 |
HTTP 、 S-HTTP 、 FTP 以及 Gopher |
|
用户级身份验证 |
不需要 |
需要 |
需要 |
|
服务器应用程序 |
不需要配置或安装 |
需要配置文件 |
N/A |
防火墙客户端和 安全网络地址转换 客户端也可以设置为 Web 代理客户端。这是因为所有的 Web 代理客户端会话 ( 换句话说,就是由浏览器发出的 Web 请求。该浏览器 配置为把 ISA Server 作为代理服务器使用 ) 都直接发送给 Web 代理服务。所有其他的网络请求,不管是防火墙客户端会话还是 安全网络地址转换 客户端会话都是直接发送给 ISA Server 防火墙服务。
在安装或配置客户端软件之前,评估组织的需要。确定内部客户端需要哪一种应用软件和服务,确定要如何发布服务器。然后,再看 ISA Server 支持的不同客户端类型如何能满足这些需要。
实际上,您给每一个客户机所做的选择无非是要么给它安装防火墙客户端软件,要么是简单地把客户端设定为 安全网络地址转换 客户端。表 3.2 列出了适用某一种客户端类型的情况。
|
|
注意 配置 Internet 访问, ISA Server 服务器本机不建立 Internet 访问。要实现这一点,需要创建 IP 数据数据包筛选器。第 4 章会对创建 IP 数据数据包筛选器进行讨论。 |
|
网络需求 |
推荐的客户端类型 |
理 由 |
|
要避免安装客户端软件或者配置客户端 |
安全网络地址转换 |
安全网络地址转换客户端不需要任何软件和指定的配置。而防火墙客户端需要安装防火墙客户端软件 |
|
只把 ISA Server 用于 Web 对象的 正向缓存 |
安全网络地址转换 |
如果在此情况下,使用 安全网络地址转换客户端,就不必安装任何特殊的软件或者配置客户端。相反,客户端的请求透明地传给 ISA Server 的防火墙服务系统,进而传递给代理服务器进行缓存 |
|
要创建基于用户的访问规则来控制非 Web 的 Internet 访问 |
防火墙客户端 |
如果使用防火墙客户端,就可以 为非 Web 的 Internet 会话 配制基于用户的访问策略规则。可以在 安全网络地址转换和防火墙客户端上 为 Web 代理客户端配置基于用户的规则。 但是,只有把 ISA Server 配置为要求 Web 应用程序包括每一次会话的身份验证信息,这些规则才有效 |
|
发布位于本地网络的服务器 |
安全网络地址转换 |
内部服务器可以作为安全网络地址转换客户端发布。这样排除了在发布服务发布上创建特殊配置文件的需要。相反,只需在 ISA Server 上创建一个服务器发布规则即可 |
|
让您的网络支持漫游计算机和用户 |
防火墙客户端 |
安全网络地址转换客户端不支持 ISA Server 的自动发现特性。配置自动发现特性时,所有的 Web 代理客户端和防火墙客户端自动发现一台适当的 ISA Server 计算机。这样,漫游客户可以在需要的时候连接到适当的 ISA Server 计算机 |
|
客户端需要访问 ( 从 Web 浏览器之外 ) 有辅助连接的协议,如 FTP |
防火墙客户端 |
安全网络地址转换客户端不支持有辅助连接的协议 |
|
要支持来自客户端的 非 Web 会话的按需拨号 |
防火墙客户端 |
虽然 Web 代理会话支持在 安全网络地址转换 和防火墙客户端上的自动拨出,但只有防火墙客户端支持 非 Web 会话的按需拨号 |
安全网络地址转换 客户端不要求在客户端上安装指定的软件。然而,您必须考虑网络拓扑结构并确保 ISA Server 计算机能够为来自客户机的请求提供服务。
具体地说,就是 安全网络地址转换 客户端的默认网关必须要合理配置。设置默认网关属性时,确定您正配置的网络拓扑结构是如下两种类型中的哪一种:
• 简单网络 简单网络拓扑在 安全网络地址转换 客户端和 ISA Server 计算机之间没有配置任何路由器。
• 复杂网络 复杂网络拓扑有一个或多个路由器,来连接配置在 安全网络地址转换 客户端和 ISA Server 计算机之间的多个子网。
在简单网络上配置 安全网络地址转换 客户端时,需要把 它 的默认网关设定设为 ISA Server 计算机的内部网络地址卡的 IP 地址。使用客户端上的 TCP/IP 协议设置,可以手工进行设置。 ( 这些协议设置可以通过单击控制面板的 Network 图标来设定 ) 。此外,也可以使用 DHCP 服务来自动配置这些设置。
要在复杂网络上配置 安全网络地址转换 客户端,应该把默认网关设定设置到 安全网络地址转换 客户端和 ISA Server 链接的最后一个路由器上。在这种情况下,不需要改变 安全网络地址转换 客户端的默认网关设置。
当然最好是由沿着最短路径把通信路由给 ISA Server 的路由器来使用默认网关。同时,路由器不应该设置为放弃指向公司网络以外地址的数据包,应该由 ISA Server 来决定如何路由这些数据包。
针对基于拨号连接 Internet 的简单和复杂网络, 安全网络地址转换 客户端要求附加的配置。为了在 Web 浏览器之外建立一个来自于客户端的 Internet 连接,而且该客户端没有安装客户端防火墙,您必须先在 ISA Management 里创建一个拨号项策略单元,然后,您需要把 Network Configuration( 网络配置 ) 节点的属性配置为:向上游服务器路由时,使用拨号项。详见本章 3.2 节。
安全网络地址转换 客户端可以从局域网和 Internet 的计算机 请求目标。因此, 安全网络地址转换 客户端需要 DNS 服务器。 DNS 服务器可以为外部和内部的计算机解析域名。
如果 安全网络地址转换只 要求 Internet 访问并且不需要解析网络内部的 DNS 域名,那么应该为使用外部 ( 基于 Internet 的 )DNS 服务器的客户端配置 TCP/IP 设置。接着,需要创建一个允许这些客户端使用 DNS 查询操作的协议。
如果 安全网络地址转换 客户端从内部网络和 Internet 请求数据,这些客户端应该使用位于内部网络的 DNS 服务器。应该把 DNS 服务器配置为既能解析内部地址又能解析 Internet 地址。另一种方法是,还可以把客户端的 TCP/IP 属性配置为 把 外部 DNS 服务器识别为首选服务器而内部 DNS 服务器识别为一个备选 DNS 服务器。
防火墙客户端就是安装并启用了防火墙客户端软件的计算机。它运行使用 ISA Server 防火墙服务的 Winsock 应用程序。当防火墙客户端使用 Winsock 应用程序向某台计算机请求对象时,该客户端就检查它的 LAT 复本看指定的计算机是否在其中。如果不在,请求就发送到 ISA Server 防火墙服务。该服务处理这个请求并把它转发给权限允许的适当的目的。防火墙客户端软件可以把用于身份验证的 Windows 用户信息发送给 ISA Server 。
安装了客户端软件以后,通过在客户端当前连接的 ISA Server 上指定一个不同的名称,或着是更改防火墙客户端软件中的名称,可以更改客户端连接的服务器的名称。在防火墙设置刷新后配置的变化才会生效。为了集中管理防火墙的客户端软件配置,可以修改 ISA Management 的 Client Configuration( 客户端配置 ) 节点下的防火墙客户端属性来改变防火墙。此节点包括用于防火墙客户端软件和防火墙客户端 Web 浏览器设置的集中配置控制。
如图 3.1 所示, ISA Server 计算机包括一个名为 mspclnt 的网络共享,客户端可以通过局域网与之连接。该共享包括安装程序,可以用来为客户端安装防火墙客户端软件。操作系统是 Microsoft Windows Me 、 Windows 95 、 Windows 98 、 Windows NT 4.0 、或 Windows 2000 的客户端可以安装防火墙客户端软件。此外,只有 Windows 2000 和 Windows NT 4.0 支持 16 位的 Winsock 应用程序。在安装并启用了防火墙客户端软件后,该计算机就可以做为防火墙客户端运行了。
按照以下步骤安装防火墙客户端软件:
1. 在客户机的命令提示符中输入 Path \Setup , 这里 path 是共享 ISA Server 客户端安装文件的路径。
|
|
注意 ISA Server 客户端的安装程序位于 ISA Server 的共享名为 ISA_Server_ name\ MSPClnt 的文件夹中。 |
2. 按照屏幕上的指示进行操作。
|
|
注意 不能在 ISA Server 计算机上安装防火墙客户端软件。 |
安装防火墙客户端软件不能自动地配置独立的 Winsock 应用程序。相反,客户端软件和其他应用程序使用同一个动态连接库 (.dll) 。防火墙客户端拦截应用程序请求并决定是否把请求路由给 ISA Server 。
在处理 Winsock 请求时,防火墙客户端应用程序在安装 Winsock 程序的目录中寻找 Wspcfg..ini 文件。如果找到了该文件,它再寻找 [ WSP_Client_App ] 部分,此处 WSP_Client_App 是没有 .exe 扩展名的 Winsock 应用程序文件名。如果该部分不存在,防火墙客户端应用程序接下来查找 [Common Configruation] 部分,如果该部分也不存在,它将在 Mspclnt.ini 文件中继续查找此部分。用这种方法找到的第一部分,而且只有该部分时,它将应用到指定应用程序的配置设定中。
对大多数 Winsock 应用程序,默认的防火墙客户端配置不需要进一步修改。然而,在有些情况下,需要添加客户端配置信息,您可以在下面所述的两个位置保存客户端配置 信息。
• Mspclnt.ini 这是一个全局的客户端配置文件,它位于防火墙客户端安装文件夹。 Mspclnt.ini 文件定期地由客户端从 ISA Server 下载并覆盖先前的版本。因而可以在 ISA Server 计算机改变配置文件,更改的设置会自动地下载到客户端。
在 ISA Management 的 Client Configuration 节点中更改配置的设置。在详细信息窗格中,访问防火墙客户端的属性,在 Firewall Client Properties 对话框,点击 Application Settings 选项卡,然后创建、编辑或者删除应用程序的设置。防火墙定期下载这些设置。
• Wspcfg.ini 该文件位于指定的客户端应用程序文件夹。 ISA Server 计算机并不覆盖此文件。因此,如果在此文件中更改配置,这些更改只应用到指定的客户端中。
下面是 WSP 客户端 App.exe 的客户端配置文件中的 [WSP_Client_App] 部分示例:
[ WSP_Client_App ]
Disable=0
NameResolution=R
LocalBindTcpPorts=7777
LocalBindUdpPorts=7000–7022, 7100–7170
RemoteBindTcpPorts=30
RemoteBindUdpPorts=3000–3050
ServerBindTcpPorts=100–300
ProxyBindIp=80 : 110.52.144.103, 82 : 110.51.0.0
KillOldSession=1
Persistent=1
ForceProxy=i : 172.23.23.23
ForceCredentials=1
NameResolutionForLocalHost=L
表 3.3 描述了可以用于 Winsock 应用程序的配置文件的各项。
|
属性列表 |
描 述 |
|
Disable |
可取值 0 或 1 。取 1 时,对特定的客户端应用程序禁用防火墙服务 |
|
NameResolution |
可取值 L 或 R ,默认情况下,点分的十进制名称或者 Internet 域名将重定向到 ISA Server 进行解析,而其他的名称在本地计算机进行解析。当取 R 时,所有的名称都重定向到 ISA Server 起进行解析;取 L 时,所有的名称都在本地进行解析 |
|
LocalBindTcpPorts |
本地指定一个 TCP 端口、列表或者范围 |
|
LocalBindUdpPorts |
本地指定一个 UDP 端口、列表或者范围 |
|
RemoteBindTcpPorts |
远程指定一个 TCP 端口、列表或者范围 |
|
RemoteBindUdpPorts |
远程指定一个 UDP 端口、列表或者范围 |
|
ServerBindTcpPorts |
指定一个可以接收一个以上连接的 TCP 端口、列表或者范围 |
|
ProxyBindIp |
指定一个与相应的端口绑定时,使用的 IP 地址或者列表。使用相同端口的多个服务器需要绑定到 ISA Server 上不同 IP 地址的相同端口上时,可以使用该项。该项语法为: ProxyBindIp=[port] : [IP address],[port] : [IP address] 端口号应用到 Tep 和 UDP 端口 |
|
KillOldSession |
可取值: 0 或 1 。取 1 时,它指定:如果 ISA Server 计算机保存一个应用程序的旧实例中的会话,该会话在应用程序准许一个新的会话之前会终止。这一选项十分有用,比如,一个应用程序失效时,或者没有关闭它所侦听的套接字时。通过关闭旧的会话, ISA Server 就可以立刻发现应用程序已经终止并立即释放该会话使用的 端口 |
|
Persistent |
可取值 0 或 1 。取 1 时,如果停止或者重新开始一项服务且如果服务器没有响应, ISA Server 计算机可以保持指定的服务器状态。在一个活动会话里,客户端向服务器定期发送“保持活动”消息。如果服务器没有响应,客户端会尽量存储此次连接的状态信息并在服务器重启时侦听套接字 |
|
ForceProxy |
用来强制指定的 ISA Server 计算机使用特定的 Winsock 应用程序。该项语法为: ForceProxy=[ Tag ] : [ Entry ] 这里 Tag 作为 IP 地址的时候取 I ,作为名称时取 n 。 Entry 等同于该地址或名称。当 Tag 取 n 的时候,防火墙服务只能通过 IP 工作 |
|
ForceCredentials |
把 Windows NT 、 Windows 2000 或服务器应用程序作为防火墙客户端应用程序运行时,使用该项。取 1 时,它强制使用存储在运行该服务本地机上的另一种用户身份验证证书。用户证书存储在运行 Credtool.exe 应用程序并装有防火墙客户端软件的客户端上。用户证书必须引用一个 ISA Server 可以验证的用户账户,该账户应该位于 ISA Server 本地或者位于 ISA Server 信任的域。用户账户通常不设置期限,不然账户每次到期时就要更新用户证书 |
续表
|
属性列表 |
描 述 | |
|
NameResolutionForLocalHost |
可取值 L( 默认值 ) 、 P 、 E 。调用 gethostbyname API( 按名获取主机 API) 时,使用该项来指定如何解析本地 ( 客户端 ) 计算机的名称。 本地主机名的解析通过调用 Winsock API 函数 gethostbyname() 实现。调用的时候要使用 LocalHost 字符串或者空字符串指针。 Winsock 应用程序调用 gethostbyname(LocalHost) 查找本地的 IP 地址并发送到 Internet 服务器。取 P 时, gethostbyname() 函数返回 ISA Server 计算机的 IP 地址。取 E 时, gethostbyname() 只返回 ISA Serfver 计算机的外部 IP 地址地址——这些 IP 不是 LAT 内部的 | |
|
ControlChannel |
可取值 Wsp.udp(default) 、或者 Wsp.tcp 。该项指定所用控制通道的类型 | |
Web 代理服务 (w3proxy) 是一种支持来自任何 Web 浏览器请求的 Windows 2000 服务。它提供几乎每一种桌面操作系统,如 Windouw NT 、 Windows 95 、 Windows 98 、 Windows 2000 、 Macintosh 和 UNIX 等。 Web 代理服务代表请求 Internet 对象的客户端在应用程序级进行工作。通过使用一种由 Web 代理服务支持的协议检索可以到受到请求的对象。这些协议包括传输控制协议 (TCP) 、超文本传输协议 (HTTP) 和 Gopher 协议等。为了使用 SSL 连接的安全会话, Web 代理服务还支持安全超文本传输协议 (S-HTTP) 。
—般讲, Web 代理客户端是浏览器。它必须配置为使用 ISA Server 计算机。用户请求一个 Web 站点时,浏览器分析统一资源定位地址 (URL) 。如果使用点地址,如在完整、合格的域名和 IP 地址里,浏览器就认为目的是远程的,于是就把这些 HTTP 请求发送到 ISA Server 计算机进行处理。
可以使用 ISA Management 来监视 Web 代理服务的状态。同样,可以使用 ISA Management 来中止或启动 Web 代理服务。可以在 Monitoring( 监控 ) 节点下使用 Monitoring and Service Control 。
中止 Web 代理服务时,缓存里的信息不会删除掉。但是,重新启动 Web 代理服务时,缓存完全激活并运行得需要几秒钟。如果 Web 代理服务崩溃, ISA Server 恢复缓存中的信息。这需要一定时间,而且性能可能不够理想除非缓存最终恢复。
配置 Web 代理客户端,不需要安装任何软件。不过,客户端上的代理能力应用程序必须配置为把 ISA Server 计算机作为代理服务器使用。
可以设定一个选项,每次打开 Web 浏览器, ISA Server 都自动下载位于 ISA Server 计算机的客户端配置脚本文件。该脚本的输出端提供一个 ISA Server 计算机序列,浏览器可以使用此序列来检索 URL 指定的对象。
该脚本保存在阵列中任一 ISA Server 计算机上指定的 URL 中。这样就无需重新配置每一个独立的 Web 浏览器,更新所有 Web 浏览器的设置就容易多了。 IE3.02 版及其更高版本和 Netscape 2.0 及其更高版本都支持这一特性。
默认配置的 URL 是:
http : // Computer_name /array.dll?Get.Routing.Script
此处 computer_name 是 ISA Server 计算机的名称。这就是配置脚本文件所在的 URL 。基于 Direct Acess( 直接访问 ) 和 Backup Route( 备份路由 ) 选项, ISA Server 自动生成此配置脚本。
按如下步骤手工配置 IE5.0 使用 Web 代理 :
1. 打开 Internet Explorer 浏览器。
2. 在 Tools 菜单中, 单击 Internet Options 菜单项。
3. 在 Connections 选项卡中,单击 LAN Settings 按钮。
4. 选中 Use A Proxy Server 复 选框。
5. 在 Address 文本框输入一个 ISA Server 计算机或者阵列名称,然后在 Port 文本框中输入一个有效的端口号 ( 通常是 8080) 。
通过创建一个 Web 浏览器例外列表,把本地网的计算机配置为可由客户端直接访问。还可以指定本地域表 (LDT) 内所有的计算机都可以由客户端直接访问。客户端用 LDT 来确定是直接执行一个名称解析要求还是要通过 ISA Server 来执行。
在本练习中,可以利用 ISA Server 的安全路由性能,通过 Server1 来建立来自 Server2 的安全 Web 访问。由于 ISA Server 拒绝所有的数据包通过除非明确允许它们通过,因此为了 建立来自 Server2 的安全 Web 访问,您必须创建一个协议规则来允许所有的 IP 通信通过 ISA Server 防火墙。本练习示范了怎样创建这样一个协议规则。需要注意的是,由于规则不对 传入 通信打开 ISA Serve ,所以本练习允许不使用防火墙客户端软件,为客户端配置 安全 的 Internet 访问。
练习假设您已经通过拨号连接方式建立了从 ISA Server 计算机到 Internet 的连接,并且还按照“前言”所述的方法配置了 Server2 和 Server1 间的局域网连接。
在这个练习中,您创建一个允许安全 Internet 访问的协议规则。
打开 New Protocol Rule 向导
1. 以 Administrator 身份登陆 Server1 。
2. 单击 Start 菜单 , 然后指向 Programs | Miscrosoft ISA Server , 最后单击 ISA Management 。
3. 单击 View 菜单上的 Taskpad 。
4. 在控制台树上展开 Servers and Arrays 节点,然后展开 MyArray 节点。
出现 Server1 的 Configuration 节点。
5. 展开 Access Policy 节点,选择 Protocol Rules 文件夹。
6. 在 详细信息窗格 中,选择 Create A Protocol Rule 图标。
利用 New Protocol Rule 向导来他建新协议规则
1. 在 Protocol Rule Name 文本框中输入 AllowIP 。
|
|
注意 这个练习旨在提供一个允许所有内部客户端都可以访问全部 IP 通信的简捷方法。在实际的安装情况下,可能要限制指定的用户、组以及客户端对指定协议的访问。 |
2. 选择 Next 。
3. 在 Rule Action 屏幕,确定已选定 Allow 单 选按钮,然后单击 Next 。
4. 在 Protocols 屏幕,确定 All IP Traffic 出现在 Apply This Rule To 的下拉列表框中,然后单击 Next 。
5. 在 Schedule 屏幕,确定 Always 出现 在 Use This Schedule 下拉列表框中,然后单击 Next 按钮。
6. 在 Client Type 屏幕,确定选中了 Any Request 单选按钮,然后单击 Next 。
7. 在 Completing the New Protocol Rule Wizard 屏幕,单击 Finish 。
Allow IP 规则出现在 详细 信息窗格中。
|
|
注意 创建新协议规则以后,可能需要等待几分钟,新设置才能生效。在进行练习 2 之前,可以等待几分钟或者 按照第 3 章 3.4 小节所述的重启 ISA Server 服务。 |
这个练习启动 IE 浏览器和 ISA Server Web 服务一起工作。使用 Server1 上的拨号连接建立到 ISP 的连接。
1. 以 Administrator 的身份从 Server2 登陆到 Domain01 。
2. 打开 Internet Explorer 浏览器。
3. 如果出现 Internet Connection Wizard 对话框,按照向导指示配置一个手工 (LAN) 连接。
4. 在 Tools 菜单,单击 Internet Options 。
5. 在 Connections 选项卡,单击 LAN Settings 。
6. 选中 Use A Proxy Server 复选框。
7. 在 Address 文本框中输入 192.168.0.1 ,在端口号文本框输入 8080 。
8. 单击 OK 按钮关闭 Local Area Network (LAN) Settings 对话框。
9. 单击 OK 按钮关闭 Internet Options 对话框。
现在可以在 Server2 上使用 IE 浏览器自由地浏览 Web 站点了。
在这个练习中,可以在客户端上安装防火墙客户端软件。如果客户机上没有安装和启动防火墙客户端软件, Firewall 服务只能把访问策略规则应用到代表内部客户端的 IP 地址上。在客户机上安装了防火墙客户端软件时,访问策略规则就可以应用到 IP 地址和用户以及计算机名上。防火墙客户端要提高性能可以通过保存一份 LAT 和 LDT 的本地 复本 、通过为有辅助连接的协议提供内置的支持、通过全局的客户端配置文件 Mspclnt.ini 允许 Winsock 应用程序的高级配置和允许 ISA Server 的自动发现特性来实现。
在 Server2 计算机上进行该练习。
1. 打开 My Network Places ,浏览网络查找“ \server1mspclnt\ ”。
2. 在 server1\mspclnt 中双击 SETUP 图标。
出现 Microsoft Firewall Client – Install 对话框 。
3. 单击 Next 。
4. 在 Destination Folder 屏幕,接受默认的位置,然后单击 Next 。
5. 在 Ready To Install The Program 屏幕,单击 Install 。
防火墙客户端安装成功,出现 Install Wizard Completed 屏幕。
6. 单击 Finish 。
要为本地客户端建立安全 Internet 访问,需要先在 ISA Server 中配置协议规则,允许 Internet 协议通过 ISA Server 防火墙到达客户端。接着,可以决定是把内部客户端配置为 安全网络地址转换 客户端还是防火墙客户端。配置为 安全网络地址转换 客户端不要求什么配置操作,配置为防火墙客户端就需要在客户端上安装防火墙客户端软件。
在安装或配置客户端软件之前,评估组织的需要。如果您需要支持漫游客户,需要对已验证过身份的客户端应用访问策略,需要支持有辅助连接的协议或者是需要允许针对非 Web 的 Internet 会话按需拨号,就应该安装防火墙客户端软件。如果您正使用 ISA Server 来保护发布服务器,且如果 ISA Server 是以缓存模式安装的,或者您希望避免在客户端上安装软件,可以把您的客户端配置为 安全网络地址转换 客户端。
防火墙客户端和 安全网络地址转换 客户端也可以是 Web 代理服务客户端。 Web 代理服务 (w3proxy) 是一种支持来自任何代理能力的应用程序的 Windows 2000 服务。配置 Web 代理服务客户端不需要安装任何软件。但是,您必须把客户端上的 Web 浏览器应用程序配置为使用 ISA Server 计算机做为代理服务器。
| 上篇文章: 业界动态介绍 下篇文章:大学生如何求职 |
| 相关文章: 没有相关文章 |
现在位置: 
