即使您没有专用的 Internet 连接, ISA Server 仍然可以为您的网络提供缓存和防火墙功能。 ISA Server 可以保护对 ISP 的单一拨号连接,同时它还可以使网络中的所有计算机都共享该连接。
• 在 ISA Server 建立拨号项
• 通过 ISA Server 计算机上的拨号连接提供对 ISA Server 客户端的完整、安全的 Internet 访问
• 配置 ISA Server 计算机按需拨号
为了配置拨号项,需要为拨号连接在 ISA Management 中创建策略单元。该步骤并不要求 Web 代理客户端和防火墙客户端使用并共享 ISA Server 计算机上的拨号连接。然而,如果想使用没有安装防火墙客户端的客户上的非 Web 服务,如第三代邮局协议 (POP3) 和网络新闻传输协议 (NNTP) ,您需要先配置拨号项,然后配置网络使用该拨号项路由请求。
除了向 安全网络地址转换 客户端提供网络连接,创建拨号项允许在 ISA Server 的拨号连接中应用指定连接的规则和策略。通过创建拨号项,可以指定 ISA Server 计算机如何使用这些拨号连接和 Internet 相连。
最后,只有通过配置拨号项,才能为 Web 代理客户端和防火墙客户端启用按需拨号。
每一个拨号项都包括如下信息:
• 拨号连接的名称,该连接先前是为远程访问服务器在阵列中的所有服务器上配置的。
• 有通过拨号连接访问 ISP 权限的用户名和密码。
可以只为阵列中所有 ISA Server 计算机上的网络拨号连接配置拨号项。有关信息,请参阅 Windows 2000 帮助中的创建新网络拨号连接指导。
虽然可以创建多个拨号项,但是一个阵列只能有一个活动拨号项。无论何时 ISA Server 自动外拨到 Internet 上,为一个客户端请求提供服务时,都使用该活动拨号项。
按照以下步骤创建拨号项:
1. 打开 ISA Management 控制台 。
2. 展开 该控制台 , 展开 Servers And Arrays , 展开 MyArray , 然后展开 Policy Elements 接点。
3. 右击 Dial-up Entries ,指向 New ,然后单击 Dial-Up Entry 。
出现 New Dial-up Entry 对话框。
4. 在 Name 文本框中输入拨号连接项的名称。
5. ( 可选项 ) 在 Description 文本框中输入拨号项的描述。
6. 在 Use The Following Network Dial-Up Connection 文本框中输入或选择已经存在的 Windows 2000 网络拨号连接的名称,然后单击 Set Account 。
7. 在 User 文本框,输入 ISP 提供的用户名。
8. 在 Password and Confirm Password 文本框输入用户的密码。
9. 单击 OK 。
出现 New Dial-up Entry 对话框。
10. 单击 OK 。
在 ISA Server 中配置拨号项之前,应该 清楚 以下几点:
• 拨号项中指定的网络拨号连接必须已经在阵列的每一个服务器成员中配置。
• 创建的拨号项将成为活动拨号项,该拨号项将用于路由规则和防火墙链接。
• 指定的用户名和密码必须是将要输入的手工建立网络拨号连接的用户名和密码。
如果有一个以上的拨号项,按照以下步骤设置活动拨号项:
1. 打开 ISA Management 控制台 。
2. 单击 View 菜单 , 然后单击 Advanced 。
3. 展开控制台树 , 然后展开 Policy Elements 节点。
4. 单击 Dial-up Entries 。
5. 在详细信息窗格中,右击可用的拨号项,然后单击 Set As Active Entry 。
注意以下有关活动拨号项的几点:
• 不可以删除活动拨号项。
• 设置一个活动拨号项时,所有现存的拨号连接会断开连接 ( 如果 ISA Server 过去使用这些拨号连接 ) 。
可以把 ISA Server 配置为使用一个拨号项拨出到 Internet 上,进行简单的路由或者是活动缓存。
• 路由 客户端请求一个对象时,如果用于该请求的路由要求建立一个拨号连接,且如果访问策略允许该请求, ISA Server 将使用活动拨号项拨出到 Internet 。
• 活动缓存 如果启用了活动缓存, ISA Server 就会拨出到 Internet 从而检索经常被访问的 文件。
此外, ISA Server 不能完全确定访问策略是否允许一个客户端请求时, ISA Server 拨出到 Internet 。例如,当访问策略规则用名称指定一个目的,而客户端用 IP 地址指定计算机时,就会发生这种情况。如果一个路由规则指出必须为请求建立一个拨号连接, ISA Server 将拨出到 Internet ,要么解析客户端请求的计算机的名称,要么进行反向查找。接着, ISA Server 再一次检查访问策略规则以决定是否允许请求。
|
|
注意 只有 Web 代理客户端和防火墙客户端可以设置按需拨号。 安全网络地址转换 客户端要连接到 Internet ,必须已经建立了拨号连接。 |
必要时,可以把 ISA Server 配置为拨出到 Internet ,比如,受到请求的对象不在 ISA Server 缓存中时就可进行此操作。
按照以下步骤启用按需拨号:
1. 创建一个网络拨连接,参阅 Windows 2000 帮助中的创建网络拨号连接指导。
2. 在 ISA Management 中创建一个拨号项。
3. 为 Firewall 服务启用拨号功能 ( 如下所述 ) 。只有防火墙客户端才要求此步骤, Web 代理客户端不要求。
4. 为路由启用自动拨出 ( 如下所述 ) 。
5. 确认阵列中的 ISA Server 计算机的任何内部接口插件上没有设置默认网关。
按照以下步骤为防火墙服务启用拨号功能:
1. 在 ISA Management 控制台树上,右击 Network Configuration 节点,然后单击 Properties( 图 3.3 所示为 Network Configuration 属性页 ) 。
2. 在 Firewall Chaining 选项卡,单击 Use Primaiy Connection 单选按钮。
3. 选择 Use Dial-up Entry 复选框。
一旦 Firewall 服务配置为使用拨号项来解析外部请求,就可以把 Firewall 服务配置为通过该拨号项自动地拨出到 Internet 上。
按照以下步骤为路由启用自动拨出:
1. 在 ISA Management 控制台树上 , 单击 Routing 。
2. 在详细信息窗格中 , 右击要配置的指定路由规则 , 然后单击 Properties , 该属性对话框如图 3.4 所示。
3. 在 Action 选项卡,单击 Retrieving Them Directly From The Specified Destination 单选 按钮。
4. 在 Action 选项卡,选择 Use Dial-Up Entry For Primary Route 复选框。
限制 ISA Server 拨出到外部站点
可以通过配置 LDT 使其包含所有的本地计算机名称,来限制 ISA Server 在需要时才拨出到 Internet 上。客户端使用配置在 ISA Management 上的 LDT 来决定一个域名解析请求是直接处理还是通过 ISA Server 来处理。这样就禁止 ISA Server 拨出到外部的 DNS 服务器, ISA Server 只需确定受到请求的计算机确实是内部的。防火墙客户端保存一个 LDT 的本地复本,这个复本需要定期地更新。需要注意的是:只有对防火墙客户端的请求才检测 LDT 。
ISA Server 拨出到 Internet 之后,就一直保持该连接直到如下情况发生时为止:
• 另一个拨号项设置为活动的。
• 当前活动的拨号项修改为指定一个不同的网络拨号连接。
• 禁用用于防火墙链接的拨号项。
• 主路由开始有效 ( 如果拨号连接指定为备份路由 ) 。
• 防火墙服务终止。
在这个练习中,您可以通过 ISA Server 上的 一个拨号连接 为安全网络地址转换客户端启用 Internet 访问。
本练习假定 Server1 计算机已经通过拨号连接到了 Internet 上,练习还假设您已经在 ISA Management 上创建了一个允许所有 IP 通信通过的协议规则 ( 参见第 3 章 3.1 节 ) ,并且已经在 Server2 上面安装并运行了防火墙客户端软件。最后,应该已经配置了 Server2 的 TCP/IP 属性,以便首选 DNS 服务器设置为外部 ISP 的 DNS 服务器,备选 DNS 服务器设置为 192.168.0.1 。
在这个练习中,您应该观察防火墙客户端的会话状态,禁用防火墙客户端软件,并注意它们之间行为的不同之处。
禁用防火墙客户端
1. 以 Administrator 的身份 从 Server1 和 Server2 登录到 Domain01 。
2. 在 Server2 上单击 Start 按钮,然后单击 Run 。
出现 Run 对话框。
3. 键入 cmd ,然后单击 OK 按钮。
4. 出现一个命令提示符。
5. 在命令提示符中,键入 nslookup www.microsoft.com 并按 Enter 键。
您就 会收到一个 来自首选 DNS 服务器 的响应信息,通知您和 www.microsoft. com 相联的 IP 地址。
6. 在 Server1 ,打开 ISA Management ,展开 MyArray 节点,然后再展开 Monitoring 节点。
7. 单击 Sessions 文件夹。
8. 单击 View 菜单,然后单击 Advanced 。
9. 右击详细信息窗格,然后单击 Refresh 。
10. 找到 详细信息窗格所列的 Server2 当前的 Internet 会话。
需要注意的是会话类型列为 Firewall Session ,用户名是 Administrator , ClientComputer 是 Server2 。启用防火墙客户端软件时,用户账户名和客户端名都又有会话信息。
11. 转换到 Server2 并禁用防火墙客户端软件。 ( 通过在控制面板中双击 FirewallClient 图标,在 Firewall Client Options 对话框中清除 Enable Firewall Client 复选框,然后单击 OK ,您可以禁用防火墙客户端软件。 )
12. 激活 命令提示符窗口。
13. 在 命令提示符中,键入 nslookup www.nicrosoft.com ,然后按 Enter 健。
您会收到一个信息通知您 DNS 请求已经过期。发生这种情况是因为 Server2 计算机现在已经是安全网络地址转换客户端了,而您还没有把安全网络地址转换客户端配置为可以通过 ISA Server 拨号连接访问 Internet 。
在 Server1 上进行本练习。创建一个拨号项策略单元是允许 安全网络地址转换通过 ISA Server 拨号连接访问 Internet 的第一步。
创建一个拨号项策略单元
1. 打开 ISA Management console 控制台。
2. 展开控制台树 , 然后展开 Policy Elements 节点。
3. 右击 Dial-up Entries 节点 , 指向 New , 然后单击 Dial-up Entry 。
出现 New Dial-up Entry 对话框。
4. 在 Name 文本框,键入 MyDialUp 。
5. 单击 Select 按钮
出现 Select Network Dial-up Connection 对话框。
6. 在 Network Dial-up Connection 框中,选择现有的拨号连接,然后单击 OK 。
7. 在 New Dial-up Entry 对话框,单击 Set Account 。
出现 Set Account 对话框。
8. 在 appropriate 文本框中,输入 ISP 分配的用户名和密码。
9. 单击 OK 。
10. 在 New Dial-up Entry 对话框中,单击 OK 。
11. 选中 Dial-up Entries 时, MyDialUp 出现在 ISA Management console 的详细信息窗格中。
在这个练习中,允许 安全网络地址转换客户端通过活动拨号项来路由 Internet 请求。在 Server1 上执行这些步骤。
启动安全网络地址转换客户端
1. 在 ISA Management 的控制台树找到并单击 Network Configuration 节点 , 然后单击 Properties 对话框。
出现 Network Configuration Properties 对话框。
2. 在 Firewall Chaining 选项卡中,确定选中 Use Primary Connection 单选按钮。
3. 选择 Use Dial-up 复选框,然后单击 OK 。
在下一个练习中,您需要重启 防火墙服务 以便使新路由配置生效 。
只要对路由配置做了修改,就需要重新启动防火墙或者 Web 代理服务才能使修改生效。在 Server1 上面进行如下操作:
重新启动防火墙或者 Web 代理服务
1. 在 ISA Management 控制台树上,查找并展开 Monitoring 节点。
2. 单击 Services 节点。
3. 在详细信息窗格中,右击 Firewall 服务并单击 Stop 按钮。
4. 当 Firewall 服务完全停止的时候,再次右击 Firewall service ,然后单击 Start 。
在进行下一个练习之前,需要一直等到 Firewall 服务图标变绿。
在这个练习中,您从一个 安全网络地址转换客户端连接到 Internet ,然后浏览安全网络地址转换中的会话信息。
从安全网络地址转换客户端连接到 Internet
1. 在 Server2 上,打开一个命令提示符。
2. 在该命令提示符中,键入 nslookup www.microsoft.com 并按 Enter 键。
您会收到一个响应指明 nslookup 成功,尽管 Server2 现在是安全网络地址转换客户端。
3. 在 Server1 , 打开 ISA Management 。
4. 在 控制台树 , 单击 Sessions 文件夹。
5. 右击详细信息窗格并单击 Refresh 。
6. 找到详细窗格中所列的 Server2 的当前的 Internet 会话。
需要注意的是,会话类型列为防火墙会话,用户名为空,并且客户端计算机只指定为 IP 地址为 192.168.0.2 的计算机。安全网络地址转换客户端不向用户名和客户端名信息提供会话信息。
7. 在 Server2 ,重新启动防火墙客户端软件。
为了保证 ISA Server 客户端 通过拨号连接, 能够 完整、安全地访问 Internet ,您需要创建拨号项策略单元并且把网络配置为使用拨号项把请求路由到上游服务器。在 ISA Server 上配置一个拨号项,允许 通过 安全网络地址转换客户端 非 Web 连接访问 Internet ,而且它允许把指定连接规则应用到您在 ISA Server 上配置的任何策略中。
创建拨号项还允许配置按需拨号。这一特性允许无论何时本地网络上的 Web 代理客户端或者是防火墙客户端请求一个远程主机时,您的 ISA Server 计算机能自动启动拨号连接。
| 上篇文章: 业界动态介绍 下篇文章:大学生如何求职 |
| 相关文章: 没有相关文章 |
现在位置: 
