ISA作为边缘防火墙,主要的功能是保护内部网络免受外来网络的非法访问;为内部网络提供WEB代理服务;为内部网络访问外部网站提供加速。即ISA的三大功能:防火墙、WEB代理、缓存。
默认情况下,ISA通过内网卡为内部网络提供WEB代理服务,如果让ISA为外部网络提供代理服务,可以将ISA内网卡的WEB代理服务发布出去。默认情况下,ISA的 WEB代理服务使用TCP 8080端口,因此发布ISA 的WEB代理服务,实际上是监听和允许通过8080端口的入站数据。
操作如下:
1、新建TCP 8080端口入站协议,协议名称为“TCP(8080)”。如下图示:
2、“发布非WEB服务器协议”,在“服务器IP地址”里输入ISA内网卡IP。
3、在“选择已发布服务器使用的协议”窗口中选择第一步建立的TCP(8080)协议。如下图示:
4、在“网络侦听器IP地址”中选择侦听“外部”网络。如下图:
5、单击“下一步”,完成。
6、在刚才创建的服务器发布规则上单击右键,选择“属性”,在“到”窗口中,选中“使请求ISA显示为来自ISA服务器计算机”。如下图:
特别要说明的是,此处必须选“使请求ISA显示为来自ISA服务器计算机”。否则ISA将不能为外部提供WEB代理。
8、如果想让ISA只为外部指定的部分地址提供代理,选择“从”窗口,删除“任何地点”,然后添加要提供代理的IP地址。如下图
上文中介绍了让ISA为外部网络提供WEB代理服务的一种方法。这里介绍第二种方法:创建新网络方式。
我们知道,ISA安装后,会根据选择的“网络模板”,创建“内部”、“外部”、“外围”、“本地主机”等网络。并且默认情况下,ISA只在“内部”网络启用WEB代理服务。我们可以在ISA管理器中“网络”选项卡下查看,如下图:
因此,我们可以为需要代理的网络创建一个新网络,然后在此网络属性中勾选“为此网络启用WEB代理客户端连接”,以便在此网络上启用WEB代理服务。
在新建网络时,网络的地址范围要包括ISA的外网卡IP,否则将不能使用WEB代理服务。建议使用“添加适配器”方式添加外部网络地址。
在本实验中,内部及外围网络使用的地址范围为192.168.0.0--192.168.1.255,ISA外网卡IP地址为172.25.143.90,因此,如果要为所有外部网络提供代理服务,新建网络的地址范围可以是如下图示中的范围:
然后在此网络属性上勾选中“为此网络启用WEB代理客户端连接”。如下图:
最后,需要创建两条访问规则:
1、允许“外部代理网络”到“外部”HTTP/DNS等协议出站访问。
2、允许“外部代理网络”到“外部代理网络”HTTP/DNS等协议出站访问。
需要注意的是,当在ISA创建新网络时,此网络地址就会从“外部”网络地址中排除。
如果不添加第二条规则,则会出现外部代理用户使用ISA代理时访问“外部代理网络”时拒绝访问。因为“外部代理网络”地址已经从“外部”排除了。
当“外部代理网络”包括所有网络时,第一条规则则可以去掉。
创建了“外部代理网络”后,此时需要创建“网络规则”,确定“内部”网络到“外部代理网络”间的“网络关系”,不然的话,“内部”网络将不能访问“外部代理网络”。
如果“外部代理网络”包含所有网络时,不创建“内部”网络与“外部代理网络”间网络关系,则“内部”网络将不能访问外部网络。
这样,ISA既可以为内部网络提供WEB代理服务也可以为外部网络提供WEB代理服务了。