图6 设置ISA服务器的内网IP地址(责任编辑:天歌)
ISA Server防火墙客户端实现只有经过身份认证的才允许上网(2)
时间:2010-05-13 16:26来源:51CTO.com 作者:天歌 点击:次
TAG 标签: ISA
(2)在工作站上,安装ISA Server的防火墙客户端软件(在ISA Server安装光盘的Client文件夹中,可以用组策略发布该软件)。安装好后,双击右下角的 图标,
(2)在工作站上,安装ISA Server的防火墙客户端软件(在ISA Server安装光盘的“Client”文件夹中,可以用组策略发布该软件)。安装好后,双击右下角的“
”图标,在弹出的对话框中,在“设置”选项卡中,选中“手动指
定的ISA服务器”文本框中,键入10.10.0.1,然后单击“测试服务器”、“确定”按钮即可,如图7所示。
图7 指定ISA Server服务器地址 cnwan.com.cn
如果不想让用户指定ISA Server服务器的地址,则可以使用ISA Server提供的“自动发现”功能。这需要进一步的配置。
(3)在ISA Server服务器上,在“自动发现”选项卡中,设置使用自动发现的端口号。如果该ISA Server服务器没有发布Web服务器,并且本身也没有Web服务器,则可以使用“DNS发现功能”,这时,可以使用80端口。但现在的情况,一般ISA Server都会发布Web服务器,所以不能使用80端口,这时候可以指定其他端口(当前服务器没有使用的端口),例如,TCP的2501,如图8所示。
图7 设置DNS自动发现
在不使用80端口时,只能使用“DHCP”提供“ISA Server”的自动发现功能。 (4)切换到DHCP服务器上,右键单击DHCP服务器的名称,从弹出的快捷菜单中选择“设置预定义的选项”,单击“添加”按钮,在“选项类型”对话框中,在“名称”处键入大写的WPAD,“数据类型”选择“字符串”,“代码”选择252,在“描述”处键入http://10.10.0.1:2501/wpad.dat,然后单击“确定”按钮,如图8所示。
图8 添加WPAD选项
添加之后,右键单击“服务器选项”,在弹出的“服务器 选项”中,选中添加的“252的WPAD”选项,如图9所示。
图9 启用WPAD选项
【说明】还需要为每个VLAN创建作用域、设置作用域的地址范围、子网掩码、网关地址,并在“服务器选项”中,添加DNS地址为192.168.7.7,这些不一一介绍。
经过上述设置后,每台工作站设置“自动获得IP地址”与“DNS”地址,同时,ISA Server的“防火墙客户端”,就可以自动通过DHCP的WPAD选项,自动指定ISA Server服务器的地址。 3 流量控制
最后,在ISA Server服务器上安装“Bandwidth Splitter for Microsoft ISA Server”流量控制软件,并且设置策略,为不同的用户或者用户组,设置不同的流量即可。有关Bandwidth Splitter for Microsoft ISA Server的使用,不做详细介绍,下面是安装Bandwidth Splitter for Microsoft ISA Server之后的流量监控界面,如图10所示。
图10 流量监测图
在使用流量限制后(还可以限制并发连接数量),当网络中某人说他的计算机上网慢时,可以在流量控制列表中,根据显示的“用户名”查看该计算机的流量,以及访问的网站,如果网络速度慢是由于该用户下载软件或看视频导致,则提醒该用户。这样,也弥补了ISA Server的不足。 cnwan.com.cn 4 其他设置
如果使用Web代理客户端或者防火墙客户端的计算机,网络中有服务器,例如一些内部网站服务器,则在访问这些内部网站时,不应该使用代理服务器,这时候,可以在ISA Server上进行设置。
在ISA Server服务器上,在“内部”属性中,选中“直接访问在‘域’选项卡中指定的计算机”和“直接访问‘地址’选项卡中指定的计算机”,或者单击“添加”按钮,将内网服务器的地址添加到“直接访问这些服务器或域”列表中即可,如图11所示。
图11 需要直接访问的地址
最后,如果网络中有服务器、计算机,由于使用Web代理客户端或防火墙客户端出现访问网络问题,或者有的服务器只能使用NAT的客户端,可以将这些服务器、计算机的IP地址创建一个“计算机集”,单独针对这些计算机集创建访问策略,并且这些访问策略要在其他访问策略的前面,这些是ISA Server的使用技巧,不做过多介绍。
如果客户端使用QQ、MSN的比较多,可以在“共享上网”这条策略的前面,专门开放QQ、MSN协议端口,并且不加身份验证。这样,客户端使用QQ、MSN时,不需要配置代理服务器。