前言ISA防火墙是不允许外部客户访问ISA防火墙的Web代理服务的你也不能直接对默认的外部网络启用Web代理服务那么在需要让外部客户访问ISA防火墙的Web代理服务时你该怎么办呢?通过这篇文章你可以学习到如何通过两种解决方案来实现这一需求
ISA防火墙是不允许外部客户访问ISA防火墙的Web代理服务的你也不能直接对默认的外部网络启用Web代理服务那么在需要让外部客户访问ISA防火墙的Web代理服务时你该怎么办呢?
首先我们需要让ISA防火墙在外部网络上侦听客户的Web代理服务请求但是我们不能直接对默认的外部网络启用Web代理服务因为ISA防火墙不允许我们这样做那么我们应该怎么办呢?
解决方案有两种
创建一个外部网络来允许外部客户使用ISA防火墙的Web代理服务虽然默认的外部网络不能启用Web代理服务但是你可以自行创建一个外部网络在网络的地址范围中包含ISA防火墙的外部IP地址和需要访问ISA防火墙的Web代理服务的外部客户的IP地址然后创建允许需要访问代理的外部客户访问的访问规则只是这样必须要求ISA防火墙的外部网络适配器上配置了默认网关(外部网络适配器是默认网络出口)具体的原因请参见理解ISA Server 中的网络一文
对外发布内部网络中的Web代理服务由于绑定在ISA防火墙的内部网络适配器上的Web代理服务不能直接和外部客户进行通讯所以我们需要配置发布规则将请求显示为来自ISA防火墙然后再创建访问规则允许ISA防火墙访问外部网络这样的缺陷是在会话中显示的Web代理客户是ISA防火墙本身而不是外部客户的真实IP地址通过限制访问ISA发布的服务的源地址你同样可以只对某些外部客户开放你的Web代理服务
本次试验的网络环境如下图所示ISA防火墙作为边缘防火墙连接内部网络和Internet为Internet上的一个外部客户在这个试验中我们将配置通过ISA防火墙上的Web代理服务来访问同样位于Internet上的一台Web服务器
ISA防火墙的TCP/IP设置如下
Internal
IP/
DGNone
DNSNone
External
IP/
DG
DNSNone
方案一 创建一个外部网络来允许外部客户使用ISA防火墙的Web代理服务
步骤如下
创建外部网络
启用Web代理服务
创建允许的访问规则
测试
打开ISA管理控制台右击配置下的网络指向新建点击网络
在弹出的欢迎使用新建网络向导页输入网络的名称在此我命名为External Web Proxy点击下一步
在网络类型页选择外部网络点击下一步
在网络地址页点击添加范围按钮分别加入ISA防火墙的外部IP地址和外部Web代理客户的IP地址点击下一步
在最后的正在完成新建网络向导页点击完成
现在我们的外部网络External Web Proxy就创建好了但是ISA防火墙默认不会对外部网络启用Web代理服务所以现在我们需要对此网络启用Web代理服务在网络详细列表下右击我们刚创建好的网络External Web Proxy然后选择属性
在弹出的External Web Proxy属性对话框点击Web代理标签然后勾选启用Web代理客户然后点击确定
