看了这篇文章后的个人观点:WEB代理客户端安全性高,但相应的限制也就多了,经常会发生无法访问网页网站的情况,特别像财务用的国税这类网站. SNAT客户端限制要求相对来说是最少的,相应的无法访问的情况也就少. 如果发生网页出错或无法正常访问等情况,又用了WEB代理的话,那么配置----网络----内部----WEB浏览器中的直接访问功能还是很重要的. 配置直接访问的站点:{dy}部分 配置Web代理客户的直接访问 译自By Thomas W Shinder MD, MVP,“Configuring Sites for Direct Access: Part 1 Configuring Direct Access for Web Proxy Connections”,有较大改动 内容概述:因为ISA防火墙强大和完善的应用层状态过滤功能,有些Web站点可能不能正常访问。此时你就需要使用直接访问来越过ISA防火墙的应用层过滤防护。在这篇文章中,Tom介绍了如何配置Web代理客户直接访问这些站点。
不是所有的Web站点开发人员和管理员都会考虑到使用完善的应用层状态识别防火墙(ISA防火墙)来进行保护的网络环境,所以有时访问位于ISA防火墙后的Web站点会出现一些问题。例如一些基于Java的Web站点,或者当你使用需要认证的Web代理时,一些网络应用程序不能正常工作。 当你遇到这些问题时,解决的办法是配置这些站点进行直接访问。根据ISA客户类型的不同,直接访问也有一些不同: 我们会在两部分文章中讨论直接访问的这两种类型,在{dy}部分中,我们先讨论Web代理客户的直接访问。 Web代理客户的直接访问 默认情况下,ISA防火墙在HTTP、HTTPS和基于HTTP隧道的FTP这三种协议上绑定了Web代理过滤器,以提供应用层防护和利用缓存。但是,因为ISA防火墙强大和完善的应用层防护功能,有些站点通过Web代理过滤器访问时会出现问题,此时你就需要越过Web代理过滤器来访问这些站点。 我们来看看直接访问是如何解决这些问题的: 首先,我们假设你处于一个高安全要求的网络环境,然后在客户机上安装了防火墙客户端,配置它们作为Web代理客户(安装防火墙客户端时会自动进行配置),现在的问题是你想使用OE(Outlook Express)来连接到你的Hotmail账户,你已经建立了一个简单的防火墙策略,包含的访问规则如下:
规则如下图所示: 现在我们配置内部网络中的防火墙客户和Web代理客户通过OE来连接到Hotmail站点,当你想在OE里面进行访问时,会出现以下错误提示: 译者注:OE默认会和IE共享Internet连接属性中的配置,所以在你配置客户为Web代理客户时,OE会自动获取Web代理服务器的信息并用于连接。 注意看错误信息中的 Proxy Authentication Required (The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied)。这说明了OE不能在需要验证的Web代理后正常工作。解决的方法是使用直接访问来越过Web代理,然后利用客户上的防火墙客户端配置来访问Hotmail站点。 我们需要在ISA防火墙上客户对应的网络属性中配置直接访问,在此例中,我们是在内部网络属性中进行配置。打开ISA防火墙管理控制台,展开服务器名,展开配置下的网络节点,然后右击右面板中网络标签下的内部网络。 在内部属性对话框,点击Web浏览器标签,然后点击添加按钮, 在添加服务器对话框,选择域或计算机,然后输入你想直接访问的站点名,在此例中,我们需要直接访问的是hotmail.com,所以我们输入*.hotmail.com,这样可以直接访问hotmail.com域中的所有服务器,点击确定; 然后重复添加的步骤,加入以下站点: *.msn.com 在内部属性对话框上点击应用再点击确定,{zh1}在ISA管理控制台点击应用以保存修改和更新防火墙策略。 防火墙客户和Web代理客户的配置信息保存在ISA防火墙上,默认情况下,它们每六小时更新自己的配置信息。你可以通过重启客户计算机或者使用防火墙客户端重新检测ISA服务器来强制更新配置信息。 双击任务栏的防火墙客户端图标,然后点击测试服务器按钮,这样强制该客户从ISA防火墙上更新配置信息。在检测ISA服务器的对话框上点击关闭,然后在防火墙客户端对话框上点击应用。 然后点击Web浏览器标签,确定勾选了允许Web浏览器自动配置,然后点击现在配置,然后在Web浏览器设置更新的对话框上点击确定。注意此自动配置和IE属性中的自动配置是不一样的,IE属性中的自动配置是使用WPAD来自动寻找ISA防火墙。 然后在防火墙客户端对话框上点击应用再点击确定。
现在你打开OE,你就可以访问Hotmail站点了。在ISA防火墙的日志中,你可以看到以下信息。注意,OE的连接是经过认证了的,是通过防火墙客户端提供的客户身份信息。
在此例中使用的是防火墙客户,如果是SNat客户,那么你还需要建立一个允许这些客户访问外部这些站点的访问规则。 例如,你在一台DC上想使用OE,但是在服务器上不推荐安装防火墙客户端,所以你需要添加一个访问规则以允许这台服务器访问需要的站点而不需要进行身份验证。 解决这一问题需要以下规则元素:
访问Hotmail站点需要的域名集如下图所示: 计算机集中包含了你内部需要直接访问外部这些站点的SNat客户的IP地址,在此例中如下图所示: 建立好的访问规则如下图所示。注意,你需要将此匿名访问规则放在任何使用相同协议的需要身份验证的访问规则之前,你应该把匿名访问规则放置在任何需要身份认证的访问规则前。 原文地址:http://www.isacn.org/info/info.php?sessid=&infoid=184&page=4 作者: |