这些天在作ISA的规则设置,对于客户端的选择有了一点新的认识,我们都知道ISA有三种客户端可选,在网上也有专门的文章进行对比分析,个人感觉那些对比分析有些太专业化了,对初学ISA的朋友,可能比较难以理解,这点我深有体会,在刚开始学ISA的时候,困惑于这三种方式在服务器端如何设置,而在客户端又如何选择呢?
首先无论你采用何种客户端方式,在服务器端是不需要作任何设置的,不过在进行防火墙规则设计的时候,就需要考虑了。后面将给予简单的说明。
下面分别对这三种客户端的区别进行说明。
安全地址转换:
只需要设置客端的网关和DNS就可以了,网关指向ISA服务器的内网IP地址即可。
而DNS的设置分两种情况,如果你的ISA服务器不属于主域控制器,而仅仅是入域的普通计算机,则在ISA服务器上启动DNS的转发,将DNS服务器监听的内网IP地址转发到公网的一个可用的DNS服务器地址,这时客户端的DNS可以指向ISA服务器的内网IP地址;如果ISA服务是升级为主域控制器,这时DNS服务器的转发功能将不可用,因此客户端的DNS必须指向公网的DNS服务地址,如果指向了ISA服务器内网地址,将会发现外网的IP地址可以Ping通,但无法通过域名进行访问,因此此时ISA服务器仅仅负责将内网Ip地址转换为公网IP地址,并不负责进行DNS解析。
另外由于这种方式仅仅简单的进行地址转换,不负责用户上网合法性的校验,而仅仅进行IP地址校验,也就是说,如果你在ISA防火墙的规则中必须选择应用于所有的用户,如果你指定了用户或用户组,则通过这种方式,该客户端是无法通过验证的,即便该客户端的上网用户在规则中的用户或用户组中,也是不可以的。这点一定要非常清楚。
由此可见这种方式设置简单,如果希望通过用户账号来进行上网权限的分配,是不可行的,因此功能很弱,那么是不是就没有用了能,当然不是了,例如对于通过笔记本办公的员工,如老板这种方式是非常适合的,你不可能要求老板在公司上网一种设置,而在家上网又是两外一种设置吧,当然这时候就需要将老板上网的IP地址端固定,不能让其他员工知道,否则,员工改成这个IP地址也就可以上网了,至于如果限制这些员工的行为,那就是管理上的事情了。
还要说明一点的是,这种方式,在ISA日志数据库中,所看到的网址都是IP地址,其中的原因我想你也应该明白了吧
网络代理:
这种方式就是在IE浏览器中设置代理,可以进行用户校验,但如果你想用OUTLOOK收发外部邮件的话,这种方式将不可行,因为这种方式仅仅支持HTTP协议,并不支持POP3和SMTP以及FTP等协议。
防火墙客户端:
这种方式应该是比较常用的方式,可以实现你任何想作的事情,唯一的缺点就是需要安装客户端,如果你的客户不是微软的操作系统,例如是苹果的话,那你可就没辙了,据我所知好像微软还没有出支持苹果的客户端哦。
