允许来自客户端计算机的出站Web访问 配置出站Internet访问系列之一
2009-08-19 23:45
429 查看
今天下午有个网管员的面试(感觉自己还可以胜任这份工作),公司可能要用到ISA,具体情况就不多说了。这篇及后续文章也会为大家更多的带来一些关于ISA方面的知识,有什么意见或观点欢迎大家多多交流!
在本次的实验中,我将配置ISA允许来自内部网络中的客户端计算机的出站Web访问,大致的环境拓扑图如下(其中的ISA服务器角色由Paris承担,Paris上已经安装好了ISA2006)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/d6a8bb21ccba1236f34c8416b2865480.gif)
一、注意ISA的默认规则
1.外网的Istanbul上已经搭建好了Web网站,域名为:istanbul.fabrikam.com。在默认网站的路径下打开可以看到,如下,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/4865eed03bd86e0785b42edfd0d906b2.gif)
2.由于是工作组环境,实验环境中又没有搭建DNS服务器,我们需要在内网客户端Denver上用hosts文件来解析Istanbul网站的域名,用记事本打开hosts文件,将域名istanbul.fabrikam.com解析为39.1.1.7,具体操作如下,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/a697d80f02f148f81f2b6ceb058c83c1.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/a1eb28df09c0cb0cf580e2b2fdea9a62.gif)
3.然后我们在IE中访问一下外网Istanbul的网站,“无法显示此页”,具体的错误代码见下,“502 Proxy Error···”,502代理错误,ISA服务器拒绝指定的URL。被ISA防火墙给拒绝了。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/b43b6c91bf65167f5eb9440c5449d3db.gif)
4.下面打开Paris上的ISA服务器控制台,找到防火墙策略,原来是被默认规则拒绝了(安装完ISA后,默认会有条拒绝的规则,这个规则禁止所有网络通讯,这意味着 ISA Server拒绝所有没有在规则中明确指定的网络通讯。关于ISA策略和规则可参考前面这篇文章重新认识ISA规则和策略)。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/ede6ef25eda8cef0ce4ba49434e9fcee.gif)
5.找到原因就容易解决了,下面我们在防火墙策略里新建一个访问规则,名称为“允许出站Web通讯”
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/1cff2505159cd99aca32a93f218ce419.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/babc3e68a5330404ff68273102686286.gif)
应用到的协议为HTTP,这里我将FTP和HTTPS协议也添加上了,后面验证一下,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/20c849f00efd8d018d56dc449a318185.gif)
应用的网络源,也就是“从”,我们添加“内部”,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/89db2bc1a2cc3a107505ec767d608622.gif)
应用的网络目标,也就是“到”,我们添加“外部”,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/aa2fa816d006042e6202cc1ac3b56671.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/d737641d94b1408258bae087429e9b32.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/0ea8fa409516e63d6afa442d24ec9005.gif)
6.建完规则后,“应用”一下。然后我们再来在内网的Denver上访问一下,OK!这次没问题了。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/7a8e75e1b297df4f3323d8146c1c3be6.gif)
7.我们再用FTP测试一下,ftp istanbul.fabrikan.com,可以登录进去。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/e80640fb779ad1369427c2025adb5270.gif)
二、注意访问规则的先后顺序
1.在Paris计算机上,创建一个新的计算机集规则元素(打开“防火墙策略”,找到右侧的“工具箱—网络对象—新建—计算机集”),名称为“受限制的内部计算机”,添加受限制的内部计算机地址范围“10.1.1.5~10.1.1.8”
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/6d4fb3eabcea604bd9faac72fad23eea.gif)
2.然后新建一个访问规则,名称为“拒绝受限制的计算机”,下面的步骤见下图,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/06a59e934cbed48d9c62b637e3d09162.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/6762e7161a442800819523aaf6b274b2.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/f327933338042bcb9dc5ae1071ebf6c5.gif)
这里的源网络添加为我们刚才新建的“受限制的内部计算机”
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/2d9bdf8b665db0f6b208b7d7b2408e26.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/a8f134a7320fe84b87b4d65642b5b36d.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/7144f201129d2f458214342b0332aa7f.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/c31fbd0d8e6d0361bac660ab183971ae.gif)
3.应用完这个策略,我们在Denver上再次访问一下Istanbul,还是被ISA拒绝,但是这次不是默认的规则拒绝的,而是我们刚建的这个拒绝规则发挥的作用。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/337daf2e9afc2beb862dd896b6a94bbd.gif)
4.我们可以在Paris计算机中,将“允许出站Web通讯”规则移到“拒绝受限制的计算机”规则前面。在右侧窗格中,右键单击“拒绝受限制的计算机”,然后单击“下移”。现在“允许出站Web通讯”规则(第一位)排在“拒绝受限制的计算机”规则(第二位)之前,“应用”此操作。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/e62f371d9f762472c7bb4adfafd4492f.gif)
5.然后再次在Denver上测试一下,又可以访问了。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/f113872d5769b2784bc0a359208e5252.gif)
访问规则的先后位置决定那个规则首先被匹配,我们在建规则的时候要注意它们的放的先后顺序。本文出自 “冰泉” 博客,请务必保留此出处http://shuangyang.blog.51cto.com/540829/193790
在本次的实验中,我将配置ISA允许来自内部网络中的客户端计算机的出站Web访问,大致的环境拓扑图如下(其中的ISA服务器角色由Paris承担,Paris上已经安装好了ISA2006)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/d6a8bb21ccba1236f34c8416b2865480.gif)
一、注意ISA的默认规则
1.外网的Istanbul上已经搭建好了Web网站,域名为:istanbul.fabrikam.com。在默认网站的路径下打开可以看到,如下,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/4865eed03bd86e0785b42edfd0d906b2.gif)
2.由于是工作组环境,实验环境中又没有搭建DNS服务器,我们需要在内网客户端Denver上用hosts文件来解析Istanbul网站的域名,用记事本打开hosts文件,将域名istanbul.fabrikam.com解析为39.1.1.7,具体操作如下,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/a697d80f02f148f81f2b6ceb058c83c1.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/a1eb28df09c0cb0cf580e2b2fdea9a62.gif)
3.然后我们在IE中访问一下外网Istanbul的网站,“无法显示此页”,具体的错误代码见下,“502 Proxy Error···”,502代理错误,ISA服务器拒绝指定的URL。被ISA防火墙给拒绝了。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/b43b6c91bf65167f5eb9440c5449d3db.gif)
4.下面打开Paris上的ISA服务器控制台,找到防火墙策略,原来是被默认规则拒绝了(安装完ISA后,默认会有条拒绝的规则,这个规则禁止所有网络通讯,这意味着 ISA Server拒绝所有没有在规则中明确指定的网络通讯。关于ISA策略和规则可参考前面这篇文章重新认识ISA规则和策略)。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/ede6ef25eda8cef0ce4ba49434e9fcee.gif)
5.找到原因就容易解决了,下面我们在防火墙策略里新建一个访问规则,名称为“允许出站Web通讯”
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/1cff2505159cd99aca32a93f218ce419.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/babc3e68a5330404ff68273102686286.gif)
应用到的协议为HTTP,这里我将FTP和HTTPS协议也添加上了,后面验证一下,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/20c849f00efd8d018d56dc449a318185.gif)
应用的网络源,也就是“从”,我们添加“内部”,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/89db2bc1a2cc3a107505ec767d608622.gif)
应用的网络目标,也就是“到”,我们添加“外部”,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/aa2fa816d006042e6202cc1ac3b56671.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/d737641d94b1408258bae087429e9b32.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/0ea8fa409516e63d6afa442d24ec9005.gif)
6.建完规则后,“应用”一下。然后我们再来在内网的Denver上访问一下,OK!这次没问题了。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/7a8e75e1b297df4f3323d8146c1c3be6.gif)
7.我们再用FTP测试一下,ftp istanbul.fabrikan.com,可以登录进去。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/e80640fb779ad1369427c2025adb5270.gif)
二、注意访问规则的先后顺序
1.在Paris计算机上,创建一个新的计算机集规则元素(打开“防火墙策略”,找到右侧的“工具箱—网络对象—新建—计算机集”),名称为“受限制的内部计算机”,添加受限制的内部计算机地址范围“10.1.1.5~10.1.1.8”
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/6d4fb3eabcea604bd9faac72fad23eea.gif)
2.然后新建一个访问规则,名称为“拒绝受限制的计算机”,下面的步骤见下图,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/06a59e934cbed48d9c62b637e3d09162.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/6762e7161a442800819523aaf6b274b2.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/f327933338042bcb9dc5ae1071ebf6c5.gif)
这里的源网络添加为我们刚才新建的“受限制的内部计算机”
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/2d9bdf8b665db0f6b208b7d7b2408e26.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/a8f134a7320fe84b87b4d65642b5b36d.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/7144f201129d2f458214342b0332aa7f.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/c31fbd0d8e6d0361bac660ab183971ae.gif)
3.应用完这个策略,我们在Denver上再次访问一下Istanbul,还是被ISA拒绝,但是这次不是默认的规则拒绝的,而是我们刚建的这个拒绝规则发挥的作用。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/337daf2e9afc2beb862dd896b6a94bbd.gif)
4.我们可以在Paris计算机中,将“允许出站Web通讯”规则移到“拒绝受限制的计算机”规则前面。在右侧窗格中,右键单击“拒绝受限制的计算机”,然后单击“下移”。现在“允许出站Web通讯”规则(第一位)排在“拒绝受限制的计算机”规则(第二位)之前,“应用”此操作。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/e62f371d9f762472c7bb4adfafd4492f.gif)
5.然后再次在Denver上测试一下,又可以访问了。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/25/f113872d5769b2784bc0a359208e5252.gif)
访问规则的先后位置决定那个规则首先被匹配,我们在建规则的时候要注意它们的放的先后顺序。本文出自 “冰泉” 博客,请务必保留此出处http://shuangyang.blog.51cto.com/540829/193790
相关文章推荐
- 启用客户端计算机的Ping命令 配置出站Internet访问系列之二
- 允许来自ISA Server的出站访问 配置出站Internet访问系列之三
- 在ISA Server 2006中配置淹没缓解 配置出站Internet访问系列之四
- 配置标准访问控制列表------允许指定网段的计算机可以出站访问其它网段的计算机
- Exchange系列—为客户端访问服务器配置证书 推荐
- Exchange系列—配置公共计算机和私人计算机文件访问策略
- MSR系列路由器限制某个源MAC只允许访问网关不允许访问外网功能的配置
- 配置扩展的访问控制列表------允许tcp协议通过出站端口访问服务器和禁止icmp协议通过出站端口访问服务器
- Exchange 2013 SP1部署系列14:配置客户端访问协议(IMAP&POP3)
- Exchange 2013部署系列之(六)配置邮件流和客户端访问
- nagios系列(二)之nagios客户端的安装及配置
- Windows Server 2012 R2 DirectAccess功能测试(8)―配置NAT客户端及Client访问测试
- 由于这台计算机没有远程桌面客户端访问许可证,远程会话被中断
- 由于这台计算机没有终端服务器客户端访问许可证,远程会话被中断
- Linux下配置Mysql允许远程访问详解
- ubuntu12.04 配置mysql允许远程访问
- EntityFramework.SqlServer.dll 中发生 其他信息: 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误。未找到或无法访问服务器。请验证实例名称是否正确并且 SQL Server 已配置为允许远程连接。 (provider: Named Pipes Provider, error: 40 - 无法打开到 SQL Server 的连接)
- 加上 允许客户端访问路径 之后,Apache不能正常启动