5、测试该访问规则,通过IP地址来访问外部的Web服务器
现在我们来测试这条规则。首先先转到Sydney上看看,这是一台Dns和Web服务器,其中建有两个Web站点,一个是默认站点,一个是必须通过www.isacn.org域名才能访问的Web站点,
由于我们在访问规则中使用了身份验证,所以需要设置内部客户为Web代理客户或者防火墙客户。首先,我们使用域管理员账号登录域控Denver,然后设置它为Web代理客户,通过ISA防火墙的默认Web代理来浏览。
此时Denver通过IP地址访问外部的Sydney是可以的,
同时,你可以在ISA的管理控制台中发现Denver提交的身份验证信息,
但是你会发现,你不能解析外部的DNS名字,同时也不能ping外部,这是为什么呢?
我们使用的DNS服务器是内部的DNS,没有设置对于外部的DNS解析请求应该如何处理,在没有设置转发的时候会被DNS服务器丢弃,自然不能解析出外部的DNS名字。同时由于我们启用了身份验证,只有使用Web代理客户或者防火墙客户才能提交身份验证信息。Web代理客户只支持从Web浏览提交身份验证信息,不支持其他的程序,所以在Web代理客户环境下,其他访问是不被ISA防火墙允许的(没有提交身份验证信息);而防火墙客户不支持ICMP信息的转换,所以,无论在Web代理客户环境和防火墙客户环境,都是不支持ICMP的。
6、在内部AD的DNS服务器上设置DNS转发
现在我们在内部的域控上设置外部DNS名字解析请求的转发。使用管理员账号登录域控Denver,在管理工具中打开DNS控制台,右击服务器名,选择属性;
在转发器页,选中上面的“所有其他DNS域”,然后在下面的转发器列表中输入外部的DNS服务器地址,在此我输入外部的DNS服务器Sydney的IP 61.139.1.2,然后点击添加;再点击确定;
注意:如果你的DNS服务器属性中转发器被禁用,这是因为你DNS服务器被作为根DNS服务器所至。在正向区域中删除“.”后重启DNS服务即可。
7、建立访问规则,允许内部网络的所有用户访问外部的DNS服务
其实这一步也不是必须的。只要在内部客户上安装防火墙客户端,那么由于前面我们有条允许内部的域管理员访问外部的所有服务的规则,就可以达到这一目的,但是在域控上是不推荐使用防火墙客户的。所以,在此,我另外新建一条规则来允许内部网络的所有用户访问外部的DNS服务。
在Florence上打开ISA管理控制台,建立访问规则的步骤和第4步基本一致,对应的规则元素为:
- 规则名:Allow DNS from Internal to External;
- 规则操作:允许;
- 协议:所选的协议 DNS;
- 访问规则源:内部;
- 访问规则目标:外部;
- 用户集:所有用户;
最后点击应用来保存修改和更新防火墙策略;
8、测试内部DNS解析请求的转发,并通过域名来访问外部的Web站点
此时,我们再在域控Denver上进行DNS解析请求的测试,
转发的DNS解析已经正常了。
现在我们通过域名来访问外部的Web站点,
你可以很清楚的看到不同访问方式下页面的不同。
9、配置ISA防火墙,允许其访问外部站点
现在我们在ISA防火墙上进行测试,首先是解析域名,看是否正常,
ISA防火墙很容易的通过内部域控的DNS服务解析出了外部的域名;
同样的,我们设置其为Web代理客户,让它来访问外部网络的Web站点试试,
但是,被拒绝了....Why?
很简单,你没有在防火墙策略中允许它访问外部的Web站点。可能有朋友问,我不是可以解析DNS吗?这个功能是由ISA的系统策略来允许的,主要是方便管理和访问一些基础服务,但是HTTP不是基础服务,需要你另外建立访问规则来允许。
所以,我们现在需要建立一条允许本地主机访问外部的访问规则:
打开ISA管理控制台,建立规则的步骤和第4步基本一致,对应的规则元素为:
- 规则名:Allow Localhost to External;
- 规则操作:允许;
- 协议:所选的协议 HTTP;
- 访问规则源:本地主机;
- 访问规则目标:外部;
- 用户集:Domain Admins;
最后点击应用来保存修改和更新防火墙策略;
现在我们只需要简单的刷新一下...访问就已经OK了;
同样的,你也可以看出使用IP和使用域名访问的不同..
