我需要测试在具有不同配置的代理服务器后面运行我们的应用程序的问题,因此我在台式计算机上安装了 ISA 2006 Enterprise。由于这台计算机只有一张网卡,而且我想从容开始,所以我选择了“单网络适配器”模板。我们有一个内部 NAT 网络,范围在 10 内。
我已经将 ISA 服务器上的内部网络定义为
10.XXX.YY.1-10.XXX.YY.255
我也有拒绝所有流量的默认规则,但我添加了以下规则:
政策 - 协议 - 从 - 至
接受 HTTP 内部 外部
HTTPS 本地主机 内部
HTTS 服务器 本地主机
然后我在运行 XP 的虚拟机上配置了 Internet Explorer,该虚拟机使用桥接网络(获得与我们网络上的普通计算机相同的网络地址范围),类似于此
(来源:linglom.com)
我使用了 IP 地址而不是服务器名称。当我尝试访问网页时,它无法访问,并且我在代理服务器上收到以下日志消息:
Original Client IP Client Agent Authenticated Client Service Referring Server Destination Host Name Transport HTTP Method MIME Type Object Source Source Proxy Destination Proxy Bidirectional Client Host Name Filter Information Network Interface Raw IP Header Raw Payload GMT Log Time Source Port Processing Time Bytes Sent Bytes Received Cache Information Error Information Authentication Server Log Time Client IP Destination IP Destination Port Protocol Action Rule Result Code HTTP Status Code Client Username Source Network Destination Network URL Server Name Log Record Type
10.XXX.YY.174 - TCP - - - 24.08.2010 13:25:24 1080 0 0 0 0x0 0x0 - 24.08.2010 06:25:24 10.XXX.YY.174 10.XXX.YY.175 80 HTTP Initiated Connection MyHTTPAccess 0x0 ERROR_SUCCESS Internal Local Host - PROXYTEST Firewall
10.XXX.YY.175 - TCP - - - 24.08.2010 13:25:24 2275 0 0 0 0x0 0x0 - 24.08.2010 06:25:24 10.XXX.YY.175 10.XXX.YY.175 80 HTTP Initiated Connection 0x0 ERROR_SUCCESS Local Host Local Host - PROXYTEST Firewall
10.XXX.YY.175 - TCP - - - 24.08.2010 13:25:25 2275 0 0 0 0x0 0x0 - 24.08.2010 06:25:25 10.XXX.YY.175 10.XXX.YY.175 80 HTTP Closed Connection 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN Local Host Local Host - PROXYTEST Firewall
10.XXX.YY.175 - TCP - - - 24.08.2010 13:25:25 2276 0 0 0 0x0 0x0 - 24.08.2010 06:25:25 10.XXX.YY.175 10.XXX.YY.175 80 HTTP Initiated Connection 0x0 ERROR_SUCCESS Local Host Local Host - PROXYTEST Firewall
10.XXX.YY.175 - TCP - - - 24.08.2010 13:25:26 2276 0 0 0 0x0 0x0 - 24.08.2010 06:25:26 10.XXX.YY.175 10.XXX.YY.175 80 HTTP Closed Connection 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN Local Host Local Host - PROXYTEST Firewall
10.XXX.YY.175 - TCP - - - 24.08.2010 13:25:26 2277 0 0 0 0x0 0x0 - 24.08.2010 06:25:26 10.XXX.YY.175 10.XXX.YY.175 80 HTTP Initiated Connection 0x0 ERROR_SUCCESS Local Host Local Host - PROXYTEST Firewall
10.XXX.YY.159 - UDP - - - 24.08.2010 13:25:26 68 0 0 0 0x0 0x0 - 24.08.2010 06:25:26 10.XXX.YY.159 255.255.255.255 67 DHCP (request) Denied Connection [Enterprise] Default rule 0xc004000d FWX_E_POLICY_RULES_DENIED Internal Local Host - PROXYTEST Firewall
10.XXX.YY.166 - UDP - - - 24.08.2010 13:25:26 68 0 0 0 0x0 0x0 - 24.08.2010 06:25:26 10.XXX.YY.166 255.255.255.255 67 DHCP (request) Denied Connection [Enterprise] Default rule 0xc004000d FWX_E_POLICY_RULES_DENIED Internal Local Host - PROXYTEST Firewall
0.0.0.0 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) Yes Proxy 10.XXX.YY.175 TCP GET Internet - - - Req ID: 096c76ae; Compression: client=No, server=No, compress rate=0% decompress rate=0% - - - 24.08.2010 13:25:27 0 2945 2581 446 0x0 0x40 24.08.2010 06:25:27 10.XXX.YY.174 10.XXX.YY.175 80 http Failed Connection Attempt MyHTTPAccess 10061 anonymous Internal Local Host http://www.vg.no/ PROXYTEST Web Proxy Filter
10.XXX.YY.175 - TCP - - - 24.08.2010 13:25:27 2277 0 0 0 0x0 0x0 - 24.08.2010 06:25:27 10.XXX.YY.175 10.XXX.YY.175 80 HTTP Closed Connection 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN Local Host Local Host - PROXYTEST Firewall
答案1
使用单网络适配器模板意味着内部网络定义为 0-126.255.255.255 和 128-255.255.255.255。
是的,这意味着任何非本地主机地址都被视为内部地址。
这在一定程度上削弱了 ISA 防火墙的功能,以便让它执行 Web 代理操作。
一旦建立了单网络适配器配置,下一步通常是:
- 使用创建一组默认的 Web 访问规则模板向导的防火墙策略部分, 或者
- 只需创建一个允许/所有协议/内部/内部/所有用户(即从内部到内部),这将设置 ISA 执行几乎任何操作,无需身份验证。
- 当然,我建议您不要仅仅允许任何地方/任何地方,但有些规则就是这么简单。
- 注意不是任何地方- ISA 服务器仍然受到内部网络的保护。
- 创建 Web 链规则以将请求转发到上游代理
- 并可能设置跳过访问和路由规则的名称解析如果您想依赖该代理的名称解析,尤其是当您的内部代理不能快速执行 Internet DNS 或 r 查找时。
ISA 有一些记录的局限性在其单网络适配器设置中,但它确实有效。