ISA Server 2006 的內部用戶端概念
Microsoft® Internet Security and Acceleration (ISA) Server 2006 使用多種通訊層來保護公司網路。ISA Server 會在封包層執行防火牆原則,以控制網路介面上的資料,並在流量到達任何資源時先評估流量。只有當 Microsoft Firewall 服務執行規則來判定是否要服務要求之後,才會允許資料通過。
ISA Server 會保護三種用戶端類型:防火牆用戶端、SecureNAT 用戶端及 Web Proxy 用戶端,如下圖所示。
部署注意事項
支援何種 ISA Server 用戶端之選擇,取決於 ISA Server 部署實例以及現有的網路基礎結構。下表摘要列出用戶端需求及部署的詳細資料。
| 功能 | SecureNAT 用戶端 | 防火牆用戶端 | Web Proxy 用戶端 |
部署詳細資料 | 無需進行軟體部署。若要將電腦設定成 SecureNAT 用戶端,請設定電腦的預設閘道位址,使其將網際網路要求路由傳送到 ISA Server 電腦。 | 用戶端電腦上必須安裝防火牆用戶端軟體。 | 無需進行軟體部署。若要將電腦設定成 Web Proxy 用戶端,請將電腦上的網頁瀏覽器設定成使用 ISA Server 電腦作為 Web Proxy。至於網頁瀏覽器設定的自動偵測,必須在網域名稱系統 (DNS) 或動態主機設定通訊協定 (DHCP) 中設定 Web Proxy 自動探索 (WPAD)。 |
作業系統支援 | 凡是支援 TCP/IP 的作業系統均可使用。 | 必須使用 Microsoft Windows Server™ 2003 或 Windows® 2000 Server 作業系統。 | 支援所有的平台,但是以 Web 應用程式的方式支援。凡是可設定成使用 Proxy 伺服器的網頁瀏覽器,皆可擔任 Web Proxy 用戶端。 |
通訊協定支援 | 支援所有的簡易通訊協定。需要多個主要或次要連線的複雜通訊協定,必須在 ISA Server 電腦上安裝應用程式篩選器才能支援。 | 支援所有的 Winsock 應用程式。 | Web Proxy 用戶端支援超文字傳輸通訊協定 (HTTP)、HTTP over SSL (HTTPS),以及供下載要求的檔案傳輸通訊協定 (FTP)。 |
使用者層級驗證 | SecureNAT 用戶端無法由 ISA Server 予以驗證。 | 防火牆用戶端會自動將用戶端認證與要求一併傳送到 ISA Server 電腦。 | Web Proxy 用戶端可於 ISA Server 要求認證時接受驗證。若啟用匿名存取,則不會提供任何認證。 |
其他注意事項 | 供 Windows 用戶端以外的用戶端使用。如需支援 TCP 或 UDP (例如 ICMP 或 GRE) 以外的通訊協定時使用。如要將用戶端的原始來源 IP 位址轉寄到已發行的伺服器時,請將已發行的伺服器設定成 SecureNAT 用戶端。 | 如需支援次要通訊協定時使用。供嚴格存取控制使用。將使用者名稱記錄在記錄檔中。 | 適用於使用者型網頁存取、Web Proxy 變更,以及設定值的自動偵測。Web 要求會直接轉寄到 Web Proxy 篩選器,故效能良好。 |
ISA Server 對於其內部網路的用戶端所發出的要求之處理方式,取決於用戶端電腦的設定情形,以及所產生的要求類型。例如:
| • | 在防火牆用戶端電腦 (安裝且啟用防火牆用戶端軟體的電腦) 上,使用 Winsock 應用程式發展介面 (API) 所產生的要求,會受到防火牆用戶端軟體攔截。如果要求的位址為本機,會直接建立連線。否則會將要求傳送到 ISA Server 電腦上的防火牆服務。 |
| • | 在未設定 Web Proxy 用戶端設定的防火牆用戶端電腦或 SecureNAT 用戶端電腦上,從用戶端發出的 Web 要求 (HTTP、HTTPS 或下載用的 FTP) 會通透性地傳送到接收要求的網路之 Web Proxy 接聽程式。此即所謂的通透網路位址轉譯 (NAT)。 |
| • | 在設定成 Web Proxy 用戶端的任何電腦上,Web 要求會直接傳送到 Web Proxy 接聽程式。 |
防火牆用戶端
防火牆用戶端係安裝且啟用防火牆用戶端軟體的電腦,位在受 ISA Server 保護的網路中。防火牆用戶端可安裝在每個個別的用戶端電腦上,或是使用 Windows 軟體安裝嵌入式管理單元來集中管理防火牆用戶端軟體的發行。如需安裝及部署的相關資訊,請參閱 Microsoft TechNet 上的<部署 ISA Server 2006 防火牆用戶端>。
防火牆用戶端採用一般的 Winsock 提供者。設定防火牆用戶端並不會同時設定個別的 Winsock 應用程式。倒是防火牆用戶端軟體中的動態連結程式庫 (FwcWsp.dll) 會成為所有 Winsock 應用程式通透性使用的 Winsock 分層式服務提供者。防火牆用戶端分層式服務提供者會攔截從用戶端應用程式呼叫的 Winsock 功能,並針對本機目的地將要求路由傳送到原始下層基礎服務提供者,或針對遠端目的地以通透方式傳送到 ISA Server 電腦上的防火牆服務。
舊版防火牆用戶端支援
ISA Server 2006 (4.0 版) 內含的防火牆用戶端版本及 ISA Server 2004 的防火牆用戶端,為防火牆用戶端與 ISA Server 之間的通訊提供更完善的安全性支援。使用 TCP 控制通道隨著各個要求以通透方式傳送的防火牆用戶端認證皆經過加密,不會遭到中途攔截。
此項設定會讓舊版的防火牆用戶端軟體無法連線。也會防止任何執行 Windows NT® Server 4.0、Windows Millennium Edition 或 Windows 98 的防火牆用戶端連線。您可以設定讓 ISA Server 僅接受使用此安全方法進行通訊的用戶端連線,或是選擇支援舊版用戶端連線。
進行防火牆用戶端設定
防火牆用戶端設定可如下進行:
| • | 在 ISA Server 管理中,您可以指定套用到所有防火牆用戶端的應用程式設定,以及套用到特定網路上的防火牆用戶端之設定值。在防火牆用戶端安裝過程中,於 ISA Server 管理中指定的設定會存放在建立於用戶端電腦上的設定檔內,且套用到該用戶端電腦上所有的使用者。安裝完成後,會在每次重新啟動用戶端電腦時、在防火牆用戶端電腦上執行手動重新整理時,或於初始重新整理經過六小時後,將 ISA 管理中所修改的防火牆用戶端設定傳播到用戶端電腦。 |
| • | 防火牆用戶端安裝完成後,您可以在特定用戶端電腦上修改應用程式設定及設定值。 |
在防火牆用戶端安裝過程中,會在用戶端電腦上建立下列設定檔:
| • | Common.ini. 此檔案內含所有 Winsock 應用程式的一般設定值。 |
| • | Management.ini. 此檔案內含防火牆用戶端設定值。 |
用戶端電腦上的設定檔所在位置視作業系統而定。例如,在 Windows XP 電腦上,設定檔會複製到下列兩個位置:
| • | \Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004 |
| • | \Documents and Settings\username\Local Settings\Application Data\Microsoft\Firewall Client 2004 |
當防火牆用戶端設定有所修改時,會採用以下的喜好設定順序:
1. | 以使用者資料夾中的 .ini 檔案為優先。 |
2. | 防火牆用戶端會在 All Users 資料夾中查看下一個檔案。如果指定的設定值與使用者特定的設定不符,則將其略過。 |
3. | 防火牆用戶端依據 [防火牆用戶端管理] 對話方塊中指定的設定,偵測其應當與之連線的 ISA Server 電腦。 |
4. | 防火牆用戶端會檢查伺服器層級設定。套用 ISA Server 上所指定的所有設定值。如果指定的設定值與使用者特定或電腦特定的設定不符,則將其略過。 |
修改 ISA Server 管理中的設定值
在 ISA Server 管理中,您可以修改所有網路中所有防火牆用戶端的設定值,亦可修改預設內部網路的防火牆用戶端內容,或使用者定義的內部或周邊網路。下表摘要列出 ISA Server 管理中的防火牆用戶端設定。
| 設定 | 在 ISA Server 管理中的位置 | 詳細資料 |
允許不使用加密的防火牆用戶端連線 | 位於 [ISA Server 管理] 主控台樹狀目錄的 [一般] 節點中的 [定義防火牆用戶端設定值] 中 | 此為套用到所有網路中所有防火牆用戶端的通用設定。 允許未加密的連線支援早於 Firewall Client for ISA Server 2004 的防火牆用戶端版本,或是允許在 Windows NT 4.0、Windows Me 或 Windows 98 上執行的防火牆用戶端連線。 若選取這個選項,會封鎖來自已驗證使用者的未加密流量。請注意,唯有防火牆原則規則特別要求驗證,才會驗證使用者。 |
應用程式設定 | 位於 [ISA Server 管理] 的 [一般] 節點中的 [定義防火牆用戶端設定值] 中 | 防火牆用戶端應用程式設定屬於通用設定,會套用到所有網路中所有的防火牆用戶端。在 ISA Server 2006 Enterprise Edition 中,此設定會套用到陣列中所有的網路。 應用程式設定包含 {key, value} 配對,用來指定防火牆用戶端軟體與特定應用程式的行為模式。 |
啟用此網路的防火牆用戶端支援 | 位在網路內容頁面的 [防火牆用戶端] 索引標籤上 | 啟用某特定網路負責接聽連接埠 1745 上從防火牆用戶端傳來的要求。 |
名稱 | 位在網路內容頁面的 [一般] 索引標籤上 | 若為特定網路,指定 ISA Server 電腦的完整網域名稱 (FQDN) 供防火牆用戶端使用。請確定用戶端具有可用的 DNS 項目以解析此名稱。如果沒有可用的 DNS 伺服器,則需指定 IP 位址。 |
使用 Web Proxy 伺服器 | 位在網路內容頁面的 [防火牆用戶端] 索引標籤上 | 手動指定 ISA Server 電腦,供網路中的防火牆用戶端當作 Web Proxy 使用。 |
自動偵測設定 | 位在網路內容頁面的 [防火牆用戶端] 索引標籤上 | 指出網路中防火牆用戶端上的網頁瀏覽器應使用 WPAD 項目,其係從 DHCP 或 DNS 伺服器取得,用來自動探索含有 Wspad.dat 檔案的 WPAD 伺服器。Wspad.dat 內含處理 URL 要求時所應使用的 Proxy 伺服器相關資訊,以及其他防火牆用戶端設定的資訊。 |
使用自動設定指令檔 | 位在網路內容頁面的 [防火牆用戶端] 索引標籤上 | 指定讓網路中防火牆用戶端上的網頁瀏覽器從設定檔中取得設定。ISA Server 預設的設定檔內含處理 URL 要求時所應使用的 Proxy 伺服器相關資訊,以及在 [網頁瀏覽器] 索引標籤和 [網域] 索引標籤上指定的設定資訊。在 ISA Server 2006 Enterprise Edition 中,此指令碼亦含有可用來處理特定 URL 要求的陣列成員清單,以及用來散佈快取功能的快取陣列路由通訊協定 (CARP) 演算法。您亦可建立自訂的 Proxy 自動設定檔。 |
這個網路中的網頁伺服器不使用 Proxy | 位在網路內容頁面的 [網頁瀏覽器] 索引標籤上 | 指定讓網頁瀏覽器直接存取位在其所屬網路中的資源。 |
直接存取網域表中所指定的電腦 | 位在網路內容頁面的 [網頁瀏覽器] 索引標籤上 | 指出網頁瀏覽器將不會使用網路內容頁面的 [網域] 索引標籤上所指定的目的地 Proxy。 |
直接存取這些伺服器或網域 | 位在網路內容頁面的 [網頁瀏覽器] 索引標籤上 | 提供所應直接存取的位址或網域清單。 |
如果 ISA Server 無法使用,使用這個備份路由來連線到網際網路 | 位在網路內容頁面的 [網頁瀏覽器] 索引標籤上 | 指定當 ISA Server 無法使用時,讓網頁瀏覽器使用備份路由來處理 Web Proxy 要求。 |
網域名稱 | 位在網路內容頁面的 [網域] 索引標籤上 | 指定所應直接存取的網域。如此可確保用戶端直接連線到本機網路中的伺服器,而無需透過 ISA Server 迴路繞送。網頁瀏覽器在連線到特定外部網站時,可使用此清單略過 Web Proxy,而改為連線到防火牆用戶端或 SecureNAT 用戶端。若在 [網頁瀏覽器] 索引標籤上啟用 [直接存取網域表中所指定的電腦],即可使用此清單。若要略過 Proxy,要求必須同時符合清單中指定的 IP 位址範圍及伺服器或網域名稱。 |
修改防火牆用戶端電腦上的設定
使用 [Microsoft Firewall Client 管理] 對話方塊或修改設定檔,可在防火牆用戶端電腦上進行設定。請注意下列事項:
| • | 在用戶端電腦上的 [Microsoft Firewall Client 管理] 對話方塊中指定的設定,會套用到防火牆用戶端電腦上的所有使用者。 |
| • | 您亦可在 .ini 檔案中修改所有使用者的設定,該檔案位於 Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004 資料夾中。 |
| • | 若要修改特定使用者的防火牆用戶端設定,請修改位在 \Documents and Settings\username\Local Settings\Application Data\Microsoft\Firewall Client 2004 資料夾內的 .ini 檔案。 |
修改應用程式設定
您可在 ISA Server 管理中修改應用程式設定,以套用到所有的防火牆用戶端或某一特定防火牆用戶端電腦。下表列出您在設定防火牆用戶端應用程式設定時可納入的項目。第一個直欄列出可以包括在設定檔中的機碼。第二個直欄描述可設為機碼的值。請注意,某些設定只能在防火牆用戶端電腦上設定。
| 索引鍵 | 值 |
ServerName | 指定防火牆用戶端應連接到的 ISA Server 電腦名稱 (只能在防火牆用戶端電腦上設定)。 |
Disable | 可能值:0 或 1。值設為 1 時,表示停用特定用戶端應用程式的防火牆用戶端應用程式,除非防火牆用戶端設定明確免除起始流量的程序。 |
DisableEx | 可能值:0 或 1。值設為 1 時,表示停用特定用戶端應用程式的防火牆用戶端應用程式。套用到 ISA Server 2006 的防火牆用戶端。若設定此項,會置換 Disable 設定。例如,依預設會啟用 svchost 的 DisableEx。 |
Autodetection | 可能值:0 或 1。值設為 1 時,表示防火牆用戶端應用程式會自動尋找其所應連線的 ISA Server 電腦 (只能在防火牆用戶端電腦上設定)。 |
NameResolution | 可能值:L 或 R。依預設,小數點十進位表示法或網際網路網域名稱預設會重新導向到 ISA Server 電腦以進行名稱解析,而所有其他名稱都會在本機電腦上解析。如果值設為 R,則所有名稱都會重新導向到 ISA Server 電腦以進行解析。如果值設為 L,則所有名稱都會在本機電腦上解析。 |
LocalBindTcpPorts | 指定本機繫結的 TCP 連接埠、清單或範圍。 |
LocalBindUdpPorts | 指定本機繫結的 UDP 連接埠、清單或範圍。 |
DontRemoteOutboundTcpPorts | 指定不要透過 ISA Server 連接的輸出 TCP 連接埠、清單或範圍 (連線要求不會傳送至 ISA Server)。請使用此項目來指定不要讓用戶端與 ISA Server 通訊的連接埠。在保護 ISA Server 防火牆不受內部網路的攻擊時 (藉由存取隨機位置上的固定連接埠來散佈攻擊),這很有用。 |
DontRemoteOutboundUdpPorts | 指定本機繫結的輸出 UDP 連接埠、清單或範圍。 |
RemoteBindTcpPorts | 指定遠端繫結的 TCP 連接埠、清單或範圍。 |
RemoteBindUdpPorts | 指定遠端繫結的 UDP 連接埠、清單或範圍。 |
ProxyBindIP | 指定與對應連接埠相連結時使用的 IP 位址或清單。如有使用相同連接埠的多台伺服器,需要連結到 ISA Server 電腦上相同連接埠的不同 IP 位址時,適合使用此項目。此項目的語法為: ProxyBindIp=[port]:[IP address], [port]:[IP address] 其連接埠號碼會同時套用到 TCP 和 UDP 連接埠。 |
ServerBindTcpPorts | 指定應該接受多個連線之所有連接埠的 TCP 連接埠、清單或範圍。 |
Persistent | 可能值:0 或 1。值設為 1 時,表示當服務已停止並重新啟動且伺服器無回應時,可在 ISA Server 電腦上維持特定的伺服器狀態。用戶端會在使用中的工作階段期間,定期將持續作用訊息傳送到伺服器。如果伺服器未回應,則用戶端會在伺服器重新啟動時,嘗試還原繫結及接聽通訊端的狀態。 |
ForceCredentials | 執行 Windows 服務或伺服器應用程式 (如防火牆用戶端應用程式) 時使用。如果值設為 1,它就會強制使用本機儲存在執行服務之電腦上的替代使用者驗證憑證。使用者認證是使用由防火牆用戶端軟體所提供的 FwcCreds.exe 應用程式,儲存在用戶端電腦上。使用者認證必須參照可由 ISA Server 驗證的使用者帳戶,並且位於 ISA Server 本機區域,或是受 ISA Server 信任的網域中。使用者帳戶通常設為不會過期。否則,每當帳戶過期時,就必須更新使用者認證 (只能在防火牆用戶端電腦上設定)。 |
NameResolutionForLocalHost | 可能值:L (預設)、P 或 E。當呼叫 gethostbyname API 時,用來指定本機 (用戶端) 電腦名稱的解析方式。 使用 LocalHost 字串、空字串或 NULL 字串指標來呼叫 Winsock API 函數 gethostbyname(),即可解析 LocalHost 電腦名稱。Winsock 應用程式會呼叫 gethostbyname(LocalHost),以尋找其本機 IP 位址並傳送到網際網路伺服器。 如果此選項設為 L,gethostbyname() 就會傳回本機主機電腦的 IP 位址。如果此選項設為 P,gethostbyname() 就會傳回 ISA Server 電腦的 IP 位址。此選項設為 E 時,gethostbyname() 只會傳回 ISA Server 電腦的外部 IP 位址,亦即本機位址表以外的 IP 位址。 |
ControlChannel | 可能值:Wsp.udp 或 Wsp.tcp (預設)。指定所使用的控制通道類型。 |
EnableRouteMode | 可能值:0 或 1 (預設)。EnableRouteMode 設為 1,且已在防火牆用戶端電腦與要求目的地之間設定路由關聯性時,會以防火牆用戶端的 IP 位址作為來源位址。此值若設為 0,則使用 ISA Server 電腦的 IP 位址。 這個旗標不適用於舊版的防火牆用戶端。 |
在防火牆用戶端電腦上,除了可以修改 Common.ini 及 Management.ini 檔案外,您還能夠針對所有使用者或單一特定使用者建立另一個名為 Application.ini 的檔案,以便指定特定應用程式的設定資訊。例如,若要指定特定應用程式 (FW_Client_App.exe) 的項目,應在 Application.ini 檔案中設定以下範例:
[fw_Client_App] Disable=0 NameResolution=R LocalBindTcpPorts=7777 LocalBindUdpPorts=7000-7022, 7100-7170 RemoteBindTcpPorts=30 RemoteBindUdpPorts=3000-3050 ServerBindTcpPorts=100-300 ProxyBindIp=80:100.52.144.103, 82:110.51.0.0 Persistent=1 ForceCredentials=1 NameResolutionForLocalHost=L
防火牆用戶端本機位址
每當防火牆用戶端上執行的 Winsock 應用程式嘗試向電腦傳送要求時,防火牆用戶端分層服務提供者會判定目的地 IP 位址是否為本機位址。如是,防火牆用戶端便會將要求直接傳送到目的地。如果目的地位在遠端,會將要求傳送到 ISA Server 電腦上的防火牆服務,由該服務根據 ISA Server 存取規則來處理要求。依預設,防火牆用戶端會將下列位址視為本機:
| • | 網路所在位置上的所有位址。ISA Server 會為網路中所有的防火牆用戶端提供網路所涵蓋的一組 IP 位址範圍。這些 IP 位址範圍由防火牆用戶端代理程式存放在記憶體中。 | ||||
| • | 防火牆用戶端電腦上的本機路由表中所指定的所有位址。 | ||||
| • | 防火牆用戶端所在網路中,於網路內容頁面的 [網域] 索引標籤上所指定的所有網域尾碼。當防火牆用戶端連線到此本機網域表中指定的網域時,要求會略過防火牆用戶端設定。如此可確保該用戶端直接連線到本機網路中的伺服器,而無需透過 ISA Server 迴路繞送。 | ||||
| • | 防火牆用戶端電腦上設定的本機位址表 (Locallat.txt) 中所有的 IP 位址。Locallat.txt 檔案可建立在本機的 \Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004 資料夾中。建立 Locallat.txt 檔時,請在檔案中輸入 IP 位址配對。每一個位址配對都定義 IP 位址範圍或單一 IP 位址。下列範例顯示具有兩個項目的 Locallat.txt 檔案。第一個項目為 IP 位址範圍,第二個項目為單一 IP 位址。請注意,第二個項目是 IP 位址,而非子網路遮罩:
|
處理要求
防火牆用戶端處理 IP 位址要求的方式如下:
| • | 當用戶端電腦上的 Winsock 應用程式嘗試連線到某 IP 位址時,防火牆用戶端會檢查本機網域表,以判定該 IP 位址是否處於內部網路或位在網路外部。如果在本機網域表中找到其網域名稱,即由用戶端完成名稱解析。否則,用戶端會將要求傳送到外部 DNS 伺服器,要求 ISA Server 代為解析名稱。 |
| • | 當 ISA Server 代替防火牆用戶端進行用戶端要求解析時,係根據與收到防火牆用戶端要求的網路相關之網路介面卡上設定的 DNS 設定來完成名稱解析。解析出的 IP 位址會傳回防火牆用戶端電腦,再由該電腦傳送要求至目的地。ISA Server 根據網路介面卡所設的存留時間 (TTL) 設定,快取其向防火牆用戶端發出的 DNS 查詢之查詢結果。 |
| • | 當名稱解析傳回目的地伺服器的 IP 位址後,防火牆用戶端會檢查本機位址表及 Locallat.txt,以判定該位址是否為本機。若為內部位址,用戶端即直接連線。否則,要求會透過 ISA Server 電腦上的防火牆服務予以處理。 |
名稱解析
安裝有防火牆用戶端的電腦含有各應用程式的設定,用來指定是否由 ISA Server 代替用戶端進行名稱解析。依預設,在防火牆用戶端上執行的 Winsock 應用程式要求,其名稱解析的處理方式如下:
| • | 小數點十進位表示法或網際網路網域名稱會重新導向到 ISA Server 電腦以進行名稱解析。 |
| • | 不完整的名稱則在本機電腦上解析。 |
若要變更此預設行為,可使用下列值修改 NameResolution 設定值:
| • | NameResolution=L. 以此設定指定由本機電腦負責解析應用程式要求。 |
| • | NameResolution=R. 以此設定指定由 ISA Server 電腦負責解析應用程式要求。 |
若想確定應用程式的名稱解析確實執行,不妨修改此設定。您可以修改 Common.ini 檔案中的設定,藉此指定將設定套用到所有的應用程式。若要針對特定應用程式指定設定,請在 Application.ini 檔案中設定該應用程式名稱和值。
當網域及電腦指定為直接存取時,防火牆用戶端電腦會嘗試解析名稱,而不透過 ISA Server。用戶端電腦需要在 TCP/IP 參數中指定 DNS 伺服器,才能正確解析名稱。特別是,用戶端電腦必須能夠解析發行到內部 IP 位址的資源名稱。
如果應用程式的 NameResolution 設定指定為 L 或 R,此設定會置換任何直接存取設定。例如,如果您將 NameResolution 設定指定為 FWC_Application.exe = R,則無論 ISA Server 防火牆用戶端設定檔中是否有任何項目將要求目的地指定為本機,該應用程式的 FQDN 解析要求都一律由 ISA Server 處理。
驗證
防火牆用戶端會隨每項要求傳送使用者訊息至 ISA Server 電腦。如此可讓您建立針對特定群組及使用者套用的存取規則。使用者必須以 Active Directory® 目錄服務使用者帳戶登入,或者在工作群組實例中,必須以鏡像在 ISA Server 電腦上的使用者帳戶登入。當使用者名稱傳送到 ISA Server 電腦時,會記錄到 ISA Server 防火牆記錄檔中。如此可方便追蹤防火牆用戶端流量。
SecureNAT 用戶端
下節提供 SecureNAT 用戶端的相關資訊,包括處理要求、設定 SecureNAT 用戶端、名稱解析、驗證,以及伺服器發行。
處理要求
ISA Server 必須仰賴要求中使用的 IP 位址及通訊協定內容,才能辨識 SecureNAT 用戶端。來自 SecureNAT 用戶端的要求會先導向網路位址轉譯 (NAT) 驅動程式,它會以網際網路上有效的全域 IP 位址替換 SecureNAT 用戶端的內部 IP 位址。用戶端要求接著會導向到防火牆服務,以判定是否允許存取。防火牆服務也會快取所要求的物件,或是傳遞來自 ISA Server 快取的物件。由於來自 SecureNAT 用戶端的要求是由防火牆服務來處理,因此 SecureNAT 用戶端可有效利用防火牆服務安全性功能。所有的 ISA Server 規則皆可套用到 SecureNAT 用戶端,且有關通訊協定使用方法、目的地及內容類型等原則,亦可套用到 SecureNAT 用戶端。此外,要求可透過應用程式篩選器及其他擴充功能篩選。
若要能夠處理複雜通訊協定 (需要多個主要或次要連線者),Microsoft Windows NAT 採用 NAT 編輯器,其係以核心模式的 NAT 編輯器驅動程式編寫而成。ISA Server 應用程式篩選器取代了通常可透過 Windows 型 NAT 編輯器使用的功能,且能夠修改通訊協定資料流,以便處理複雜的通訊協定。請注意下列限制:
| • | SecureNAT 用戶端只能使用在 ISA Server 中設有通訊協定定義的通訊協定。 |
| • | 如果可在 ISA Server 電腦上使用應用程式篩選器,SecureNAT 用戶端便可使用具有次要連線的複雜通訊協定,透過 ISA Server 來存取資源。 |
設定 SecureNAT 用戶端
SecureNAT 用戶端不需要特殊軟體,但必須仰賴組織化的路由結構,將要求轉寄到 ISA Server。您必須設定用戶端電腦的預設閘道,以便讓目標通往網際網路的所有流量藉由 ISA Server,以直接或間接方式透過路由器傳送。設定預設閘道內容時,請辨識您所設定的網路拓撲類型:
| • | 簡單網路。在簡單網路實例中,SecureNAT 用戶端與 ISA Server 電腦之間沒有路由器,因此您應將 SecureNAT 用戶端的預設閘道設定為用戶端所在的 ISA Server 網路 (通常為內部網路) 中的 IP 位址。您可以使用用戶端上的 TCP/IP 設定值,手動設定這個值 (按一下 [控制台] 中的 [網路] 圖示,就可以存取這些設定)。 |
| • | 複雜網路。在複雜網路中,SecureNAT 用戶端與 ISA Server 電腦之間具有一或多個路由器,用來橋接多重子網路。其鏈結中最後一個路由器上的預設閘道設定,應指向 ISA Server。最佳狀況是,路由器應該使用沿著可到達 ISA Server 電腦的最短路徑來路由的預設閘道。同時,路由器也不能設定為捨棄預定為企業網路外部之位址的封包。ISA Server 會判定路由傳送封包的方式。 |
名稱解析
SecureNAT 用戶端能夠向本機網路及網際網路中的電腦要求物件。因此,SecureNAT 用戶端需要可以解析外部及內部電腦名稱的 DNS 伺服器。在此提出下列建議:
| • | 若為僅限網際網路存取,您應在用戶端上設定 TCP/IP 設定,以使用網際網路上的 DNS 伺服器。您應該建立存取規則,允許 SecureNAT 用戶端使用 DNS 通訊協定,並針對 SecureNAT 用戶端設定 DNS 篩選器。 |
| • | 如果 SecureNAT 用戶端同時向網際網路及內部資源要求資料,則用戶端應使用位於內部網路上的 DNS 伺服器。您應該設定 DNS 伺服器以解析內部位址及網際網路位址。 |
特別是,當您在針對 SecureNAT 用戶端設定名稱解析時,請務必避免透過 ISA Server 電腦迴路繞送內部資源要求。例如,假設 SecureNAT 用戶端要求存取由外部網路上的 ISA Server 所發行的內部資源,名稱解析不應將該要求解析成外部網路上的公用 IP 位址。若作如此解析,且 SecureNAT 用戶端將要求傳送到外部 IP 位址,則發行伺服器可能會直接對 SecureNAT 用戶端回應,造成回應丟失。用戶端的來源 IP 位址會取代為 ISA Server 內部網路介面卡的 IP 位址,而發行伺服器將該 IP 位址視為內部位址,因而直接回應 SecureNAT 用戶端。在此案例中,其中一向的封包係透過 ISA Server 以外的路徑傳送,另一方向的封包則透過 ISA Server 傳送,但 ISA Server 會認定回應無效而予以丟棄。
驗證
SecureNAT 用戶端無法傳送認證到 ISA Server。要驗證 SecureNAT 用戶端的連出要求,唯一可用的控制項為 IP 位址。如果 ISA Server 存取規則要求驗證,使用者會看到驗證訊息或失敗訊息。
SecureNAT 用戶端及伺服器發行
使用 ISA Server 發行而發行的內部伺服器通常會設定成 SecureNAT 用戶端。
在伺服器發行實例中,ISA Server 會在特定的 IP 位址及連接埠上,接聽存取內部伺服器的要求。一旦接獲要求,ISA Server 即根據伺服器發行規則,將該要求轉寄到已發行的伺服器。如果 ISA Server 設定為轉寄要求至已發行的伺服器時,需一併傳送封包源自的外部用戶端之原始來源 IP 位址,則必須將已發行的伺服器設定為 SecureNAT 用戶端。內部伺服器需具備透過 ISA Server 通向網際網路的預設路徑,以便回覆封包可經由 ISA Server 轉譯並傳回來源 IP 位址。將已發行的伺服器設定為 SecureNAT 用戶端,即可確保其具備透過伺服器發行來源的 ISA Server 電腦通向網際網路的預設閘道。如果已發行的伺服器無法設定為 SecureNAT 用戶端 (沒有通向網際網路的預設路徑),請確定伺服器發行規則是否選取 [要求看起來是來自 ISA Server 電腦] 設定。
Web Proxy 用戶端
Web Proxy 用戶端係一種用戶端應用程式或電腦,負責傳送要求至下列任一連接埠:
| • | ISA Server 電腦上的連接埠 80。 |
| • | ISA Server 用來接聽連出 Web 要求的連接埠,該要求是從用戶端電腦所在的網路發出。依預設,ISA Server 接聽發自內部網路用戶端的連出Web 要求時,使用連接埠 8080。 |
Web Proxy 用戶端通常是遵循 HTTP 1.1 的網頁瀏覽器應用程式,且其 Proxy 設定設為傳送 Web 要求至 ISA Server。設有 Web Proxy 設定的防火牆用戶端及 SecureNAT 用戶端也會以 Web Proxy 用戶端身份發出 Web 要求。
請啟用 ISA Server 預設內部網路及使用者定義的內部和周邊網路,以接聽來自 Web Proxy 用戶端的要求。請設定網路內容使其套用到網路中所有的 Web Proxy 用戶端。對於未在安裝有防火牆用戶端軟體的電腦上執行的網頁瀏覽器,當啟用網頁瀏覽器進行自動偵測,或當網頁瀏覽器設定有自動設定指令碼的位置時,會套用上述設定。
設定 Web Proxy 用戶端的瀏覽器設定
下表摘要列出可套用到 Web Proxy 用戶端的網頁瀏覽器設定。
| 設定 | 在 ISA Server 管理中的位置 | 詳細資料 |
啟用這個網路的 Web Proxy 用戶端連線 | 位在網路內容頁面的 [Web Proxy] 索引標籤上 | 啟用網路使其接聽來自Web Proxy 用戶端的要求。 |
這個網路中的網頁伺服器不使用 Proxy | 位在網路內容頁面的 [網頁瀏覽器] 索引標籤上 | 指定讓網頁瀏覽器直接存取位在其所屬網路中的資源。 |
直接存取網域表中所指定的電腦 | 位在網路內容頁面的 [網頁瀏覽器] 索引標籤上 | 指定網頁瀏覽器不使用網路內容頁面的 [網域] 索引標籤上所指定的目的地 Proxy。 |
直接存取這些伺服器或網域 | 位在網路內容頁面的 [網頁瀏覽器] 索引標籤上 | 指定略過 Proxy 的網域及位址清單。除了在 [網域] 索引標籤上指定的略過網域清單外,您可同時啟用此設定。凡是新增到此清單內的目的地,都應同時指定有 IP 位址及 FQDN,或單獨指定 FQDN。例如,若要設定內部網路以進行直接存取,需新增內部網路的 IP 位址範圍及內部網路網域名稱。 |
當自動設定指令碼中的網頁瀏覽器向 ISA Server 發出要求時,即將所指定的 IP 位址範圍、電腦及可供直接存取的網站 URL 清單傳送到該瀏覽器;網頁瀏覽器發出要求的方式有二,一種是使用 WPAD 呼叫 (\http://wpad.dat) 來尋找 ISA Server,或是以呼叫取得自動設定指令碼位置 (預設位置為 http://ISAServer_Name:8080/array.dll?Get.Routing.Script)。
Web Proxy 篩選器
ISA Server 2006 中的 Web Proxy 篩選器代表網路中要求 HTTP 和 HTTPS 物件且受 ISA Server 保護的用戶端,在應用程式層級中運作。這類 Web 要求可利用應用程式層檢查及快取,其來源不一而足,例如有:
| • | 來自 Web Proxy 用戶端的要求。來自 Web Proxy 用戶端的 Web 要求 (HTTP、HTTPS 或下載用的 FTP);該用戶端在瀏覽器設定中將 ISA Server 指定為 Proxy 伺服器;這類要求會直接傳送到 Web Proxy 篩選器。 |
| • | 來自 SecureNAT 或未設定為 Web Proxy 用戶端的防火牆用戶端之要求。依預設,HTTP 繫結到 Web Proxy 篩選器。在此設定下,來自非 Web Proxy 用戶端的用戶端 Web 要求,會以通透方式從防火牆服務傳送到 Web Proxy 篩選器進行處理。此即所謂的通透 NAT。套用 NAT,以在網際網路上有效的全域 IP 位址替代用戶端要求的內部 IP 位址,藉此保護內部位址。 |