 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
没有防火墙客户端软件的客户端计算机是 SecureNAT 客户端。SecureNAT 客户端可以利用 ISA 服务器的许多功能。这包括大部分访问控制功能,但高级协议支持和用户级别的身份验证除外。
虽然 SecureNAT 客户端不需要特殊软件,但是必须配置默认网关,以便 ISA 服务器能够通过路由器,以直接或间接的方式发送去往 Internet 的所有通讯。要配置客户端,可以使用动态主机配置协议 (DHCP) 服务,也可以手动配置。
由于来自 SecureNAT 客户端的请求是由 Microsoft 防火墙服务处理的,因此 SecureNAT 客户端将受益于防火墙服务的安全功能。应用程序筛选器可以修改协议流,以便允许处理复杂的协议。在 Microsoft® Windows® 网络地址转换 (NAT) 中,这种机制是通过使用 NAT 编辑器完成的,其作为内核模式的 NAT 编辑器驱动程序写入。
请注意,ISA 服务器应用程序筛选器取代了通常可以通过基于 Windows 的 NAT 编辑器获得的功能。要使 SecureNAT 客户端能够使用特定的应用程序或协议,必须使用应用程序筛选器。有关详细信息,请参阅应用程序筛选器。
ISA 服务器通过对 SecureNAT 客户端强制采用 ISA 服务器策略来扩展网络地址转换 (NAT) 功能。所有 ISA 服务器规则都可以应用于 SecureNAT 客户端,即使 NAT 没有内在的身份验证机制。关于协议使用、目标以及内容类型的策略也适用于 SecureNAT 客户端。
与防火墙客户端一起使用,SecureNAT 客户端也可以是向 Internet 发布信息的服务器,如邮件服务器。可以配置服务器发布规则以便将服务器发布为 SecureNAT 客户端。
虽然 SecureNAT 客户端不要求在客户端计算机上部署特定的软件,但是必须对网络进行相应的配置。本部分详细说明了部署 SecureNAT 客户端所需考虑的一些网络问题。
SecureNAT 客户端不要求在客户端计算机上部署特定的软件。但是,必须针对 ISA 服务器计算机配置网络拓扑,以保护 SecureNAT 客户端并确保其请求能得到处理。
必须正确配置 SecureNAT 客户端的默认网关。设置默认网关属性时,请确定您要配置的网络拓扑类型:
要在简单网络中配置 SecureNAT 客户端,应该将 SecureNAT 客户端的 IP 默认网关设置为 ISA 服务器计算机的内部网络地址卡的 IP 地址。可以使用客户端上的 TCP/IP 设置手动对此进行设置。(可以通过单击“控制面板”中的“网络”图标来访问这些设置。)或者,可以使用 DHCP 服务来自动为客户端配置这些设置。
要在复杂网络中配置 SecureNAT 客户端,应该在 SecureNAT 客户端与 ISA 服务器计算机之间的链路中的最后一台路由器上设置默认网关设置。在这种情况下,不必更改 SecureNAT 客户端的默认网关设置。
最佳的情况是,路由器应该使用沿着与 ISA 服务器计算机之间的最短路径进行路由的默认网关。此外,不应该将路由器配置为丢弃发往公司网络外的地址的数据包。ISA 服务器将确定如何路由数据包。
SecureNAT 客户端可能既请求本地网络计算机中的对象,也请求 Internet 中的对象。因此,SecureNAT 客户端将要求 DNS 服务器能够解析外部和内部计算机的名称。
要仅允许访问 Internet,SecureNAT 客户端应该配置 TCP/IP 设置使用 Internet 上的 DNS 服务器。您应该创建允许 SecureNAT 客户端使用 DNS 协议的访问规则,并为 SecureNAT 客户端配置 DNS 筛选器。
如果 SecureNAT 客户端将请求 Internet 以及内部网络服务器中的数据,那么这些客户端应该使用位于内部网络的 DNS 服务器。您应该配置 DNS 服务器解析内部地址和 Internet 地址。
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|