在使用ISA Server(或TMG2010)防火墙客户端上网时,使用IE浏览器上网,防火墙客户端可以自动为用户配置代理服务器及代理端口,而对于其他需要上网的软件,例如QQ、迅雷、视频客户端、网络游戏客户端,还需要用户手动指定代理服务器及代理端口。对网络熟悉的用户,可能很方便就可以配置代理服务器,而对于网络不熟悉的用户,则可能需要寻问他人,才能配置好。另外,所有的客户端都配置代理服务器,对于用户来说,也是一个很麻烦的事情,那么,有什么好的方法解决这个问题呢?
实际上,我们可以通过创建两条不同的防火墙策略来解决这个问题。因为通过浏览器上网,通常是使用TCP的80与443端口(即HTTP与HTTPS协议),而QQ、迅雷等其他上网软件,虽然也可能会使用TCP的80与443端口,但更多的是使用80与443以外的端口,所以,在ISA Server防火墙中,我们只要创建如下的两条策略即可:
(1)为防火墙客户端配置策略:在ISA Server中创建“访问规则”,规则名称随意,例如“通过代理上网”,协议选择“HTTP”和“HTTPS”,方向从“内部”到“外部”,“用户”选择“所有通过身份验证的用户”,删除“所有用户”,如图1~4所示;
(2)为其他上网客户端配置策略:在ISA Server中创建“访问规则”,规则名称随意,例如“不通过代理上网”,协议选择“除HTTP与HTTPS”之外的所有协议,方向从“内部”到“外部”,“用户”选择“所有用户”,如图5~6所示。
这样,防火墙客户端还是使用浏览器通过代理服务器上网,以外的用户使用SNAT、不需要配置代理服务器即可上网。