在使用ISA Server（或TMG2010）防火墙客户端上网时，使用IE浏览器上网，防火墙客户端可以自动为用户配置代理服务器及代理端口，而对于其他需要上网的软件，例如QQ、迅雷、视频客户端、网络游戏客户端，还需要用户手动指定代理服务器及代理端口。对网络熟悉的用户，可能很方便就可以配置代理服务器，而对于网络不熟悉的用户，则可能需要寻问他人，才能配置好。另外，所有的客户端都配置代理服务器，对于用户来说，也是一个很麻烦的事情，那么，有什么好的方法解决这个问题呢？

　　实际上，我们可以通过创建两条不同的防火墙策略来解决这个问题。因为通过浏览器上网，通常是使用TCP的80与443端口（即HTTP与HTTPS 协议），而QQ、迅雷等其他上网软件，虽然也可能会使用TCP的80与443端口，但更多的是使用80与443以外的端口，所以，在ISA Server防火墙中，我们只要创建如下的两条策略即可：

　　（1）为防火墙客户端配置策略：在ISA Server中创建“访问规则”，规则名称随意，例如“通过代理上网”，协议选择“HTTP”和“HTTPS”，方向从“内部”到“外部”，“用户”选择“所有通过身份验证的用户”，删除“所有用户”，如图1～4所示；

　　（2）为其他上网客户端配置策略：在ISA Server中创建“访问规则”，规则名称随意，例如“不通过代理上网”，协议选择“除HTTP与HTTPS”之外的所有协议，方向从“内部”到“外部”，“用户”选择“所有用户”，如图5～6所示。

　　这样，防火墙客户端还是使用浏览器通过代理服务器上网，以外的用户使用SNAT、不需要配置代理服务器即可上网。

.

• 上一篇:网站SQL注入防御战略
• 下一篇:EIP在防火墙中的解决方案

TAG: ISA防火墙 代理上网