Назад | Перейти на главную страницу

Как заставить веб-прокси ISA 2006 работать с шаблоном единого сетевого адаптера

Мне нужно протестировать проблему с запуском нашего приложения за прокси-сервером с различными типами конфигураций, поэтому я установил ISA 2006 Enterprise на настольный компьютер. Поскольку на этом компьютере только одна сетевая карта, и я хочу начать с легкости, я выбрал шаблон «Один сетевой адаптер». У нас есть внутренняя сеть с NAT, которая находится в диапазоне 10.

Я определил внутреннюю сеть на сервере ISA как

10.XXX.YY.1 - 10.XXX.YY.255

У меня также есть правило по умолчанию, которое запрещает весь трафик, но я добавил следующее правило:

Policy - Protocols     - From             - To
Accept   HTTP            Internal           External
         HTTPS           Local Host         Internal
         HTTS Server                        Localhost

Затем я настроил Internet Explorer на виртуальной машине под управлением XP в виртуальном боксе с сетью Brigded (получает тот же диапазон сетевых адресов, что и обычные компьютеры в нашей сети), аналогично этому

Вместо имени сервера я использовал IP-адрес. Когда я пытаюсь получить доступ к веб-странице, это не проходит, и я получаю следующие сообщения журнала на прокси-сервере:

Original Client IP  Client Agent    Authenticated Client    Service Referring Server Destination Host Name  Transport   HTTP Method MIME Type   Object Source   Source Proxy    Destination Proxy   Bidirectional   Client Host Name    Filter Information  Network Interface   Raw IP Header   Raw Payload GMT Log Time    Source Port Processing Time Bytes Sent  Bytes Received  Cache Information   Error Information   Authentication Server   Log Time    Client IP   Destination IP  Destination Port    Protocol    Action  Rule    Result Code HTTP Status Code    Client Username Source Network  Destination Network URL Server Name Log Record Type
10.XXX.YY.174               -       TCP -   -                       -               24.08.2010 13:25:24 1080    0   0   0   0x0 0x0 -   24.08.2010 06:25:24 10.XXX.YY.174   10.XXX.YY.175   80  HTTP    Initiated Connection    MyHTTPAccess    0x0 ERROR_SUCCESS           Internal    Local Host  -   PROXYTEST   Firewall
10.XXX.YY.175               -       TCP -   -                       -               24.08.2010 13:25:24 2275    0   0   0   0x0 0x0 -   24.08.2010 06:25:24 10.XXX.YY.175   10.XXX.YY.175   80  HTTP    Initiated Connection        0x0 ERROR_SUCCESS           Local Host  Local Host  -   PROXYTEST   Firewall
10.XXX.YY.175               -       TCP -   -                       -               24.08.2010 13:25:25 2275    0   0   0   0x0 0x0 -   24.08.2010 06:25:25 10.XXX.YY.175   10.XXX.YY.175   80  HTTP    Closed Connection       0x80074e20 FWX_E_GRACEFUL_SHUTDOWN          Local Host  Local Host  -   PROXYTEST   Firewall
10.XXX.YY.175               -       TCP -   -                       -               24.08.2010 13:25:25 2276    0   0   0   0x0 0x0 -   24.08.2010 06:25:25 10.XXX.YY.175   10.XXX.YY.175   80  HTTP    Initiated Connection        0x0 ERROR_SUCCESS           Local Host  Local Host  -   PROXYTEST   Firewall
10.XXX.YY.175               -       TCP -   -                       -               24.08.2010 13:25:26 2276    0   0   0   0x0 0x0 -   24.08.2010 06:25:26 10.XXX.YY.175   10.XXX.YY.175   80  HTTP    Closed Connection       0x80074e20 FWX_E_GRACEFUL_SHUTDOWN          Local Host  Local Host  -   PROXYTEST   Firewall
10.XXX.YY.175               -       TCP -   -                       -               24.08.2010 13:25:26 2277    0   0   0   0x0 0x0 -   24.08.2010 06:25:26 10.XXX.YY.175   10.XXX.YY.175   80  HTTP    Initiated Connection        0x0 ERROR_SUCCESS           Local Host  Local Host  -   PROXYTEST   Firewall
10.XXX.YY.159               -       UDP -   -                       -               24.08.2010 13:25:26 68  0   0   0   0x0 0x0 -   24.08.2010 06:25:26 10.XXX.YY.159   255.255.255.255 67  DHCP (request)  Denied Connection   [Enterprise] Default rule   0xc004000d FWX_E_POLICY_RULES_DENIED            Internal    Local Host  -   PROXYTEST   Firewall
10.XXX.YY.166               -       UDP -   -                       -               24.08.2010 13:25:26 68  0   0   0   0x0 0x0 -   24.08.2010 06:25:26 10.XXX.YY.166   255.255.255.255 67  DHCP (request)  Denied Connection   [Enterprise] Default rule   0xc004000d FWX_E_POLICY_RULES_DENIED            Internal    Local Host  -   PROXYTEST   Firewall
0.0.0.0 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) Yes Proxy       10.XXX.YY.175   TCP GET     Internet    -   -       -   Req ID: 096c76ae; Compression: client=No, server=No, compress rate=0% decompress rate=0%    -   -   -   24.08.2010 13:25:27 0   2945    2581    446 0x0 0x40        24.08.2010 06:25:27 10.XXX.YY.174   10.XXX.YY.175   80  http    Failed Connection Attempt   MyHTTPAccess        10061   anonymous   Internal    Local Host  http://www.vg.no/   PROXYTEST   Web Proxy Filter
10.XXX.YY.175               -       TCP -   -                       -               24.08.2010 13:25:27 2277    0   0   0   0x0 0x0 -   24.08.2010 06:25:27 10.XXX.YY.175   10.XXX.YY.175   80  HTTP    Closed Connection       0x80074e20 FWX_E_GRACEFUL_SHUTDOWN          Local Host  Local Host  -   PROXYTEST   Firewall

Использование шаблона одиночного сетевого адаптера означает, что внутренняя сеть определяется как 0-126.255.255.255 и 128-255.255.255.255.

Ага, это означает, что любой адрес, отличный от localhost, считается внутренним.

Это частично ослабляет возможности ISA Firewall в пользу того, чтобы заставить его выполнять работу с веб-прокси.

После того, как вы настроили конфигурацию единого сетевого адаптера, следующим шагом обычно является:

  • Создайте набор правил веб-доступа по умолчанию, используя Часть политики брандмауэра мастера шаблонов, или
  • Просто создайте Разрешить / Все протоколы / Внутренний / Внутренний / Все пользователи (т.е. от внутреннего к внутреннему), что заставит ISA делать практически все, без аутентификации.
    • конечно, я бы посоветовал вам не просто разрешить все где угодно / где угодно, но некоторые наборы правил настолько просты.
    • обратите внимание, это не где угодно-где угодно - ISA-сервер по-прежнему защищен от внутренней сети.
  • Создайте правило Web Chaining для пересылки запросов на прокси-сервер верхнего уровня
    • и потенциально установить SkipNameResolutionForAccessAndRoutingRules если вы хотите полагаться на разрешение имен этого прокси, особенно если ваш внутренний прокси не выполняет быстро DNS или r-поиск в Интернете.

ISA имеет некоторые задокументированные ограничения в настройке единого сетевого адаптера, но он работает.