5、測(cè)試該訪問(wèn)規(guī)則，通過(guò)IP地址來(lái)訪問(wèn)外部的Web服務(wù)器

現(xiàn)在我們來(lái)測(cè)試這條規(guī)則。首先先轉(zhuǎn)到Sydney上看看，這是一臺(tái)Dns和Web服務(wù)器，其中建有兩個(gè)Web站點(diǎn)，一個(gè)是默認(rèn)站點(diǎn)，一個(gè)是必須通過(guò)www.isacn.org域名才能訪問(wèn)的Web站點(diǎn)，

由于我們?cè)谠L問(wèn)規(guī)則中使用了身份驗(yàn)證，所以需要設(shè)置內(nèi)部客戶為Web代理客戶或者防火墻客戶。首先，我們使用域管理員賬號(hào)登錄域控Denver，然后設(shè)置它為Web代理客戶，通過(guò)ISA防火墻的默認(rèn)Web代理來(lái)瀏覽。

此時(shí)Denver通過(guò)IP地址訪問(wèn)外部的Sydney是可以的，

同時(shí)，你可以在ISA的管理控制臺(tái)中發(fā)現(xiàn)Denver提交的身份驗(yàn)證信息，

但是你會(huì)發(fā)現(xiàn)，你不能解析外部的DNS名字，同時(shí)也不能ping外部，這是為什么呢？

我們使用的DNS服務(wù)器是內(nèi)部的DNS，沒(méi)有設(shè)置對(duì)于外部的DNS解析請(qǐng)求應(yīng)該如何處理，在沒(méi)有設(shè)置轉(zhuǎn)發(fā)的時(shí)候會(huì)被DNS服務(wù)器丟棄，自然不能解析出外部的DNS名字。同時(shí)由于我們啟用了身份驗(yàn)證，只有使用Web代理客戶或者防火墻客戶才能提交身份驗(yàn)證信息。Web代理客戶只支持從Web瀏覽提交身份驗(yàn)證信息，不支持其他的程序，所以在Web代理客戶環(huán)境下，其他訪問(wèn)是不被ISA防火墻允許的（沒(méi)有提交身份驗(yàn)證信息）；而防火墻客戶不支持ICMP信息的轉(zhuǎn)換，所以，無(wú)論在Web代理客戶環(huán)境和防火墻客戶環(huán)境，都是不支持ICMP的。

6、在內(nèi)部AD的DNS服務(wù)器上設(shè)置DNS轉(zhuǎn)發(fā)

現(xiàn)在我們?cè)趦?nèi)部的域控上設(shè)置外部DNS名字解析請(qǐng)求的轉(zhuǎn)發(fā)。使用管理員賬號(hào)登錄域控Denver，在管理工具中打開DNS控制臺(tái)，右擊服務(wù)器名，選擇屬性；

在轉(zhuǎn)發(fā)器頁(yè)，選中上面的“所有其他DNS域”，然后在下面的轉(zhuǎn)發(fā)器列表中輸入外部的DNS服務(wù)器地址，在此我輸入外部的DNS服務(wù)器Sydney的IP 61.139.1.2，然后點(diǎn)擊添加；再點(diǎn)擊確定；

注意：如果你的DNS服務(wù)器屬性中轉(zhuǎn)發(fā)器被禁用，這是因?yàn)槟鉊NS服務(wù)器被作為根DNS服務(wù)器所至。在正向區(qū)域中刪除“.”后重啟DNS服務(wù)即可。

7、建立訪問(wèn)規(guī)則，允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問(wèn)外部的DNS服務(wù)

其實(shí)這一步也不是必須的。只要在內(nèi)部客戶上安裝防火墻客戶端，那么由于前面我們有條允許內(nèi)部的域管理員訪問(wèn)外部的所有服務(wù)的規(guī)則，就可以達(dá)到這一目的，但是在域控上是不推薦使用防火墻客戶的。所以，在此，我另外新建一條規(guī)則來(lái)允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問(wèn)外部的DNS服務(wù)。

在Florence上打開ISA管理控制臺(tái)，建立訪問(wèn)規(guī)則的步驟和第4步基本一致，對(duì)應(yīng)的規(guī)則元素為：

• 規(guī)則名：Allow DNS from Internal to External；
• 規(guī)則操作：允許；
• 協(xié)議：所選的協(xié)議 DNS；
• 訪問(wèn)規(guī)則源：內(nèi)部；
• 訪問(wèn)規(guī)則目標(biāo)：外部；
• 用戶集：所有用戶；

最后點(diǎn)擊應(yīng)用來(lái)保存修改和更新防火墻策略；

8、測(cè)試內(nèi)部DNS解析請(qǐng)求的轉(zhuǎn)發(fā)，并通過(guò)域名來(lái)訪問(wèn)外部的Web站點(diǎn)

此時(shí)，我們?cè)僭谟蚩谼enver上進(jìn)行DNS解析請(qǐng)求的測(cè)試，

轉(zhuǎn)發(fā)的DNS解析已經(jīng)正常了。

現(xiàn)在我們通過(guò)域名來(lái)訪問(wèn)外部的Web站點(diǎn)，

你可以很清楚的看到不同訪問(wèn)方式下頁(yè)面的不同。

9、配置ISA防火墻，允許其訪問(wèn)外部站點(diǎn)

現(xiàn)在我們?cè)贗SA防火墻上進(jìn)行測(cè)試，首先是解析域名，看是否正常，

ISA防火墻很容易的通過(guò)內(nèi)部域控的DNS服務(wù)解析出了外部的域名；

同樣的，我們?cè)O(shè)置其為Web代理客戶，讓它來(lái)訪問(wèn)外部網(wǎng)絡(luò)的Web站點(diǎn)試試，

但是，被拒絕了....Why？

很簡(jiǎn)單，你沒(méi)有在防火墻策略中允許它訪問(wèn)外部的Web站點(diǎn)。可能有朋友問(wèn)，我不是可以解析DNS嗎？這個(gè)功能是由ISA的系統(tǒng)策略來(lái)允許的，主要是方便管理和訪問(wèn)一些基礎(chǔ)服務(wù)，但是HTTP不是基礎(chǔ)服務(wù)，需要你另外建立訪問(wèn)規(guī)則來(lái)允許。

所以，我們現(xiàn)在需要建立一條允許本地主機(jī)訪問(wèn)外部的訪問(wèn)規(guī)則：

打開ISA管理控制臺(tái)，建立規(guī)則的步驟和第4步基本一致，對(duì)應(yīng)的規(guī)則元素為：

• 規(guī)則名：Allow Localhost to External；
• 規(guī)則操作：允許；
• 協(xié)議：所選的協(xié)議 HTTP；
• 訪問(wèn)規(guī)則源：本地主機(jī)；
• 訪問(wèn)規(guī)則目標(biāo)：外部；
• 用戶集：Domain Admins；

最后點(diǎn)擊應(yīng)用來(lái)保存修改和更新防火墻策略；

現(xiàn)在我們只需要簡(jiǎn)單的刷新一下...訪問(wèn)就已經(jīng)OK了；

同樣的，你也可以看出使用IP和使用域名訪問(wèn)的不同..