北太工教育高回 The Beidaweryanggong Education 同的,主要的区别有以下几点 1.SNAT用户的访问只能通过IP地址来进行控制,它是匿名访问,无法使用基于USER 的规则控制,而防火墙用户和WEB用户可以(在缺省情况下,ISA允许WEB匿名访 问,但是你可以通过设置,在访问前要求用户认证) 2.防火墙用户只能在wINX的机器上安装(需要客户端安装程序),而SNAT客户和WEB 客户可以跨越操作系统平台,WEB只有浏览器要求 3.如何内部有WEB/ FTP/MAIL之类的服务器提供对外服务,则它们必须作为SNAT用户 4.SNAT用户不支持需要二次连接的网络运用,除非在 IP FILTER中指定 5.SNAT用户需要解决DNS解析问题,这就意味着你的 INTRANET要有DNS服务器或 者在 IP FILTER中允许 DNS Query operation 6.SNAT用户和防火墙用户同时也可以是WEB用户,不过WEB用户只支持 Http/htTps/Ftp服务 7.对于SNAT用户来说,即使 Protocol rule allows" Any IP traffic”,它也只是开放了ISA 预先定义的那些 Protocol,至于如QQ之类还要你自己定义。注意如果这一应用只使用 了单一端口,那只要直接定义即可,如果使用了多个端口,则须在 IP FILTER中加以定 义 如果你的网络对外连接是通过拨号方式,则只有 Web Proxy and firewall clients可以使用 按需拨号,对于NAT用户,必须首先建立连接。WEB用户和防火墙用户还可以配置使用自 动发现ISA。你需要在DHCP( a special Web Proxy Autodiscovery Protocol entry)和DNS(both a host(A)record of the ISA Server computer and an alias( CNAME) record named WPAD pointing to the Isa Server computer.)中进行相应设置 四:设置 Access policies 对于用户访问是否允许,ISA通过 PROTOCOL-> SITE AND CONTENT>IP FILTER> ROUTING RULE的次序进行考察,首先考察是否有 PROTOCOL RULES拒绝访 问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。 SITE AND CONTENT/ P FILTER也是这样判断。 ROUTING RULE主要用来判断是将访问要求转交给 上一级ISA还是直接发到 INTERNET上。特别的: 1.对于一个指定的 PROTOCOL,如果以一个SNAT访问,如果没有明确的拒绝(这里的 拒绝指得是P地址的拒绝),则ISA会查找是否有明确的许可,如果许可都是针对用户 的,则SNAT客户会被拒绝(因为SNAT是匿名的)。如果许可是针对P的,如果客户 端在这一IP地址范围内,则 PROTOCOL这一层过滤通过 2.对以 WEB PROXY CLIENT用户(在浏览器中填写ISA作为代理服务器),缺省情况下 它是允许匿名的,他允许跑的协议为 Http/htTps/FTP。对于这种情况,我们可以在 ISA的设置中要求出站WEB需要认证,或者在 PROTOCOL中加一条允许协议,因为 WEB允许匿名,所以一条DENY并不能阻止他的访问,加上允许,ISA就会对他进行 匹配,他就会因为不匹配而遭到拒绝 3.对于 FIREWALL/WEB CLIENT均是通过用户来进行管理的,只有NAT是通过IP来进 行管理,在ISA上观察, FIREWALL SNAT CLIENT均属于 FIRWALL SESSION,但是 FIRWALL CLIENT有用户名和机器名,SNAT这两项为空,他只有客户端的IP地址。 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 同的，主要的区别有以下几点： 1. SNAT 用户的访问只能通过 IP 地址来进行控制，它是匿名访问，无法使用基于 USER 的规则控制，而防火墙用户和 WEB 用户可以（在缺省情况下，ISA 允许 WEB 匿名访 问，但是你可以通过设置，在访问前要求用户认证） 2. 防火墙用户只能在 WINX 的机器上安装（需要客户端安装程序），而 SNAT 客户和 WEB 客户可以跨越操作系统平台，WEB 只有浏览器要求 3. 如何内部有 WEB/FTP/MAIL 之类的服务器提供对外服务，则它们必须作为 SNAT 用户 4. SNAT 用户不支持需要二次连接的网络运用，除非在 IP FILTER 中指定 5. SNAT 用户需要解决 DNS 解析问题，这就意味着你的 INTRANET 要有 DNS 服务器或 者在 IP FILTER 中允许 DNS Query operation。 6. SNAT 用 户和防火 墙用户同时 也可以是 WEB 用户， 不过 WEB 用 户只支持 HTTP/HTTPS/FTP 服务。 7. 对于 SNAT 用户来说，即使 Protocol Rule allows "Any IP traffic."，它也只是开放了 ISA 预先定义的那些 Protocol，至于如 QQ 之类还要你自己定义。注意如果这一应用只使用 了单一端口，那只要直接定义即可，如果使用了多个端口，则须在 IP FILTER 中加以定 义。 如果你的网络对外连接是通过拨号方式，则只有 Web Proxy and firewall clients 可以使用 按需拨号，对于 NAT 用户，必须首先建立连接。WEB 用户和防火墙用户还可以配置使用自 动发现 ISA。你需要在 DHCP（a special Web Proxy Autodiscovery Protocol entry）和 DNS（both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.）中进行相应设置 四：设置 Access Policies 对 于 用 户 访 问 是 否 允 许 ， ISA 通 过 PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE 的次序进行考察，首先考察是否有 PROTOCOL RULES 拒绝访 问，如果没有，再考察是否有明确的允许，如果有，则通过，其他情况则拒绝。SITE AND CONTENT/IP FILTER 也是这样判断。ROUTING RULE 主要用来判断是将访问要求转交给 上一级 ISA 还是直接发到 INTERNET 上。特别的： 1. 对于一个指定的 PROTOCOL，如果以一个 SNAT 访问，如果没有明确的拒绝（这里的 拒绝指得是 IP 地址的拒绝），则 ISA 会查找是否有明确的许可，如果许可都是针对用户 的，则 SNAT 客户会被拒绝（因为 SNAT 是匿名的）。如果许可是针对 IP 的，如果客户 端在这一 IP 地址范围内，则 PROTOCOL 这一层过滤通过。 2. 对以 WEB PROXY CLIENT 用户（在浏览器中填写 ISA 作为代理服务器），缺省情况下 它是允许匿名的，他允许跑的协议为 HTTP/HTTPS/FTP。对于这种情况，我们可以在 ISA 的设置中要求出站 WEB 需要认证，或者在 PROTOCOL 中加一条允许协议，因为 WEB 允许匿名，所以一条 DENY 并不能阻止他的访问，加上允许，ISA 就会对他进行 匹配，他就会因为不匹配而遭到拒绝。 3. 对于 FIREWALL/WEB CLIENT 均是通过用户来进行管理的，只有 NAT 是通过 IP 来进 行管理，在 ISA 上观察，FIREWALL/ SNAT CLIENT 均属于 FIRWALL SESSION，但是 FIRWALL CLIENT 有用户名和机器名，SNAT 这两项为空，他只有客户端的 IP 地址