ISA2006安装和部署基础(虚拟机非域环境)

0x00. 为了測试基于HTTP隧道的绕过ISA,必须搭建模拟环境,为了不麻烦,我们这里不配合域环境认证.本次实验利用Vmware 10.0搭建好开发环境,实现ISA2006安装和部署,同一时候设定基于HTTP代理訪问的问题. 
本人在ISA的应用上也算是新手,查找了不少资料,有不正确的还望批评指正.

搭建好开发环境说明:

  Vmware Workstation 10.0

  Window 2003 ( ISA_SERVER)

  Window 2003 (客户机)

0x01.各台机器配置:

[Win2003-ISA2006 双网卡:]

网卡1:(标识WAN) - 在虚拟机选择Bridge模式

配置静态IP:192.168.1.200 /24 网关:192.168.1.1

网卡2:(标识LAN) - 在虚拟机选择Bridge模式

静态配置IP:192.168.2.1/24 网关:NULL

[Win2003 - 客户机设定]

单网卡,採用Host-only 

静态IP:192.168.2.5 /24 ,网关192.168.2.1

0x02 ISA2006配置

     ISA2006安装过程非常easy,不清楚看以下參考文档唯一要设定一个就是制定内网IP范围,这里我们指定上一步规划的内网ip 192.168.2.1~255就可以.安装过程须要用到Window2003 系统光盘,安装完成后须要重新启动一下.

  重新启动后,我们看下ISA_server可以上网和客户机是否能上网.首先我们看下一下两台电脑IP配置如图3,4:

在Server机器上ping 192.168.2.99 ,是能够ping通的(关闭了客户机防火墙),在客户机ping 192.168.2.1,发现无法ping通,由于Server机器上安装了ISA起作用了,并且在安装ISA的时候已经停止了默认的防火墙.由于ISA默认配置的防火墙策略是禁止全部的网络通信,因此在Server机器上和客户机上都无法上网,在Server机器上訪问Robot's
Blog(www.baidu.com),如图5:

最后提示是ISA拒绝訪问了,说明ISA起作用了.相同在客户机上也无法訪问.以下我们利用开启HTTP代理上网.

0x03 基于HTTP代理上网

配置Server本机能够上网,加入规则,如图06:

建立的规则信息:

规则名字: 本地机器能够上网
规则操作: 同意
规则应用: 全部出站规则
訪问规则源: 本地主机
訪问规则目标: 外部
用户集: 全部用户

加入完成,选择应用,,注意这个须要重新启动机器才干生效.

设置让客户机可以上网HTTP代理模式

相同如图6,加入一条规则,规则信息不一样而已:

规则名字: 内网机器能够上网
规则操作: 同意
规则应用: 全部出站规则
訪问规则源: 本地主机,内部
訪问规则目标: 外部
用户集: 全部用户

然后选择该规则右键"属性",切换到Web代理对话框,启用http代理,採用默认配置确定后完如图07：

接下来我们在客户机设定IE代理模式上网,打开IE,工具->Internet选项,切换到"链接"标签,设定如图08:

设定完就能够上网了(假设没有生效重新启动下ISA_Server吧,蛋疼.).这个就是基于ISA的HTTP代理上网,经常使用还有另外两种,基于防火墙的代理和SNAT代理.同一时候这些代理模式都支持各种认证,比方集成NTLM的认证和证书认证等等方法.这也是国外企业经常使用的一种安全模式。

0x04总结

      基于ISA2006的防火墙的企业内网已经非常多的应用于非常多企业,特别是在国外,这样的防火墙可以非常好的保证企业内网的安全,尽管有点蛋疼,可是有应用就会有突破.本文的測试的目的就是为了測试基于HTTP隧道对于ISA的ByPass.有不论什么疑问可以到

參考文档：点击打开链接