二、ISA的代理功能

　　听说过ISA的网友都知道ISA的两个作用，一个是防火墙，另一个就是代理。我们就先来看看它的代理功能，也就是怎么让内网用户利用它访问外网。

　　首先我们来看一下ISA所支持的客户端类型：Web代理客户端、防火墙客户端、SNAT客户端。

　　简单来说：ISA的三种客户端都能提供访问互联网的功能，Web代理只允许用户使用浏览器访问互联网，而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证，Web代理和防火墙客户端就可以大显身手了，事实上，微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为Web代理可以使用ISA缓存，真正起到加速作用。如果你希望为用户上网提供尽可能的便利，而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件，那么SNAT必然是你的最爱，只需配好DHCP就一切OK了。最后要提醒大家的是，Web代理和防火墙代理都有DNS转发功能，而SNAT则不存在这个问题，下表就列出了三种客户端的区别。

　　表：三种客户端的特点及区别

▲　　

　　下面我们用几个实例来分别看一下每种客户端的设置方法，

　　实例：用户通过WEB代理客户端访问外网

　　客户端设置方法：

▲

　　客户端通过在浏览器里填上代理的地址即可，我们以客户端的IE浏览器为例：

　　其中192.168.1.1 就是ISA Server的内网IP地址，8080就是WEB代理所使用的端口号。

　　我们来测试一下：访问 http://www.baidu.com

▲

　　这是怎么回事?因为ISA它同时又是一个防火墙，默认情况下，这个请求是交给ISA了，如图中的代码已经说的很清楚，是代理错误，ISA Server拒绝了这个URL。那么我们就需要到ISA上设置一个访问规则，让它允许内网到外网的访问才可以。

　　ISA 上创建访问规则：

▲

　　我们从这个图中可以看到，当前只有一个默认规则，这个规则是六新不认，统统是拒绝的。所以，我们需要添加一个访问规则，在防火墙策略上右键—新建---访问规则。

▲　图：新建访问规则

▲　图：指定访问规则的名称及操作

▲　图：指定访问规则所使用的协议

▲　图：指定规则源

▲ 图：指定规则目标

▲　图：指定规则所适用的用户

▲ 图：完成

▲　图：应用

　　我们再次到客户机上访问www.baidu.com

▲

　　OK了，说明操作成功了。使用WEB代理就是这么简单。但WEB代理所支持的协议非常有限，只支持http、https、FTP等协议，其他的协议则不再支持，那如果企业中需要应用到其他协议，就不能使用WEB代理客户端，可以选择使用SNAT客户端或防火墙客户端。