配置防火墙客户和Web代理客户的直接访问

配置防火墙客户和Web代理客户的直接访问ChinaITLab收集整理2005-12-16保存本文推荐给好友QQ上看本站收藏本站防火墙客户在访问非本地网络时，默认会将所有TCP/UDP数据直接发送到ISA防火墙，由ISA防火墙进行处理；而Web代理客户则会将Web流量（HTTP、HTTPS、基于HTTP隧道的FTP）直接发送至ISA防火墙，再通过ISA防火墙进行访问。但是，有时防火墙客户和Web代理客户的访问通过ISA防火墙中转会出现问题，最常见的场景就是回环访问。防火墙客户或者Web代理客户通过ISA防火墙回环访问位于和自己相同本地网络中的服务，此时，你应该配置防火墙客户和Web代理客户的直接访问，即跳过ISA防火墙直接进行访问。ISA防火墙客户和防火墙客户端配置如果你安装了ISA2004的防火墙客户端软件，那么客户对非本地网络的访问就会通过ISA防火墙，除了你特别进行了指定。你可以在客户端计算机或者ISA防火墙上进行指定。如果在客户端计算机上进行指定，则是通过直接修改客户端计算机上的LocalLAT.txt文件来实现。此文件定义了防火墙客户端认为是本地网络的地址，并且在访问包含在此网络中的网络地址时，不会通过ISA防火墙。在此我以跳过ISA防火墙访问10.10.5.X为例对此文件进行修改。登录到安装有防火墙客户端的客户端计算机；打开C：\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\FirewallClient2004目录，新建一个文本文件，名为LocalLAT.txt；双击此文件使用记事本打开，在此文件中添加IP地址范围，按照以下格式添加：起始IP地址结束IP地址。在此我添加为10.10.5.110.10.5.255，保存此文件后退出。然后重启FirewallClientAgent服务。此时，你就可以发现发送到10.10.5.X网络的通讯就没有再通过ISA防火墙了。防火墙客户端软件发现LocalLAT.txt文件后，从中读取IP地址范围，然后把它们当做是内部网络。你也可以针对某个IP地址跳过访问，但是必须在LocalLAT.txt中输入地址范围的形式。ISA防火墙上指定是通过修改网络属性进行，操作步骤如下所示：打开ISA管理控制台，依次展开配置下的网络；右击内部网络，然后点击属性；点击域标签，然后点击添加；输入你想跳过ISA防火墙访问的域名，然后点击确定；在内部网络属性对话框上点击确定；这样，当防火墙客户端访问上述定义的域名集时，会跳过ISA防火墙直接进行访问。允许直接访问和跳过Web代理上述配置只是针对防火墙客户端，如果你的客户是Web代理客户，则不会受到它们的影响。为了让Web代理客户跳过ISA防火墙直接进行访问，你必须执行以下步骤：1、启用Web代理客户代理服务配置中的自动检测设置或者使用自动配置脚本；2、在ISA防火墙中配置Web代理客户的直接访问，操作过程如下所示：打开ISA管理控制台，依次展开配置下的网络；右击内部网络，然后点击属性；点击Web浏览器标签，勾选为此网络中的Web服务器跳过代理服务，此选项将让此网络中的Web代理客户在访问本地网络中的Web服务时跳过ISA防火墙；勾选直接访问在域中指定的计算机选项，点击添加按钮；输入IP地址范围或者域名，点击确定；在内部网络属性对话框上点击确定；此时，针对Web代理客户的直接访问就配置好了。更为详细的信息，请参见配置直接访问的站点：第一部分配置Web代理客户的直接访问和配置直接访问的站点：第二部分配置防火墙客户和服务发布环境下的直接访问。