5、測試該訪問規(guī)則，通過IP地址來訪問外部的Web服務(wù)器

現(xiàn)在我們來測試這條規(guī)則。首先先轉(zhuǎn)到Sydney上看看，這是一臺Dns和Web服務(wù)器，其中建有兩個(gè)Web站點(diǎn)，一個(gè)是默認(rèn)站點(diǎn)，一個(gè)是必須通過www.isacn.org域名才能訪問的Web站點(diǎn)，

由于我們在訪問規(guī)則中使用了身份驗(yàn)證，所以需要設(shè)置內(nèi)部客戶為Web代理客戶或者防火墻客戶。首先，我們使用域管理員賬號登錄域控Denver，然后設(shè)置它為Web代理客戶，通過ISA防火墻的默認(rèn)Web代理來瀏覽。

此時(shí)Denver通過IP地址訪問外部的Sydney是可以的，

同時(shí)，你可以在ISA的管理控制臺中發(fā)現(xiàn)Denver提交的身份驗(yàn)證信息，

但是你會(huì)發(fā)現(xiàn)，你不能解析外部的DNS名字，同時(shí)也不能ping外部，這是為什么呢？

我們使用的DNS服務(wù)器是內(nèi)部的DNS，沒有設(shè)置對于外部的DNS解析請求應(yīng)該如何處理，在沒有設(shè)置轉(zhuǎn)發(fā)的時(shí)候會(huì)被DNS服務(wù)器丟棄，自然不能解析出外部的DNS名字。同時(shí)由于我們啟用了身份驗(yàn)證，只有使用Web代理客戶或者防火墻客戶才能提交身份驗(yàn)證信息。Web代理客戶只支持從Web瀏覽提交身份驗(yàn)證信息，不支持其他的程序，所以在Web代理客戶環(huán)境下，其他訪問是不被ISA防火墻允許的（沒有提交身份驗(yàn)證信息）；而防火墻客戶不支持ICMP信息的轉(zhuǎn)換，所以，無論在Web代理客戶環(huán)境和防火墻客戶環(huán)境，都是不支持ICMP的。

6、在內(nèi)部AD的DNS服務(wù)器上設(shè)置DNS轉(zhuǎn)發(fā)

現(xiàn)在我們在內(nèi)部的域控上設(shè)置外部DNS名字解析請求的轉(zhuǎn)發(fā)。使用管理員賬號登錄域控Denver，在管理工具中打開DNS控制臺，右擊服務(wù)器名，選擇屬性；

在轉(zhuǎn)發(fā)器頁，選中上面的“所有其他DNS域”，然后在下面的轉(zhuǎn)發(fā)器列表中輸入外部的DNS服務(wù)器地址，在此我輸入外部的DNS服務(wù)器Sydney的IP 61.139.1.2，然后點(diǎn)擊添加；再點(diǎn)擊確定；

注意：如果你的DNS服務(wù)器屬性中轉(zhuǎn)發(fā)器被禁用，這是因?yàn)槟鉊NS服務(wù)器被作為根DNS服務(wù)器所至。在正向區(qū)域中刪除“.”后重啟DNS服務(wù)即可。

7、建立訪問規(guī)則，允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問外部的DNS服務(wù)

其實(shí)這一步也不是必須的。只要在內(nèi)部客戶上安裝防火墻客戶端，那么由于前面我們有條允許內(nèi)部的域管理員訪問外部的所有服務(wù)的規(guī)則，就可以達(dá)到這一目的，但是在域控上是不推薦使用防火墻客戶的。所以，在此，我另外新建一條規(guī)則來允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問外部的DNS服務(wù)。

在Florence上打開ISA管理控制臺，建立訪問規(guī)則的步驟和第4步基本一致，對應(yīng)的規(guī)則元素為：

• 規(guī)則名：Allow DNS from Internal to External；
• 規(guī)則操作：允許；
• 協(xié)議：所選的協(xié)議 DNS；
• 訪問規(guī)則源：內(nèi)部；
• 訪問規(guī)則目標(biāo)：外部；
• 用戶集：所有用戶；

最后點(diǎn)擊應(yīng)用來保存修改和更新防火墻策略；

8、測試內(nèi)部DNS解析請求的轉(zhuǎn)發(fā)，并通過域名來訪問外部的Web站點(diǎn)

此時(shí)，我們再在域控Denver上進(jìn)行DNS解析請求的測試，

轉(zhuǎn)發(fā)的DNS解析已經(jīng)正常了。

現(xiàn)在我們通過域名來訪問外部的Web站點(diǎn)，

你可以很清楚的看到不同訪問方式下頁面的不同。

9、配置ISA防火墻，允許其訪問外部站點(diǎn)

現(xiàn)在我們在ISA防火墻上進(jìn)行測試，首先是解析域名，看是否正常，

ISA防火墻很容易的通過內(nèi)部域控的DNS服務(wù)解析出了外部的域名；

同樣的，我們設(shè)置其為Web代理客戶，讓它來訪問外部網(wǎng)絡(luò)的Web站點(diǎn)試試，

但是，被拒絕了....Why？

很簡單，你沒有在防火墻策略中允許它訪問外部的Web站點(diǎn)?？赡苡信笥褑枺也皇强梢越馕鯠NS嗎？這個(gè)功能是由ISA的系統(tǒng)策略來允許的，主要是方便管理和訪問一些基礎(chǔ)服務(wù)，但是HTTP不是基礎(chǔ)服務(wù)，需要你另外建立訪問規(guī)則來允許。

所以，我們現(xiàn)在需要建立一條允許本地主機(jī)訪問外部的訪問規(guī)則：

打開ISA管理控制臺，建立規(guī)則的步驟和第4步基本一致，對應(yīng)的規(guī)則元素為：

• 規(guī)則名：Allow Localhost to External；
• 規(guī)則操作：允許；
• 協(xié)議：所選的協(xié)議 HTTP；
• 訪問規(guī)則源：本地主機(jī)；
• 訪問規(guī)則目標(biāo)：外部；
• 用戶集：Domain Admins；

最后點(diǎn)擊應(yīng)用來保存修改和更新防火墻策略；

現(xiàn)在我們只需要簡單的刷新一下...訪問就已經(jīng)OK了；

同樣的，你也可以看出使用IP和使用域名訪問的不同..