查看單個文章
舊 2004-07-16, 11:20 PM   #9 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

ISA2000 HTTP重轉發IP過濾器使用詳解

小斌斌


近期有許多朋友均對HTTP重轉發IP過濾器的使用有少許的疑問,在這裡也說說我對這個過濾器的理解,大家共同探討一下,如有不對的地方,請大家指正。

HTTP重轉發IP過濾器為Firewall及SecureNAT客戶端機提供了對web Proxy代理的訪問。而且,只要啟用了HTTP重轉發IP過濾器,則SecureNAT及Firewall都可以利用Web快取了。這對節省ISA外出的帶寬也有重要的意義。

HTTP重轉發IP過濾器的設定位置在ISA的控制台-服務器-Extensions。點擊 Application Filters(套用程式過濾器),雙按HTTP Redirector Filter(HTTP重轉發IP過濾器)。再點擊Options選項項,就會看到如圖所顯示的對話視窗。
http://www.isaservercn.org/upload/file/2_20040615222500_httpfilter.jpg


上面有幾個選項:

Redirect to local Web Proxy Service(重轉發IP到本地機Web代理服務):選項了這項,就將SecureNAT及Firewall客戶端機的HTTP請求重轉發IP到Web Proxy Service 。一旦求被重轉發IP,客戶端機就可利用Web 快取了。這是個預設選項。

Send to requested Web Server(傳送到所請求的Web服務器):這個選項將使SNAT及Firewall客戶端不使用HTTP過濾器,直接進行Web訪問。選項了這個選項,Friewall Service會強制進行客戶端機用戶身份認證。

Reject HTTP requests from Friewall and SecureNAT clients(拒絕從防火牆和SecureNAT客記機傳送來的請求):這個選項不允許SecureNAT的Firewall客戶端機用戶訪問任何HTTP內容,如要訪問Web,就必須要再將它們配置為Web Proxy客戶端機了。

  需要說明的是,SecureNAT並不能將客戶端用戶身份證明資訊傳送到ISA,因而如要在SecureNAT客戶端中允許Web訪問,就只能是匿名訪問,即只能新增允許匿名訪問的站點內容和傳輸協定規則(在規則中的Applies To中只能選項Any request 或 Client address sets specified below而不能選項 Users and groups specified below)。如啟用了過濾器,並允許SecureNAT和Firewall客戶端機訪問WebProxyService,而又沒有新增匿名訪問規則,則SecureNAT和Firewall客戶端機所傳送的請求就會失敗,也不會有可以輸入身份證明的對話視窗彈出來。這就是有些網友反映,為什麼SecureNAT客戶端老是不能進行Web訪問的問題癥結所在。

  HTTP重轉發IP過濾器基本的選項就上面三個,第一個選項能利用到ISA的Web快取,效率比較好。第二個選項使SNAT及Firewall客戶端機繞過了Web Proxy Services(WEB代理服務)。第三個則強制SNAT及Firewall客戶端機再配置成Web Proxy客戶端機才能進行HTTP訪問,適用於對Web訪問的控制水準比較嚴格的用戶。三個選項,選項那一種方案,就視乎你的需要了。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次