0x00. 为了測试基于HTTP隧道的绕过ISA,必须搭建模拟环境,为了不麻烦,我们这里不配合域环境认证.本次实验利用Vmware 10.0搭建好开发环境,实现ISA2006安装和部署,同一时候设定基于HTTP代理訪问的问题. 本人在ISA的应用上也算是新手,查找了不少资料,有不正确的还望批评指正.
搭建好开发环境说明:
Vmware Workstation 10.0
Window 2003 ( ISA_SERVER)
Window 2003 (客户机)
0x01.各台机器配置:
[Win2003-ISA2006 双网卡:]
网卡1:(标识WAN) - 在虚拟机选择Bridge模式
配置静态IP:192.168.1.200 /24 网关:192.168.1.1
网卡2:(标识LAN) - 在虚拟机选择Bridge模式
静态配置IP:192.168.2.1/24 网关:NULL
[Win2003 - 客户机设定]
单网卡,採用Host-only
静态IP:192.168.2.5 /24 ,网关192.168.2.1
0x02 ISA2006配置
ISA2006安装过程非常easy,不清楚看以下參考文档唯一要设定一个就是制定内网IP范围,这里我们指定上一步规划的内网ip 192.168.2.1~255就可以.安装过程须要用到Window2003 系统光盘,安装完成后须要重新启动一下.
重新启动后,我们看下ISA_server可以上网和客户机是否能上网.首先我们看下一下两台电脑IP配置如图3,4:
在Server机器上ping 192.168.2.99 ,是能够ping通的(关闭了客户机防火墙),在客户机ping 192.168.2.1,发现无法ping通,由于Server机器上安装了ISA起作用了,并且在安装ISA的时候已经停止了默认的防火墙.由于ISA默认配置的防火墙策略是禁止全部的网络通信,因此在Server机器上和客户机上都无法上网,在Server机器上訪问Robot's Blog(www.baidu.com),如图5:
最后提示是ISA拒绝訪问了,说明ISA起作用了.相同在客户机上也无法訪问.以下我们利用开启HTTP代理上网.
0x03 基于HTTP代理上网
配置Server本机能够上网,加入规则,如图06:
建立的规则信息:
规则名字: 本地机器能够上网 规则操作: 同意 规则应用: 全部出站规则 訪问规则源: 本地主机 訪问规则目标: 外部 用户集: 全部用户
加入完成,选择应用,,注意这个须要重新启动机器才干生效.
设置让客户机可以上网HTTP代理模式
相同如图6,加入一条规则,规则信息不一样而已:
规则名字: 内网机器能够上网 规则操作: 同意 规则应用: 全部出站规则 訪问规则源: 本地主机,内部 訪问规则目标: 外部 用户集: 全部用户
然后选择该规则右键"属性",切换到Web代理对话框,启用http代理,採用默认配置确定后完如图07:
接下来我们在客户机设定IE代理模式上网,打开IE,工具->Internet选项,切换到"链接"标签,设定如图08:
设定完就能够上网了(假设没有生效重新启动下ISA_Server吧,蛋疼.).这个就是基于ISA的HTTP代理上网,经常使用还有另外两种,基于防火墙的代理和SNAT代理.同一时候这些代理模式都支持各种认证,比方集成NTLM的认证和证书认证等等方法.这也是国外企业经常使用的一种安全模式。
0x04总结
基于ISA2006的防火墙的企业内网已经非常多的应用于非常多企业,特别是在国外,这样的防火墙可以非常好的保证企业内网的安全,尽管有点蛋疼,可是有应用就会有突破.本文的測试的目的就是为了測试基于HTTP隧道对于ISA的ByPass.有不论什么疑问可以到
參考文档:点击打开链接