0x00. 為了測試基於HTTP隧道的繞過ISA,必須搭建模擬環境,為了不麻煩,我們這裏不配合域環境認證.本次實驗利用Vmware 10.0搭建好開發環境,實現ISA2006安裝和部署,同一時候設定基於HTTP代理訪問的問題. 本人在ISA的應用上也算是新手,查找了不少資料,有不正確的還望批評指正.

搭建好開發環境說明:
Vmware Workstation 10.0
Window 2003 ( ISA_SERVER)
Window 2003 (客戶機)

0x01.各臺機器配置:

[Win2003-ISA2006 雙網卡:]
網卡1:(標識WAN) - 在虛擬機選擇Bridge模式
配置靜態IP:192.168.1.200 /24 網關:192.168.1.1

[Win2003 - 客戶機設定]
單網卡,採用Host-only
靜態IP:192.168.2.5 /24 ,網關192.168.2.1

0x02 ISA2006配置
ISA2006安裝過程非常easy,不清楚看以下參考文檔唯一要設定一個就是制定內網IP範圍,這裏我們指定上一步規劃的內網ip 192.168.2.1~255就可以.安裝過程須要用到Window2003 系統光盤,安裝完成後須要重新啟動一下.
重新啟動後,我們看下ISA_server可以上網和客戶機是否能上網.首先我們看下一下兩臺電腦IP配置如圖3,4:

在Server機器上ping 192.168.2.99 ,是能夠ping通的(關閉了客戶機防火墻),在客戶機ping 192.168.2.1,發現無法ping通,由於Server機器上安裝了ISA起作用了,並且在安裝ISA的時候已經停止了默認的防火墻.由於ISA默認配置的防火墻策略是禁止全部的網絡通信,因此在Server機器上和客戶機上都無法上網,在Server機器上訪問Robot‘s Blog(www.baidu.com),如圖5:

最後提示是ISA拒絕訪問了,說明ISA起作用了.相同在客戶機上也無法訪問.以下我們利用開啟HTTP代理上網.

0x03 基於HTTP代理上網
配置Server本機能夠上網,加入規則,如圖06:

建立的規則信息:

規則名字: 本地機器能夠上網
規則操作: 同意
規則應用: 全部出站規則
訪問規則源: 本地主機
訪問規則目標: 外部
用戶集: 全部用戶

規則名字: 內網機器能夠上網
規則操作: 同意
規則應用: 全部出站規則
訪問規則源: 本地主機,內部
訪問規則目標: 外部
用戶集: 全部用戶

接下來我們在客戶機設定IE代理模式上網,打開IE,工具->Internet選項,切換到"鏈接"標簽,設定如圖08:

設定完就能夠上網了(假設沒有生效重新啟動下ISA_Server吧,蛋疼.).這個就是基於ISA的HTTP代理上網,經常使用還有另外兩種,基於防火墻的代理和SNAT代理.同一時候這些代理模式都支持各種認證,比方集成NTLM的認證和證書認證等等方法.這也是國外企業經常使用的一種安全模式。

0x04總結
基於ISA2006的防火墻的企業內網已經非常多的應用於非常多企業,特別是在國外,這樣的防火墻可以非常好的保證企業內網的安全,盡管有點蛋疼,可是有應用就會有突破.本文的測試的目的就是為了測試基於HTTP隧道對於ISA的ByPass.有不論什麽疑問可以到

參考文檔：點擊打開鏈接

ISA2006安裝和部署基礎(虛擬機非域環境)