客戶機通過防火牆訪問外網可以有以下三種方法:
1、WEB代理
2、防火牆客戶端
3、SNAT
如果想迫使客戶機使用防火牆客戶端訪問外網,我們只需要禁止WEB代理和SNAT就可以了。
第一步要禁止用戶使用Web代理,即關閉Web代理
在ISA服務器上依次點擊開始-程序-ISA Server-ISA服務器管理。配置-網絡-內部,
選擇內部網絡的屬性中的“Web代理”, 取消“爲此網絡啓用Web代理客戶端連接”
這樣WEB代理就禁止了。
第二步禁止客戶機使用SNAT
在三種訪問方法中,WEB代理和放火牆客戶端都是支持用戶身份驗證的,而SNAT不支持用戶身份驗證。我們只要在訪問規則中要求用戶必須通過身份驗證即可。
新建一條訪問規則
爲訪問規則取名爲“防火牆訪問”
選擇“允許”
選擇“所有出站通訊”
原網絡爲“內部”和“本地主機”
目標網絡爲“任意地點”
允許所有用戶請求改爲“所有通過身份驗證的用戶”
點擊“完成”。 應用策略
完成以上步驟,用戶只能通過防火牆客戶端才能訪問外網