标签:c style class blog code tar
0x00. 为了测试基于HTTP隧道的绕过ISA,必须搭建模拟环境,为了不麻烦,我们这里不配合域环境认证.本次实验利用Vmware 10.0搭建环境,实现ISA2006安装和部署,同时设定基于HTTP代理访问的问题. 本人在ISA的应用上也算是新手,查找了不少资料,有不对的还望批评指正.
搭建环境说明:
Vmware Workstation 10.0
Window 2003 ( ISA_SERVER)
Window 2003 (客户机)
0x01.各台机器配置:
[Win2003-ISA2006 双网卡:]
网卡1:(标识WAN) - 在虚拟机选择Bridge模式
配置静态IP:192.168.1.200 /24 网关:192.168.1.1
网卡2:(标识LAN) - 在虚拟机选择Bridge模式
静态配置IP:192.168.2.1/24 网关:NULL
[Win2003 - 客户机设定]
单网卡,采用Host-only
静态IP:192.168.2.5 /24 ,网关192.168.2.1
0x02 ISA2006配置
ISA2006安装过程很简单,不清楚看下面参考文档唯一要设定一个就是制定内网IP范围,这里我们指定上一步规划的内网ip 192.168.2.1~255即可.安装过程需要用到Window2003 系统光盘,安装完毕后需要重启一下.
重启后,我们看下ISA_server能够上网和客户机能否上网.首先我们看下一下两台电脑IP配置如图3,4:
在Server机器上ping 192.168.2.99 ,是可以ping通的(关闭了客户机防火墙),在客户机ping 192.168.2.1,发现无法ping通,因为Server机器上安装了ISA起作用了,而且在安装ISA的时候已经停止了默认的防火墙.因为ISA默认配置的防火墙策略是禁止所有的网络通信,因此在Server机器上和客户机上都无法上网,在Server机器上访问Robot‘s Blog(www.baidu.com),如图5:
最后提示是ISA拒绝访问了,说明ISA起作用了.同样在客户机上也无法访问.下面我们利用开启HTTP代理上网.
0x03 基于HTTP代理上网
配置Server本机可以上网,添加规则,如图06:
建立的规则信息:
规则名字: 本地机器可以上网 规则操作: 允许 规则应用: 所有出站规则 访问规则源: 本地主机 访问规则目标: 外部 用户集: 所有用户
规则名字: 内网机器可以上网 规则操作: 允许 规则应用: 所有出站规则 访问规则源: 本地主机,内部 访问规则目标: 外部 用户集: 所有用户
接下来我们在客户机设定IE代理模式上网,打开IE,工具->Internet选项,切换到"链接"标签,设定如图08:
设定完就可以上网了(如果没有生效重启下ISA_Server吧,蛋疼.).这个就是基于ISA的HTTP代理上网,常用还有另外两种,基于防火墙的代理和SNAT代理.同时这些代理模式都支持各种认证,比如集成NTLM的认证和证书认证等等方法.这也是国外企业常用的一种安全模式。
0x04总结
基于ISA2006的防火墙的企业内网已经非常多的应用于很多企业,特别是在国外,这种防火墙能够很好的保证企业内网的安全,虽然有点蛋疼,但是有应用就会有突破.本文的测试的目的就是为了测试基于HTTP隧道对于ISA的ByPass.有任何疑问可以到
参考文档:点击打开链接
ISA2006安装和部署基础(虚拟机非域环境),布布扣,bubuko.com
标签:c style class blog code tar
原文地址:http://blog.csdn.net/reversess/article/details/27820231