本篇接着上篇文章继续,实验的环境背景和上篇一样。在今天这次练习中,我将配置ISA Server允许来自内部网络客户端计算机的ICMP网络通讯,供Ping命令使用(Ping使用的是ICMP协议)。
我们先在Denver计算机上,使用Ping命令来检测与istanbul.fabrikam.com的连通性,打开一个命令提示符窗口,在命令提示符下键入ping istanbul.fabrikam.com,回车,查看结果如下
31
ping请求超时,这是因为在默认情况下 ISA Server不允许内部网络的计算机向Internet发送传出的ping请求(ICMP 类型 8 数据包)。但是如果你现在在ISA服务器Paris上同样ping istanbul.fabrikam.com是可以通讯的,32
有人就会有疑问了,这是为什么呢?难道是ISA服务器有什么特权吗?其实真实的原因是ISA防火墙的系统策略。在ISA上默认有30条系统策略,其中第12条规定了允许“本地主机”(ISA服务器本身)到所有网络的Ping、ICMP信息请求,如下所示
33
如果想要实现内部客户端计算机能Ping通外网,只要做个规则就可以了。新建一个访问规则,名称为“允许出站Ping通讯”,后续操作看下面的图
34
35
在添加协议时,选择通用协议下的Ping
36
37
38
39
40
应用完此规则以后,我们再来测试,ping istanbul.fabrikam.com,Istanbul 计算机返回 4 个回音回复,这是因为 ISA Server允许从内部网络的计算机到Internet的传出回音请求。
41
但是我们在Istanbul计算机上,使用Ping命令来检测与ISA Server的连接性,在命令提示符下键入ping 39.1.1.1,回车查看状态,
42
ping请求超时,这是因为ISA Server不允许来自Internet中计算机的传入ping请求。“允许出站ping通讯”访问规则仅允许来自Internet的对传出ping请求的回复。