Microsoft Internet Security and Acceleration (ISA) Server 发布常见问题解答FAQ
这个常见问题解答(FAQ)文档解答了针对通过Microsoft? Internet Security and Acceleration (ISA) Server 发布Web站点和内部资源的常见问题。
问: | 我如何才能在我发布的Web站点上提供身份验证? | ||||||||||||||||||||||||
答: | ISA Server只支持在IIS WWW服务上的基本和匿名访问。如果您需要启用其他身份验证模式,则需要为ISA Server Web Listener进行配置。在默认情况下,集成的和匿名的身份验证方法在 ISA Server 安装后是启用的。 | ||||||||||||||||||||||||
问: | 我如何才能在外部接口中侦听指定端口上的传入HTTP请求? | ||||||||||||||||||||||||
答: | 您可以更改为传入Web侦听器配置的端口。在ISA Management中,在ISA Server计算机或阵列上点击右键,然后点击属性。在传入Web请求选项卡的TCP端口中,指定您希望Web侦听器用来侦听传入HTTP请求的端口。 | ||||||||||||||||||||||||
问: | 我有一个Web发布规则,允许指向一个内部Web服务器的传入请求。我如何才能确保记录下传入请求的真正IP地址,而不是ISA Server计算机的私有IP地址呢? | ||||||||||||||||||||||||
答: | 要获得原始的请求IP地址,请使用服务器发布规则,而不是Web发布规则。使用服务器发布,您可以记录请求主机的原始IP地址。在Web发布中,当请求由Web Proxy服务转发给发布服务器时,主机头文件中的源IP地址将被更改为ISA Server内部接口的IP地址。因此,您无法记录请求主机的IP地址。 | ||||||||||||||||||||||||
问: | 为什么我无法从内部客户端计算机上进行FTP上传? | ||||||||||||||||||||||||
答: | 对于需要向外部站点进行FTP上传的内部客户端来说,它必须被配置为SecureNAT客户端或防火墙客户端;Web Proxy客户端无法进行FTP上传。对于这些客户端,您应该启用FTP访问过滤器,并为您希望允许的预定义FTP协议创建一个允许协议规则。请注意,您可以通过将客户端客户端计算机的默认网关设置为ISA Server计算机的内部IP地址来配置一个SecureNAT客户端。 | ||||||||||||||||||||||||
问: | 什么时候我必须使用包过滤器,而不是策略规则? | ||||||||||||||||||||||||
答: | 有一些特定的配置需要使用包过滤器。如果出现下列情况,您必须使用包过滤器:
| ||||||||||||||||||||||||
问: | ISA Server对传入请求规则设置优先级的顺序是什么? | ||||||||||||||||||||||||
答: | 当ISA Server处理来自外部客户端的请求时,它对IP包过滤器、发布规则和路由过滤进行检查,确定是否允许这个请求,以及哪个内部服务器应该为这个请求提供服务。对于一个传入Web请求,这些规则安装下列顺序进行处理:
| ||||||||||||||||||||||||
问: | 我如何才能设置一个通过ISA Server到内部计算机的终端服务器连接? | ||||||||||||||||||||||||
答: | 相关说明,请参考Microsoft知识库文章294720。 | ||||||||||||||||||||||||
问: | SSL隧道和SSL桥接的区别是什么? | ||||||||||||||||||||||||
答: | 安全套接字层 (SSL)桥接指的是ISA Server能够对客户端HTTPS请求进行加密或解密,并能将这些请求发送到目标Web服务器。 SSL隧道允许ISA Server客户端建立一个隧道,通过ISA Server计算机直接到达具有所请求的HTTPS对象的Web服务器 。而在ISA Server计算机上不进行SSL处理。 | ||||||||||||||||||||||||
问: | 什么时候使用SSL隧道? | ||||||||||||||||||||||||
答: | 当内部客户端浏览器通过ISA Server计算机使用端口8080上的HTTPS请求一个对象时将使用 SSL 隧道。这个客户端提出请求,ISA Server将这个请求在SSL端口443上转发给目标 Web 服务器。ISA Server 向客户端返回一个连接已建立消息,然后客户端将通过这个隧道直接与 Web 服务器进行通讯。 | ||||||||||||||||||||||||
问: | 什么时候使用SSL桥接? | ||||||||||||||||||||||||
答: | 在默认情况下,当内部客户端使用HTTPS来请求Internet中服务器上的对象时,ISA Server 将使用 SSL 隧道来建立连接。但是,如果客户端支持与ISA Server计算机的直接安全通讯,那么您可以对路由规则进行配置,启用SSL桥接:
为传出客户端请求使用SSL桥接而不是使用SSL隧道能够提高安全性。ISA Server 计算机会截取客户端请求,客户端不需要建立直接到外部Web服务器的连接。 SSL桥接也可以为传入Web请求进行配置。当外部客户端使用 HTTPS 请求内部网络中 Web 服务器的一个对象时,这个客户端将默认连接到ISA Server计算机的 443 端口。这个ISA Server计算机必须为侦听端口 443 上的 SSL 请求进行配置,并且具有一个服务器证书能够向外部客户端进行身份验证。然后ISA Server对客户端请求进行解密,中断SSL连接。您可以将Web发布规则配置为以HTTP、SSL(HTTPS)或FTP将这个请求转发给发布Web服务器。如果这个Web发布规则被配置为以HTTPS转发这个请求,那么ISA Server将成为SSL客户端,并将这个请求发送给发布服务器的端口443。发布服务器需要一个服务器证书来向ISA Server进行身份验证。或者,ISA Server计算机也可以要求客户端证书来向发布服务器进行身份验证。 | ||||||||||||||||||||||||
问: | Web发布和服务器发布之间的差别是什么? | ||||||||||||||||||||||||
答: | Web发布需要更复杂的配置,但是拥有服务器发布所无法提供的增强的安全特性。使用Web发布时:
使用服务器发布时:
| ||||||||||||||||||||||||
问: | 我可以发布没有预定义协议的服务器吗? | ||||||||||||||||||||||||
答: | ISA Server提供了多种预先配置好的协议定义,您可以在创建服务器发布规则时加以使用。应用程序过滤器可能也包含有协议定义,但它们是无法被修改的。另外,您可以创建您自己的协议定义。要创建自己的协议定义,您需要指定下列信息:
| ||||||||||||||||||||||||
问: | 如果我发布服务器的默认网关不是 ISA Server 计算机,那么我怎样才能配置服务器发布? | ||||||||||||||||||||||||
答: | 使用服务器发布的发布服务器实际上是一个 SecureNAT 客户端。因此 ISA Server 计算机必须被配置为该发布服务器的默认网关。如果不是这种情况,请参考 Microsoft 知识库文章311777寻找一个解决办法。 | ||||||||||||||||||||||||
问: | 我通过SSL实现了一个站点的Web发布,这个SSL连接在ISA Server 外部接口处终止了。我希望将这些由于疏忽而输入“HTTP”的用户重新定向到HTTPS,而不是向他们返回错误信息。我应该怎样实现? | ||||||||||||||||||||||||
答: | 下载ISATools中的isa_redirects.zip,使用这个压缩文件中所包含的实例和脚本。在这个压缩文件中含有两个脚本:
阅读压缩文件中所包含的ISA_Redirect文本文件,您将了解到如何使用这些脚本的说明。请注意,一旦配置了脚本后,它将对所有SSL限制的站点做出响应。 |