ISA安全发布服务器
6.1 安全地发布服务器
ISA Server使用服务器发布把传入请求处理到内部服务器上。请求向下游转发到位于ISA Server 计
算机之后的内部服务器上。
服务器发布是通过服务器发布规则来配置的。使用ISA Management控制台中的New Server
Publishing Rule向导创建服务器发布规则。从控制台中创建的规则的属性对话框中修改现有服务器发布
规则。
本节学习目标
发布位于ISA Server之后的内部网络服务器
发布位于ISA Server之后的内部网络服务器
在ISA Server计算机上安全地发布服务器
在边界网络上安全地发布服务器
估计学习时间:35 分钟
6.1.1 发布策略规则
可以使用ISA Server来配置包含服务器发布规则和Web发布规则的发布策略。服务器发布规则筛选所
6.1.1 发布策略规则
可以使用ISA Server来配置包含服务器发布规则和Web发布规则的发布策略。服务器发布规则筛选所
有的传入请求,然后把这些请求映射到适当的受ISA Server服务保护的服务器上。Web发布规则把进入请
求映射到ISA Server之后的适当的Web服务器上。
安装ISA Server时,指定安装模式:Firewal、Cache、或者Integrated模式。所选的安装模式影响
发布策略规则类型的可用性,如表 6.1所示:
(图片较大 请放大查看)
6.1.2 服务器发布规则
服务器发布允许内部网上的计算机安全地把服务发布到Internet上。因为所有的传入请求和传出响
(图片较大 请放大查看)
6.1.2 服务器发布规则
服务器发布允许内部网上的计算机安全地把服务发布到Internet上。因为所有的传入请求和传出响
应都经过ISA Server,所以不会危及到安全。服务器是由ISA Server计算机发布时,所发布的IP地址就是
该ISA Server计算机的外部IP地址。远程用户请求发布的服务、文件或者对象,直接和ISA Server计算机
进行通信——该ISA Server计算机的名称或IP地址由请求者指定。之后,ISA Server计算机代表用户向内
部网络上适当的发布服务器提出该请求。外部用户通过ISA Server间接地与受到保护的发布服务器通信。
服务器发布规则实质上筛选所有通过ISA Server 计算机的请求,然后将这些请求映射到ISA Server
计算机之后的适当的服务器上。这些规则动态地准许 (只有需要时)从Internet用户到适当发布服务器的
访问。
发布服务器是一个安全网络地址翻译客户端机:它不需要安装和激活防火墙。因为发布服务器作为
安全网络地址翻译客户端来处理,在ISA Server 计算机上创建了服务器发布规则之后,发布服务器就不
需要其他特别的配置了。需要说明的是,分配给该ISA Server内部网络接口卡(NIC)的IP地址必须配置为
该发布服务器的默认网关。
6.1.3 服务器发布的工作方式
ISA Server采取如下步骤满足内部服务器的请求:
ISA Server采取如下步骤满足内部服务器的请求:
1. Internet上的客户机从一个认为是发布服务器的IP地址来请求对象。实际上,该IP地址是和
ISA Server计算机相关的,它是ISA Server计算机外部接口卡的IP地址。
2. ISA Server计算机处理该请求,将该IP地址映射到一个内部服务器的IP地址上。然后代表外
部客户端向内部服务器提出请求。
3. 内部服务器将对象返回给ISA Server计算机,ISA Server计算机再将其传送到发出请求的客
户端。
Ø 按如下步骤创建服务器发布规则:
1. 在ISA Management控制台树上,展开Publishing节点,右击Server Publishing Rules文件夹
,指向New,然后单击Rule。
2. 在New Server Publishing Rule向导中,输入该服务器发布规则的名称,然后单击Next。
3. 在Address Mapping屏幕中(如图 6.1所示),输入发布的内部服务器的IP地址。同时,输入该
ISA Server的外部IP地址。
4. 在ProtocoSettings屏幕中(如图 6.2所示),选择该规则应用的服务器协议。
4. 在ProtocoSettings屏幕中(如图 6.2所示),选择该规则应用的服务器协议。
5. 在Client Type屏幕中,指定该规则是应用到所有的客户端中,还是应用到特定的客户端地址
集中。
注意 对于阵列成员,如果企业策略设置配置为不允许发布,那么将不能创建服务器发布规则。
6.1.4 服务器发布规则操作
规则操作指应用到请求中的特定规则的操作。可以在New Server Publishing Rule向导的Address
6.1.4 服务器发布规则操作
规则操作指应用到请求中的特定规则的操作。可以在New Server Publishing Rule向导的Address
Mapping and ProtocoSetting屏幕中配置一个新服务器发布规则的规则操作。也可以在规则属性的Action
选项卡中修改一个现有规则的规则操作。在ISA Management 中可以访问属性。无论是配置新操作还是修
改现有规则,配置服务器发布规则操作时,都需要指定下列几项:
ISA Server的IP地址 这是外部客户端可用的地址。外部客户端和发布服务器通信时,实际上就是
在和该IP地址通信。
发布服务器的IP地址 所有到达ISA Server所指定IP地址的请求都被转发到该IP地址。
映射服务器协议 传送到内部服务器的数据取决于此处指定的协议。可以从ISA Server 中配置的,
至少为入站方向的所有协议定义中选择。协议定义列在Policy Elements节点的ProtocoDefinitions文件
夹中,并且在其中配置。
6.1.4.1 规则操作示例
假设希望允许外部客户端访问一个SMTP服务器。该SMTP服务器的IP地址是111.111.111.111,并在端
假设希望允许外部客户端访问一个SMTP服务器。该SMTP服务器的IP地址是111.111.111.111,并在端
口25上侦听。创建一个具备以下参数服务器发布规则:
将内部服务器的IP地址设置为111.111.111.111
将ISA Server 上的外部地址设置为ISA Server 计算机的外部接口卡上的IP地址
将映射服务器协议设置给SMTP Server
Ø 按如下步骤为现有的服务器发布规则修改操作:
1. 在ISA Management控制台树上,打开Publishing节点,然后单击Server Publishing Rules文
件夹。
2. 在View菜单中,单击Advanced。
3. 在详细信息窗格中,右击适当的服务器发布规则,然后单击Properties。
4. 在Cache选项卡中,在IP Address Of InternaServer文本框中,输入希望外部客户端也可使
用的内部服务器的地址。
5. 在ExternaIP Address On ISA Server文本框中,把一个IP地址输入到一个ISA Server计算机
外部接口卡中。外部客户端将访问接口卡。
注意 在Mapped Server Protocol下拉列表框中,单击一个外部客户端可用来访问该计算机的协议
定义。
ISA安全发布服务器
6.1.5 客户端地址集
配置应用到客户端地址集中的服务器发布规则时,限定该服务器发布规则的操作只能应用到指定的
6.1.5 客户端地址集
配置应用到客户端地址集中的服务器发布规则时,限定该服务器发布规则的操作只能应用到指定的
发出请求的计算机集合中。这些客户端地址集不是在服务器发布规则自身内定义的,而是在ISA
Management 的Policy Elements节点中定义的。
Ø 按如下步骤为现有的服务器发布规则配置客户端:
1. 在ISA Management控制台树上,展开Publishing节点,然后单击Server Publishing Rules文
件夹。
2. 在View菜单中,单击Advanced。
3. 在详细资料窗格中,右击现行规则,然后单击Properties。
4. 要为规则指定客户端,在Applies To选项卡上,选择操作以下步骤之一:
u 单击Any Request单选按钮。
u 单击Client Address Sets Specified Below单选按钮。
5. 如果选择了Client Address Sets Specified Below单选按钮,按如下步骤操作:
u 要将客户端添加到Applies To Requests Coming From区,单击附随的Add按钮。
u 要将客户端添加到Exceptions区,单击附随的Add按钮。
注意 对于服务器发布规则而言,客户端地址集通常包括位于Internet的计算机的地址。
6.1.6 服务器发布规则和IP数据包筛选器
服务器发布规则和IP数据包筛选器都打开特定的端口,在局域网与Internet之间进行通信。大多数
情况下,使用服务器发布规则让外部客户端访问内部服务器。
但是,在有些情况下,必须使用IP数据包筛选器而不是发布规则,例如下列情况:
发布位于边界网络上的服务器要使外部客户端可以访问该服务器时
发布位于ISA Server计算机本机上的服务时
6.1.6.1 在边界网络上发布服务器
配置服务器发布规则允许外部客户端访问局域网上的服务器。例如,要发布一个内部FTP服务器。在
配置服务器发布规则允许外部客户端访问局域网上的服务器。例如,要发布一个内部FTP服务器。在
这种情况下,只需简单地创建一个服务器发布规则,使其具有如下配置:
内部服务器的IP地址设置为该FTP服务器的IP地址
ISA Server的外部IP地址设置为ISA Server计算机的外部接口卡的IP地址
选定的FTP Server协议
客户端类型设置为Any User, Group, Or Client Computer,允许所有的外部客户端访问该FTP服务
器
假定要发布的服务器不在局域网上,而是在边界网络上。在这种情况下,必须使用IP数据包筛选器
在该服务器上打开一个端口。例如,假设您希望发布一个位于边界网络上的FTP服务器。那么在New IP
Packet Filter向导中创建一个IP数据包筛选器,使其具有如下配置:
在Servers屏幕中,筛选器设置为针对阵列中所有的ISA Server 计算机
在Filter Mode屏幕中,选择创建允许数据包传输的筛选器
在Filter Type屏幕中,选择一个自定义的筛选器
在Filter Settings屏幕中,配置如下设置:
u 将IP Protocol设置为TCP
u 将Direction设置为Both
u 将LocaPort Fixed设置为21
u 将Remote Port设置为AlPorts
在LocaComputer屏幕中,选择该选项用来指定边界网络上的一台计算机,然后输入FTP服务器的IP地
址
在Remote Computers屏幕中,选择指定所有远程计算机的选项
6.1.6.2 在ISA Server 计算机上的服务器
还有一种情况要求使用IP数据包筛选器而不是发布规则来发布服务器。那就是要发布的服务器和ISA
还有一种情况要求使用IP数据包筛选器而不是发布规则来发布服务器。那就是要发布的服务器和ISA
Server 位于同一台计算机上。如要允许通信通到发布服务器所使用的特定端口,那么必须创建IP数据包
筛选器而不是服务器发布规则。例如,ISA Server包含一个预先配置名称为DNS Filter的IP数据包筛选器
,它允许DNS在ISA Server计算机本机上查询。
ISA安全发布服务器
6.1.7 练习:发布内部服务器
在这个练习中,您练习在Server2上发布FTP服务。要使局域网外部的用户能够连接到Server2,您需
6.1.7 练习:发布内部服务器
在这个练习中,您练习在Server2上发布FTP服务。要使局域网外部的用户能够连接到Server2,您需
要在ISA Server中创建一个发布规则来允许请求传送到FTP服务器。
要点 这个练习要求通过拨号上网连接到Internet上,并在一个拨号会话中完成以下3个练习。因此
,在开始之前,先双击Network And Dia-up Connections窗口中的拨号连接,建立一个拨号连接。
同时,在开始这个练习之前,应该停止Server1上的FTP服务。可以通过在Internet Services
Manager中右击Default FTP Site图标,然后单击Stop来停止Server1上的FTP服务。
练习1:在Server1上创建发布规则
在这个练习中,创建一个发布规则,允许所有的FTP请求通过ISA Server 传送到Server2中。在
在这个练习中,创建一个发布规则,允许所有的FTP请求通过ISA Server 传送到Server2中。在
Server1中完成这个练习。
1. 检验通过拨号连接,Server1是否连接到了Internet。如果还没有连接,现在就建立一个与
Internet相连的连接。
2. 打开ISA Management控制台。
3. 在控制台树上,展开MyArray,然后找到Publishing节点。
4. 展开Publishing节点。
5. 右击Server Publishing Rules文件夹,指向New,然后单击Rule。
出现New Server Publishing Rule向导。
6. 在Server Publishing Rule Name文本框中,输入FTP Server,然后单击Next。
出现Address Mapping屏幕。
7. 在IP Address Of InternaServer文本框中,输入192.168.0.2。
8. 单击Browse按钮。
出现一个消息框,显示ISA Server 计算机的外部地址。
9. 确定选中了外部IP地址,然后单击OK。
该计算机的外部IP地址出现在ExternaIP Address On ISA Server文本框中。需要注意的是这个规则
只对当前Internet会话有效,因为每次拨号进入ISP时,IP地址都可能不同。
10. 在此处输入外部IP地址:
11. 单击Next。
出现ProtocoSettings屏幕。
12. 在Apply The Rule To This Protocol下拉列表框,选择FTP Server,然后单击Next。
出现Client Type屏幕。
13. 保留默认设置为Any Request,然后单击Next。
出现Complete The New Server Publishing Rule Wizard屏幕。
14. 单击Finish。
15. 在进行练习2之前,先在ISA Management 中重新启动ISA Server服务。
练习2:检验FTP服务器连接
在这个练习中,建立一个FTP连接,连接到ISA Server计算机的外部IP地址上。尽管您所发布的FTP
在这个练习中,建立一个FTP连接,连接到ISA Server计算机的外部IP地址上。尽管您所发布的FTP
服务器是在内部服务器(Server2)上配置,而不是在ISA Server计算机本机上配置,但练习1中所创建的新
发布规则看起来FTP服务器好像寄存在Server1上。
1. 以Administrator身份登录到Server1。
2. 指向Start,然后再指向Run。
出现Run对话框。
3. 在Open框,输入cmd,然后单击OK,打开一个命名提示符。
出现一个命令提示。
4. 在命令提示中,输入ftp ,这里 是ISA Server 计算机通过您的ISP分配给您的外部IP地址
的,在练习1中的发布规则就是基于这个外部IP地址的。您在练习1的第10步记录过这个数值。
5. 按Enter键。
在控制台屏幕中,您将接收到一个消息,显示您连接到了FTP服务器,并且提示您输入用户名。这个
消息说明新的发布规则允许您从Internet上连接到Server2中所配置的FTP服务。
6. 输入anonymous。
您将接收到一个信息,显示允许匿名访问,但却提示您输入一个密码。
7. 直接按Enter键,输入一个空登密码。
出现一个FTP提示。
8. 在FTP提示中,输入quit。
您将返回到命令提示。
9. 关闭命令提示窗口。
6.1.8 小结
通过使用服务器发布规则,ISA Server处理那些向内部服务器(例如SMTP服务器、FTP服务器、以及
通过使用服务器发布规则,ISA Server处理那些向内部服务器(例如SMTP服务器、FTP服务器、以及
数据库服务器)所提出的传入请求。服务器发布允许内部网络上的任何计算机发布到Internet上。因为所
有的传入请求和传出响应都经过ISA Server,所以不会危及安全。和站点和内容规则以及协议规则一样,
服务器发布规则为服务请求动态地打开TCP端口,或者只有需要时才打开。
一个服务器是由ISA Server发布时,外界可以看到的发布服务器IP地址实际上就是该ISA Server计
算机的IP地址或地址。服务器发布规则将这些传入请求从ISA Server 计算机上映射到局域网上适当的服
务器上。ISA Server代表外部客户端向本地服务器提出请求,然后代表本地服务器向外部客户端作出响应
。要创建服务器发布规则,可以使用New Server Publishing Rule向导。修改现有的服务器发布规则,要
在ISA Management中该规则的Properties对话框中进行。
希望在边界网络上发布一个服务器,或者希望在ISA Server 计算机本机上发布一个服务器,必须在
ISA Server 中配置IP数据包筛选器,而不是发布规则。(小节完)
转载于:https://blog.51cto.com/luodie/21523
1897
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
