×××服务: ISA防火墙中的集成×××服务: 依赖于RRAS并且和RRAS紧密集成 可以对×××用户实现访问控制 ×××连接类型: 远程访问×××: PPTP L2TP/IPSec 站点到站点×××: PPTP L2TP/IPSec IPSec Tunnel
配置远程访问×××: 定义地址范围 授权×××客户访问 选择访问网络-->外部(默认) 选择×××协议-->PPTP(默认) L2TP/IPSec: 身份验证证书 IPSec共享密钥 选择身份验证方法: MS-CHAP2(默认) 创建防火墙策略允许×××客户访问
×××客户地址分配: 分配方式: DHCP 静态IP地址池 地址类型: 子网内地址(内部网络中的地址范围): ISA防火墙针对×××客户代理ARP 无需配置内部网络和×××客户之间的路由 子网外地址(不位于内部网络的地址范围): 需要配置内部网络和×××客户之间的路由 容易区分××× 客户
授权×××客户访问: 非域环境-->在用户账户拨入属性中显示允许 域环境-->在用户账户拨入属性中显示允许 允许域用户组的访问
站点到站点的×××连接: ×××连接类型: PPTP L2TP/IPSec: 需配置远程访问×××服务 如果连接请求中的用户名匹配本地×××服务器上的某个站点到站点×××连接的名字,则认为是站点到站点×××连接。IPSec Tunnel: 和第三方的×××服务连接时使用
配置站点到站点的×××连接: 创建远程站点: PPTP: 配置远程访问×××服务 创建匹配的用户账户并授权其拨入 L2TP/IPSec: 配置远程访问×××服务 创建匹配的用户账户并授权其拨入 配置身份验证证书或使用共享密钥 IPSec Tunnel: 配置IPSec证书或使用共享密钥 创建网络规则和访问规则
Web服务发布: ISA防火墙具有强大的应用层过滤特性,可以按照域名和路径来进行Web服务发布 配置Web服务发布: 需要注意: Web侦听器需要占用相应的端口: IIS Socket Pooling 默认情况下: 桥接到内部Web服务器的80端口-->如果Web服务器使用其他端口则需要修改 访问请求显示为来自ISA防火墙-->Web服务器不知道发起请求的原始客户 阻止高位字符和验证正规化-->URL地址中不能使用高位字符 URL地址解码后不能再出现"%"
安全Web服务发布: 发布模式: 桥接模式 隧道模式 桥接模式: 类似于Web服务发布 ISA防火墙对客户发起的SSL连接进行应用层过滤;然后将其重新加密后转发到被发布的Web服务器: 加密到客户端的连接 加密到Web服务器的连接 加密到客户端和Web服务器的连接隧道模式: ISA防火墙直接将客户发起的SSL连接转发到被发布的Web服务器,不进行应用层过滤
发布安全Web服务: 在Web侦听器上绑定有效的服务器身份验证(信任其CA并具有私钥): 导出安全Web服务器的证书 使用其他公共名称的证书-->申请通配符证书 ISA防火墙访问内部的安全Web服务时,不能出现任何错误提示。 发布安全Web服务-->类似于发布Web服务
Exchange服务发布: OWA发布 在将客户请求转发到Exchange服务器之前,ISA防火墙对它进行身份验证和应用层过滤,从而保证了Exchange服务器的安全。OWA发布: OWA身份验证和安全Web服务发布的结合: 满足安全Web发布的要求 Exchange服务器上不能同时启用OWA验证 仅发布以下三个路径: /exchange/* /exchweb/* /public/*
RPC通讯原理: 1.Client: 1131 -->Server: 135 Request UUID Port 2.Client:1131<--Server:135 UUID Port 5678(1024~65535) 3.Client: 1132-->Server: 5678 Application Data
Exchange RPC发布: 对于基于状态过滤的防火墙而言,为了允许RPC协议通讯需要开放所有高端端口(1024~65535);因此很多防火墙管理员关闭了RPC协议通讯 ISA防火墙具有强大的RPC应用层过滤功能,确保了RPC协议通讯的安全: 识别客户所发起的RPC通讯并进行应用层过滤 动态开放RPC协议通讯所需要的高端端口。可以强制要求加密RPC协议通讯(将禁止DCOM访问)
其他服务发布: ISA防火墙自带了24种常用的服务器协议 可自定义服务器协议用于发布 发布服务需要使用入站协议定义 默认情况下,访问请求显示为来自原始客户: 被发布的服务器回复给客户的响应数据包必须通过ISA防火墙转发 配置ISA防火墙作为被发布服务器的默认网关 通讯重定向问题: 不要对某个网络发布位于相同网络中的服务
转载于:https://blog.51cto.com/yejunsheng/161001