在“配置直接访问的站点:第一部分 配置Web代理客户的直接访问”中,我们已经介绍了如何配置Web代理客户的直接访问。在这部分文章中,我们将对Web发布和服务器发布环境下的直接访问进行讨论。根据客户类型的不同,直接访问的配置也有些不同:
对于Web代理客户,直接访问允许客户使用另外一种方法来访问资源而越过Web代理客户的配置。客户可以使用SNat客户或者防火墙客户的配置来进行访问,当然防火墙客户更为安全;
对于防火墙客户,直接访问允许客户直接访问位于和自己处于ISA防火墙同个网络中的主机。
对于Web代理客户和防火墙客户,直接访问允许客户直接连接到和自己处于ISA防火墙同个网络中的发布的服务器,不过这你需要分离DNS的支持。
让我们看一个例子来阐述这一观点:
在下图中,我们在ISA防火墙的内部网络中部署了一台服务器,并且使用Web发布或者服务器发布规则发布了它的Web服务。一个外部客户通过ISA防火墙的外部IP进行连接,并通过ISA防火墙的发布规则来访问内部网络中的服务器。这一切都工作正常,没有任何问题。
在下一张图中,我们将会看到一个环回路由的例子。何为环回路由,在ISA环境中,它指的是通过ISA防火墙来访问和自己处于ISA防火墙的相同网络中的主机,我们应该尽量避免环回路由。
在这个网络图中,内部网络中的防火墙客户想连接到发布的Web服务器www.domain.com,此域名是通过外部的DNS服务器解析为ISA防火墙的外部网卡的IP地址。这样,当这个防火墙客户想访问此发布的Web服务器时,是通过ISA防火墙来进行中转,虽然此Web服务器和发起连接请求的防火墙客户处于同个网络(在此例中,发起请求的防火墙客户和需要连接的Web服务器都处于内部网络中),这样就出现了环回路由。
这个网络环境中的问题有:
防火墙客户通过DNS服务器解析www.domain.com域名的结果是ISA防火墙的外部IP地址;
通过ISA防火墙的环回路由来访问位于和自己处于ISA防火墙的相同网络中的服务器,这样大大的降低了ISA防火墙的性能;
通过ISA防火墙的环回路由进行访问时可能出现故障。
在任何情况下,都应该避免通过ISA防火墙的环回路由。
下图描述了如何避免这一问题,通过分离的DNS服务,内部客户解析此域名www.domain.com的结果为内部网络中的Web服务器IP地址,所以可以越过ISA防火墙,直接访问此Web服务器。
分离的DNS服务让外部网络和内部网络中的客户解析相同的名字到不同的主机上。在此例中,外部网络中的客户通过外部的DNS服务器解析此域名www.domain.com到ISA防火墙的外部IP地址上,通过ISA防火墙来访问发布的内部网络中的Web服务器;而内部网络中的客户通过内部的DNS服务器解析www.domain.com到内部网络中Web服务器的IP地址,所以可以直接访问此服务器而不需要经过ISA防火墙。这样可以避免环回路由,大大的提高了ISA防火墙的性能。
在这种情况下,直接访问的关键在于客户的访问请求,具体在于客户机上TCP/IP的设置。注意此时需要正确的对内部客户的TCP/IP进行配置,让他们使用内部网络中的DNS服务。对于不需要直接访问的环境,你可以不对Web代理客户和防火墙客户配置DNS服务器的IP地址。不过在任何情况下,你都应该在内部网络中部署DNS服务,除非你的网络规模极小。关于如何部署DNS服务,请参见“建立内部的DNS服务器”一文。
为防火墙客户配置直接访问
防火墙客户的直接访问是在ISA防火墙的对应的网络的属性中进行配置。在此例中,发起请求的防火墙客户和连接的Web服务器都位于ISA防火墙的内部网络。打开ISA防火墙管理控制台,展开服务器名,然后展开配置下的网络节点,然后右击右面板中的内部网络,选择属性。
在内部属性对话框,点击域标签,然后点击添加按钮。在域属性对话框,输入你想直接访问的域名或者FQDN,在此例中是*.domain.com(表示domain.com域中的所有服务器),然后点击确定;
在域列表中,你应该加入所以你想让客户直接访问的域名或者FQDN,例如你的内部域,只是当你的域跨越了多个ISA防火墙的网络时,情况有点不同,具体可以参见我们写的书配置ISA Server 2004。
你也应该包含所有使用了分离DNS的域。例如,你对域名domain.com、mydomain.com和newdomain.com使用了分离的DNS,并且确定内部客户访问这些服务器时可以越过ISA防火墙,那么你就应该在此列表中添加这些域名。
当然,你也可以配置Web代理客户在访问这些域时越过ISA防火墙,配置步骤如下:
点击Web浏览器标签,然后勾选Directly access computers specified in the Domain tab,然后点击应用再点击确定,最后在ISA管理控制台点击应用以保存修改和更新防火墙策略。
最后记得刷新客户端的配置信息,这个我们已经在“配置直接访问的站点:第一部分 配置Web代理客户的直接访问”中进行了说明。
