在ISA Server 2004中提供了Web链功能,它就相当于将ISA Server配置为二级代理,可以将你的请求转发到上游的代理服务器或其他站点。使用Web链,你就可以实现条件路由,对不同的目的地通过不同的路由来进行访问。
Web链规则针对所有通过ISA Server的访问Web链规则中指定的目的地的访问请求,而不管访问请求来自本地主机还是内部网络。默认情况下ISA Server 2004已经建立了一条默认Web链规则,定义为直接从客户所请求的目标获取客户请求的数据。你可以建立你自己的Web链规则,和防火墙策略一致,Web链规则也是从上到下执行第一条匹配规则的。您可以指定如何路由客户端的Web访问请求,可以选择以下三种方式之一:
从客户请求的目标直接检索对象。
将客户的访问请求路由到特定的上游服务器。在这种情况下,你可以指定主路由和备份路由。当主路由不可用时,ISA 服务器使用备份路由。ISA 服务器计算机定期轮询指定作为主路由的上游服务器,以确定其是否可用。主路由一旦可用,就会使用主路由,而不再使用备份路由。
将客户的访问请求重定向到一个Web站点。在这种情况下,将会把客户请求路由到指定的服务器。
在上游服务器需要身份验证的情况下,它会要求下游代理传递身份验证信息,因此,必须配置ISA Server传递身份验证信息。在Web链中ISA Server只支持基本身份验证和集成的Windows身份验证,不过用户名和密码最多只能为7位字符,否则下游代理服务器将不能通过集成的Windows身份验证;但是如果使用基本身份验证,身份验证信息将以纯文本形式进行传输,所以建议你在与上游服务器通讯时使用SSL进行加密传输。
本文中的试验环境如下图所示:
Istanbul和Florence为两台Web服务器,Proxy为代理服务器,使用端口TCP 8080提供HTTP代理服务,并且要求使用HTTP代理的用户进行身份验证。各计算机的TCP/IP设置如下,本次试验不涉及DNS解析,各服务器的DNS服务器设置为空,在试验之前已经确认了网络连接工作正常:
Sydeny(ISA 2004 Firewall):
LAN Interface:
IP:10.2.1.1.1/24
DG:None
Internet Interface:
IP:61.139.0.1/24
DG:61.139.0.1
Istanbul(Web):
IP:61.139.0.8/24
DG:None
Florence(Web):
IP:61.139.0.2/24
DG:None
Proxy(Proxy):
IP:61.139.0.5/24
DG:None
我们按照以下步骤开始试验,访问的发起者均为Sydney(61.139.0.1):
在未建立Web链规则前访问Istanbul(61.139.0.8);
建立Web链规则,配置Proxy(61.139.0.5)为上游代理后访问Istanbul(61.139.0.8);
停止Proxy(61.139.0.5)上的Web代理服务后访问Istanbul(61.139.0.8);
修改Web链规则,将访问Istanbul(61.139.0.8)的请求进行重定向;
在未建立Web链规则前访问Istanbul(61.139.0.8)
我们已经在Sydney(ISA 2004防火墙,IP为61.139.0.1)上建立好了一条访问规则:允许本地主机访问所有网络的HTTP协议。在Sydney上打开一个浏览器窗口,访问Istanbul上的Web站点,访问成功,页面及Web服务器上的日志如下图所示,上半部为Istanbul(61.139.0.8)上的Web日志,下半部为Sydney(61.139.0.1)上的浏览器窗口。
建立Web链规则,配置Proxy(61.139.0.5)为上游代理后访问Istanbul(61.139.0.8)
在Sydney上打开ISA Server管理控制台,右击配置下的网络,点击新建,选择Web链规则;
在欢迎使用新建Web链规则向导页,输入规则名称,在此我输入 To 61.139.0.8,点击下一步;
在Web链规则目标页,点击添加按钮,
在弹出的添加网络实体对话框,点击新建,再选择计算机;因为我只是针对61.139.0.8这个IP,所以才选择新建计算机,如果你是针对域名集、URL集或地址范围,则根据你的需要进行选择;
在弹出的新建计算机规则元素对话框,输入名称和IP地址为61.139.0.8,点击确定;
双击计算机目录下的61.139.0.8,然后点击关闭,在Web链规则目标页,点击下一步;
在请求操作页,选择将请求重定向到指定的上游服务器,由于Proxy上的HTTP代理程序不支持Windows集成身份验证,所以我勾选允许基本身份验证凭据的代理,点击下一步;
在首要路由页,输入Proxy的IP地址和代理端口,然后勾选使用此账户,点击设置账户,
在弹出的设置账户对话框,输入用户名和密码,点击确定;
在首要路由页,在身份验证栏选择基本,点击下一步;
在备份操作页,选择从指定目标上直接检索请求;这个地方是选择你的备份操作,你也可以选择将请求路由到一个上游服务器再设置一个备份路由;
在正在完成新建Web链规则向导页,点击完成,最后点击应用保存修改和更新防火墙策略。
