6.1
安全地发布服务器
ISA Server使用服务器发布把传入请求处理到内部服务器上。请求向下游转发到位于ISA Server 计算机之后的内部服务器上。
服务器发布是通过服务器发布规则来配置的。使用ISA Management控制台中的New Server Publishing Rule向导创建服务器发布规则。从控制台中创建的规则的属性对话框中修改现有服务器发布规则。
本节学习目标
l
发布位于ISA Server之后的内部网络服务器
l
在ISA Server计算机上安全地发布服务器
l
在边界网络上安全地发布服务器
估计学习时间:35 分钟
6.1.1
发布策略规则
可以使用ISA Server来配置包含服务器发布规则和Web发布规则的发布策略。服务器发布规则筛选所有的传入请求,然后把这些请求映射到适当的受ISA Server服务保护的服务器上。Web发布规则把进入请求映射到ISA Server之后的适当的Web服务器上。
安装ISA Server时,指定安装模式:Firewall、Cache、或者Integrated模式。所选的安装模式影响发布策略规则类型的可用性,如表 6.1所示:
6.1.2
服务器发布规则
服务器发布允许内部网上的计算机安全地把服务发布到Internet上。因为所有的传入请求和传出响应都经过ISA Server,所以不会危及到安全。服务器是由ISA Server计算机发布时,所发布的IP地址就是该ISA Server计算机的外部IP地址。远程用户请求发布的服务、文件或者对象,直接和ISA Server计算机进行通信――该ISA Server计算机的名称或IP地址由请求者指定。之后,ISA Server计算机代表用户向内部网络上适当的发布服务器提出该请求。外部用户通过ISA Server间接地与受到保护的发布服务器通信。
服务器发布规则实质上筛选所有通过ISA Server 计算机的请求,然后将这些请求映射到ISA Server 计算机之后的适当的服务器上。这些规则动态地准许 (只有需要时)从Internet用户到适当发布服务器的访问。
发布服务器是一个安全网络地址翻译客户端机:它不需要安装和激活防火墙。因为发布服务器作为安全网络地址翻译客户端来处理,在ISA Server 计算机上创建了服务器发布规则之后,发布服务器就不需要其他特别的配置了。需要说明的是,分配给该ISA Server内部网络接口卡(NIC)的IP地址必须配置为该发布服务器的默认网关。
6.1.3
服务器发布的工作方式
ISA Server采取如下步骤满足内部服务器的请求:
1.
Internet上的客户机从一个认为是发布服务器的IP地址来请求对象。实际上,该IP地址是和ISA Server计算机相关的,它是ISA Server计算机外部接口卡的IP地址。
2.
ISA Server计算机处理该请求,将该IP地址映射到一个内部服务器的IP地址上。然后代表外部客户端向内部服务器提出请求。
3.
内部服务器将对象返回给ISA Server计算机,ISA Server计算机再将其传送到发出请求的客户端。
Ø
按如下步骤创建服务器发布规则:
1.
在ISA Management控制台树上,展开Publishing节点,右击Server Publishing Rules文件夹,指向New,然后单击Rule。
2.
在New Server Publishing Rule向导中,输入该服务器发布规则的名称,然后单击Next。
3.
在Address Mapping屏幕中(如图 6.1所示),输入发布的内部服务器的IP地址。同时,输入该ISA Server的外部IP地址。
4.
在Protocol Settings屏幕中(如图 6.2所示),选择该规则应用的服务器协议。
5.
在Client Type屏幕中,指定该规则是应用到所有的客户端中,还是应用到特定的客户端地址集中。
注意
对于阵列成员,如果企业策略设置配置为不允许发布,那么将不能创建服务器发布规则。
6.1.4
服务器发布规则操作
规则操作指应用到请求中的特定规则的操作。可以在New Server Publishing Rule向导的Address Mapping and Protocol Setting屏幕中配置一个新服务器发布规则的规则操作。也可以在规则属性的Action选项卡中修改一个现有规则的规则操作。在ISA Management 中可以访问属性。无论是配置新操作还是修改现有规则,配置服务器发布规则操作时,都需要指定下列几项:
l
ISA Server的IP地址
这是外部客户端可用的地址。外部客户端和发布服务器通信时,实际上就是在和该IP地址通信。
l
发布服务器的IP地址
所有到达ISA Server所指定IP地址的请求都被转发到该IP地址。
l
映射服务器协议
传送到内部服务器的数据取决于此处指定的协议。可以从ISA Server 中配置的,至少为入站方向的所有协议定义中选择。协议定义列在Policy Elements节点的Protocol Definitions文件夹中,并且在其中配置。
6.1.4.1 规则操作示例
假设希望允许外部客户端访问一个SMTP服务器。该SMTP服务器的IP地址是111.111.111.111,并在端口25上侦听。创建一个具备以下参数服务器发布规则:
l
将内部服务器的IP地址设置为111.111.111.111
l
将ISA Server 上的外部地址设置为ISA Server 计算机的外部接口卡上的IP地址
l
将映射服务器协议设置给SMTP Server
Ø
按如下步骤为现有的服务器发布规则修改操作:
1.
在ISA Management控制台树上,打开Publishing节点,然后单击Server Publishing Rules文件夹。
2.
在View菜单中,单击Advanced。
3.
在详细信息窗格中,右击适当的服务器发布规则,然后单击Properties。
4.
在Cache选项卡中,在IP Address Of Internal Server文本框中,输入希望外部客户端也可使用的内部服务器的地址。
5.
在External IP Address On ISA Server文本框中,把一个IP地址输入到一个ISA Server计算机外部接口卡中。外部客户端将访问接口卡。
注意
在Mapped Server Protocol下拉列表框中,单击一个外部客户端可用来访问该计算机的协议定义。
6.1.5
客户端地址集
配置应用到客户端地址集中的服务器发布规则时,限定该服务器发布规则的操作只能应用到指定的发出请求的计算机集合中。这些客户端地址集不是在服务器发布规则自身内定义的,而是在ISA Management 的Policy Elements节点中定义的。
Ø
按如下步骤为现有的服务器发布规则配置客户端:
1.
在ISA Management控制台树上,展开Publishing节点,然后单击Server Publishing Rules文件夹。
2.
在View菜单中,单击Advanced。
3.
在详细资料窗格中,右击现行规则,然后单击Properties。
4.
要为规则指定客户端,在Applies To选项卡上,选择操作以下步骤之一:
u
单击Any Request单选按钮。
u
单击Client Address Sets Specified Below单选按钮。
5.
如果选择了Client Address Sets Specified Below单选按钮,按如下步骤操作:
u
要将客户端添加到Applies To Requests Coming From区,单击附随的Add按钮。
u
要将客户端添加到Exceptions区,单击附随的Add按钮。
注意
对于服务器发布规则而言,客户端地址集通常包括位于Internet的计算机的地址。
6.1.6
服务器发布规则和IP数据包筛选器
服务器发布规则和IP数据包筛选器都打开特定的端口,在局域网与Internet之间进行通信。大多数情况下,使用服务器发布规则让外部客户端访问内部服务器。
但是,在有些情况下,必须使用IP数据包筛选器而不是发布规则,例如下列情况:
l
发布位于边界网络上的服务器要使外部客户端可以访问该服务器时
l
发布位于ISA Server计算机本机上的服务时
6.1.6.1 在边界网络上发布服务器
配置服务器发布规则允许外部客户端访问局域网上的服务器。例如,要发布一个内部FTP服务器。在这种情况下,只需简单地创建一个服务器发布规则,使其具有如下配置:
l
内部服务器的IP地址设置为该FTP服务器的IP地址
l
ISA Server的外部IP地址设置为ISA Server计算机的外部接口卡的IP地址
l
选定的FTP Server协议
l
客户端类型设置为Any User, Group, Or Client Computer,允许所有的外部客户端访问该FTP服务器
假定要发布的服务器不在局域网上,而是在边界网络上。在这种情况下,必须使用IP数据包筛选器在该服务器上打开一个端口。例如,假设您希望发布一个位于边界网络上的FTP服务器。那么在New IP Packet Filter向导中创建一个IP数据包筛选器,使其具有如下配置:
l
在Servers屏幕中,筛选器设置为针对阵列中所有的ISA Server 计算机
l
在Filter Mode屏幕中,选择创建允许数据包传输的筛选器
l
在Filter Type屏幕中,选择一个自定义的筛选器
