6-3
对ISA Server来说,不论是哪一种服务器(例:WEB、FTP、MAIL、SQL..),本质上都是SecureNAT Client,所以发布(Publish)类似反向缓存,将内部网络的服务器,在ISA Server上伪装一份,或者让Request Traffic直接穿过防火墙,除了提升性能外,让外部(Internet)的用户以为连结到服务器,而实际上只接触到ISA Server,如此也能保障服务器的安全,本章将提供三种一般常用的服务器Publish的步骤。
6-3-1
网站发布设置
在开始说明网站发布(Web Publishing)之前,我们必须先了解整个铺设的网络架构,如图6-25是一个案例架构,我们以此为例做Publishing的说明。
图6-25
WEB Publishing网络架构
设置网站发布必须先把准备动作做好,准备动作共有五个,依序如下说明:
准备1:网站Domain Name(正式申请的,例:www.xxxxx.com.tw)的DNS Server的IP位置,指向ISA Server的外部网卡(203.203.203.1)。
准备2:网站(100.100.100.5)本机上的TCP Port(如图6-26),预设是80,请变更为1025~65535中任选一个,本例设为3333 Port。
图6-26
WEB Site Port
准备3:先在Policy Element里的Destination Sets增加一个此Web Site的Destination Sets,并且输入路径,如果是网站根目录的话,只需输入「/*」即可,如果此Web Site是虚拟目录,只需输入「/目录/*」即可,相关操作可参考第4-3节:Destination Sets的新建步骤。
准备4:先在Policy Element里的Client Address Sets增加一个此Web Site的「用户集合」,如果Internet用户都可以使用此Web Site,可以不必设置此「Client Address Sets」,否则请参考第4-4节:Client Address Sets新建操作步骤。
准备5:ISA Server本身的对外「监听」位置必须设置好,如图6-27按下ISA Server本身的属性设置窗口。ISA Server的属性设置窗口(如图6-28),有两个选项卡「Incoming Web Requests」及「Outgoing Web Requests」,分别说明如下:
图6-27
ISA Server对外监听位置
●「Incoming Web Requests」指的是外部网络(Internet)向内部网络访问网站的请求。
●「Outgoing Web Requests」指的是内部网络用户向外部网络(Internet)访问网站的请求。
「网站发布」的主要对象是外部网络(Internet)的用户,所以只需要设置「Incoming Web Requests」的监听动作。
选择「Configure listeners individually per IP address」因为只需要一个对外独立的IP监听位置,TCP Port预设是80,一般不需要更改,因为Internet上的网站预设都是80 Port,如果需要SSL连接,可以勾选「Enable SSL listeners」,最后按下「ADD」按键,新建一个IP监听位置。
图6-28
ISA Server的属性设置窗口
当按下「ADD」按键,新建一个IP监听位置,会出现图6-29的画面,选择「Server」菜单后,「IP Address」会自动出现菜单(如果对外有两个IP以上),此处监听IP是选203.203.203.1,并且将「Basic with this domain」及「Integrated」认证,勾选起来。
当按下「OK」钮,再按下「确定」后,会出现图6-30画面,有两个选项,说明如下:
●「Save the changes But don't restart the service」:储存你的设置,但是不重新启动service,意思是你的设置不会立即生效。在此,service是指「控制台」里「服务」的ISA相关项目,可参考第9-2节:ISA Server服务的依存关系。要启动service,重新开机也可以。
●「Save the changes and restart the service」:储存你的设置,并且重新启动service,意思是你的设置会立即生效。
图6-29
新建一个IP监听位置
图6-30
重新启动服务
以上五个准备动作完毕,前后应该花不到你五分钟时间吧!现在至「Publishing」下的「Web Publishing Rules」,选择右边窗口的「Create Web Publishing Rules」(如图6-31)新建一个「网站发布」项目,共有五个向导步骤,说明如下:
图6-31
Create Web Publishing Rules
步骤1:要求输入「网站发布」的名称,你可以任意输入一个名称,本案例输入「myweb1」,然后按「下一步」钮。
图6-32
网站发布步骤1
步骤2:这里的Destinations Sets是选择网站服务器,下拉窗口中共有五个选择,说明如下:
●All Destinations:所有内部网络及外部网络的网站服务器。
●All Internal Destinations:所有的内部网络的任何网站服务器。
●All External Destinations:所有的外部网络的任何网站服务器。
●Select Destination Sets:选择一个事先已经定义好的网站服务器设置,也就是在Policy Element里的「Destination Sets」项目,如果选择此项,会自动显示服务器Detail数据的画面。
●All Destinations Except Select Set:所有内部网络及外部网络的网站服务器都可以,除了已被选择事先已经定义好的网站服务器以外,如果选择此项,将会自动显示服务器数据的画面。
然后按「下一步」钮。
图6-33
网站发布步骤2
步骤3:这里可以指定能访问此网站的Client端计算机或用户组,共有三个选项,说明如下:
●Any Request:如果你要Publishing的网站,是允许Internet的任何用户访问的公众网站,选取此项即可。
●Specific Computers:选择一个或多个事先在Policy Element里定义的「Client Address Sets」项目。
●Specific Users And Groups:选择一个W2K的AD里的用户,或是事先已经定义好的用户组。
然后按「下一步」钮。
图6-34
网站发布步骤3
步骤4:这是网站发布最重要的一个步骤,如果选取「Discard the request」,即是明确指出此网站拒绝访问。
一般要Publishing,当然是要选择「Redirect the request to this internal web server」,接着输入网站的IP位置,本例是输入100.100.100.5,或者按「Browse」钮,选取网站服务器亦可,还有一项是「Connect to this port when bridging request as HTTP」,前面的准备工作已将网站的TCP Port设置为3333,所以这里必须设置为3333;如果SSL或FTP要更改Port的话,同样是在准备工作时先行设置完成,然后按「下一步」钮。
图6-35
网站发布步骤4
步骤5:最后按下「完成」钮。
可将图6-36的滚动条部分,用鼠标圈选起来,贴至备份纪录上;也可做成报表,以利呈报或交接文件使用。
图6-36
网站发布步骤5
如果依照前面的准备工作并正确执行了Web Publishing,外部网络(Internet)的用户仍然不能看到网站,请检查ISA Server的Routing Rules以及IP Packet Filter是否都允许通过。
网站发布在执行上是有顺序的,预设只有一笔「Last」项目,而且不能删除及修改,「Last」项目是预设所有的Web Publishing全部关闭,所以当你加入一个新的网站发布项目后,Order字段排序会为1,执行顺序大于「Last」项目,当新建二笔「网站发布」项目后(如图6-37),执行顺序以此类推排序;如果要调整执行顺序,可以直接使用鼠标右键,在弹出窗口中选择「UP」或「DOWN」即可,如果弹出窗口没有「UP」或「DOWN」,也可以按下「执行」下拉菜单(如图6-37左上角圈圈),一样会有「UP」或「DOWN」可以调整执行顺序。
图6-37
调整网站发布的执行顺序
6-3-2
邮件服务器发布设置(Mail Server Publishing)
邮件服务器(Mail Server)几乎是每家公司必备的服务器之一,当架设网络防火墙之后,往往Mail Server都不能使用,很多公司会把它放到防火墙外面,以保持运行,却因而失去了保护的作用,最后发现很多的问题都是由邮件产生。ISA server提供了一个Mail Server的向导,只要五分钟,保证Mail Server畅通无阻,还可以过滤垃圾邮件、检查附带文件、信件关键词检查等功能,就连骇客攻击(Buffer Overrun)也能防范,如果还觉得不满意,在第11章:防毒墙与防火墙中将会说明能过滤邮件病毒及骇客木马等。
在进行邮件服务器发布设置之前,我们必须先了解整个铺设的网络架构,如图6-38是一个案例架构,我们以此为例做Publishing的说明。
图6-38
Mail Serve Publishing网络架构
设置邮件服务器发布必须先把准备动作做好,准备动作只有三个,依序如下说明:
准备1:如果内部的邮件服务器使用Microsoft Exchange Server,先请安装好,并在内部网络先自我测试(传送、接收)正常,包含:
●Mail Serve网域:必须是注册的合法网域,可以与ISA Server同网域,也可以自己独立一个网域。
●该有的用户帐号建立,以及是否要认证或使用SSL编码传送邮件等决策,都请事先做好决定。
准备2:邮件服务器本机必须启动DNS Server,应是内部的DNS Server,而不是Internet的DNS Server,因为相同的Mail Server网域,内、外DNS Server设置的IP会不同,Internet的DNS Server是ISA Server上的DNS Server。
准备3:邮件服务器本机的预设网关(Gateway)指向ISA Server的「内」网卡,此案例是100.100.100.1,惯用的DNS Server可以设置任何一个外界的DNS Server(或ISA Server上的DNS Server,此案例是203.203.203.1)。
以上三个准备动作都集中在邮件服务器上,现在回到ISA Server,启动向导,至「Publishing」,选择右边窗口的「Secure Mail Server」向导(如图6-39),整个向导操作共有五个步骤,说明如下:
图6-39
Secure Mail Server向导
步骤1:启动向导后,出现欢迎画面,直接按「下一步」钮即可。
图6-40
Secure Mail Server向导步骤1
步骤2:这是重要的一步,左边有一个打勾选项「Apply content filtering」,如图6-41画圈圈处,指的
