分享
 
 
 

在托管主机单网卡环境下进行web发布(二)

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

创建Web和Server发布规则

为了能让远程用户访问ISA 2004防火墙上的服务,我们必须使用Web/Server发布规则。Web发布规则用来发布Web协议(HTTP,HTTPS(SSL))。Web协议没有严格定义,你也可以使用Web发布规则发布download-only FTP站点,所有其他的服务必须使用Server发布规则,Web和Server发布规则体现了ISA 2004防火墙连接的复杂的应用层检测机制。

我们将创建1个Web发布规则和2个Server发布规则,Web发布规则用来允许远程连接至ISA 2004防火墙主机上的Web服务器,Server发布规则用来允许外部连接至SMTP和FTP服务。

在下面的例子中,Web发布规则允许我们连接至使用ISA 2004 防火墙外部IP地址的Web站点,但是我要着重提醒你,不应该使用他的“公共”名字来发布站点,如果你这样做,用户将能使用IP地址访问被发布的Web站点,而不是用你站点的FQDN来访问。允许访问你站点的IP地址可能存在被蠕虫和匿名扫描攻击的危害。事实上我建议你不要将站点发布到可访问的IP地址上,但是我也不想对于如何部署DNS或者HOSTS文件项的安全解决方案做详细说明了,相关文章在站点上已经有了。

执行以下步骤创建Web发布规则:

1.ISA 2004控制台:展开服务器名-Firewall Policy

2.Publish a Web Server link

3.New Web Publishing Rule Wizard:输入Web Server名字

4.Select Rule Action:-Allow option

5.Define Website to Publish:输入Web Server监听器IP地址,这里Web服务器在10.0.0.1上监听,因此输入这个值,在Path text里输入"/*" -Next

6.Public Name Details:选择“This domain name(type below)”,输入ISA 2004防火墙外部IP地址,注意:这里使用的IP地址仅作示范。我建议你不要发布公开的用IP地址就可以访问的WEB站点,在Path(optional)输入"/*".

7.Web Listener:选择一个Web监听器,如果没有Web监听器需要创建一个。此例中我们不需要创建任何Web监听器,如要创建单击New.

8.Welcome to the New Web Listener Wizard:输入HTTP监听器 -Next

9.IP Addresses:勾选External,这样ISA 2004防火墙就允许外部访问请求到绑定在外部接口所有IP地址上的Web监听器 -Next.

10.Port Specification:接受默认设置,选择Enable HTTP,HTTP端口为80.

11.New Web Listener Wizard: -Finish

12.Select Web Listener: -Next,注意:我们创建的Web监听器出现在Web listener下拉列表里了。

13.User Sets:选择默认项All Users -Next

14.Finish

15.Apply

16.OK -Apply New Configuration

以下步骤创建SMTP服务器发布规则:

1.ISA2004控制台:Firewall Policy

2.Create a New Server Publishing Rule link

3.输入SMTP Server的名字

4.Select Server:输入被监听的SMTP服务的IP地址,此例中为10.0.0.1.

5.Select Protocol:选择SMTP Server

6.IP Addresses:勾选External

7.Finish

最后进行FTP服务器发布规则:

1.ISA2004控制台:Firewall Policy

2.Create a New Server Publishing Rule link

3.输入FTP Server的名字

4.Select Server:输入被监听的SMTP服务的IP地址,此例中为10.0.0.1.

5.Select Protocol:选择FTP Server

6.IP Addresses:勾选External

7.Finish

8.Apply

9.OK

创建允许从本地主机网络到外部网络的SMTP外出访问规则

此例中配置的SMTP服务允许验证用户从本地中继到其他的e-mail域上,ISA 2004防火墙必须配置为允许从本地主机网络访问到外部网络,以便防火墙能转发SMTP消息到Internet上的SMTP服务器上。注意,这里是不允许匿名的SMTP中继,匿名的SMTP中继会使垃圾邮件通过你的SMTP服务器发送出去,从而导致额外的网络带宽和开销,更糟的是可能被反垃圾邮件联盟列上黑名单。

执行以下步骤创建SMTP外出访问规则:

1.ISA2004控制台:Firewall Policy -Create New Access Rule link

2.在Access Rule里输入外出的SMTP -Next

3.选择Allow -Next

4.选择Selected protocols -Add

5.选择SMTP协议 -Close

6. -Next

7.-Add

8.选择Local Host network -Close

9.-Next

10.-Add

11.选择External network -Close

12.-Next

13.接受默认项All Users -Next

14.-Finish

15.-Apply

16.-OK

测试配置

现在我们来测试配置,第一步,使用Outlook Express发送邮件到ISA 2004防火墙上的SMTP服务器,OE配置成使用SMTP服务器验证使用ISA主机默认的管理员帐号,在实际环境中你需要在ISA防火墙主机上创建用户帐号,以便外部用户能用这个帐号通过防火墙中继邮件。

我将发送一个e-mail到我的Hotmail帐号上,当邮件发送时我们可以在ISA防火墙的时实日志查看器上看到以下的信息,红线框出的表示从Outlook客户端到ISA防火墙的进入连接,注意,这个连接是SMTP服务器规则允许的。蓝线框出的表示外出SMTP连接,这个连接是外出SMTP规则允许的。图上的最后一项反映的是DNS查询,ISA 2004 防火墙没有发现Hotmail站点的MX记录信息,这有可能发生在邮件发送出去以前,但日志记录表示是发生在邮件发送出去的同时,因为DNS查询响应是很快的。

当我们去Hotmail站点收取这个邮件时,邮件信息显示received by ISALOCAL from xpprosp1,然后hotmail.com服务器从ISALOCAL接受了这个邮件,注意,ISALOCAL列出的IP地址确实是路由器外部接口上的IP地址,而不是ISALOCAL主机自己的IP地址。

Received: from ISALOCAL ([209.30.181.91]) by mc4-f12.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Tue, 13 Jul 2004 21:15:13 -0700

Received: from xpprosp1 ([192.168.1.172]) by ISALOCAL with Microsoft SMTPSVC(6.0.3790.0); Tue, 13 Jul 2004 23:12:36 -0500

X-Message-Info: JGTYoYF78jHHLX5R9IFBtsCYF3X+PLrD

Message-ID: <000801c46958$ca281700$ac01a8c0@msfirewall.org

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2800.1158

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165

Return-Path: tshinder@tacteam.net

X-OriginalArrivalTime: 14 Jul 2004 04:12:36.0626 (UTC) FILETIME=[CB8CD720:01C46958]

现在来测试FTP站点的功能,在ISA防火墙主机的FTPROOT目录中放入些文件,从外部客户机上打开命令行,输入ftp 192.168.1.70,输入administrator和管理员密码,输入dir,你会看到文件列表,使用GET命令来下载文件,PUT命令上传文件。

让我们试一下PUT命令,我们上传客户机根目录上boot.ini文件,图例显示了命令序列,注意,出现了550拒绝访问信息,这是怎么回事?

答案是,ISA 2004是防火墙,而不是简单的包过滤或者NAT服务器,默认设置是安全设置,是只允许FTP下载的,而上传到FTP站点将使服务器处于极大的安全威胁当中,我们必须修改FTP服务器发布规则来允许FTP的上传。

执行以下步骤做需要的修改:

1.ISA2004控制台:Firewall Policy -右击FTP Server Publishing Rule-Configure FTP

2.取消Read-only项 -Apply-OK

3.-Apply

4.-OK

现在我们先登出FTP站点再登录进去,输入PUT命令,看到以下信息:

最后的测试是在外部客户机上使用WEB浏览器,输入http://192.168.1.70,将会看到默认的WEB站点。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有