分享
 
 
 

在托管主机单网卡环境下进行web发布(一)

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

基于ISA 2004 防火墙的ISP 托管配置

在ISA 防火墙中有一种特殊的配置称作"ISP 托管"配置。我曾经在一篇配置ISP托管 Web/SMTP/ISA Server的文章中写到过基于ISA Server 2000防火墙的这种配置方法。我把它称做ISP托管配置,因为在ISP托管主机环境里你不可能为你的服务器安装多块网卡,因此,你只需要一块网卡来运行ISP 托管的Web,FTP,SMTP服务器。这篇文章将教你如何在ISA 2004防火墙中创建单网卡的托管主机。

这是一种很有趣的配置,因为它关系到ISA 2004防火墙软件是否有效地保护了位于ISP托管主机上的公共可访问资源。如果你正在这么去做的话,我强烈建议你不要在ISA 2004防火墙主机上安装额外的软件,因为每个额外的程序或者服务将增大防火墙被攻击的机会。

但是,ISP托管主机的部署也不近相同。通常ISP会提供些基本的PIX或者Netscreen包过滤支持,这些防火墙是基于网络层的过滤,一旦需要执行高强度的应用层检测时,它们就显得无能为力了。而在被托管的Web,FTP,SMTP主机上使用ISA 2004防火墙软件时你就会感到一些重要的优势。

这种ISP托管主机配置也可应用于其他场合,例如,假设你想给你的网络配置强大的ISA 2004应用层检测防火墙,而你也不得不要尽可能说服那些轻信硬件防火墙的人(参考此文http://isaserver.org/articles/2004tales.html)。一种折中的办法是将ISA 2004防火墙部署在位于2个“硬件”防火墙之间的DMZ区域,使用这种位于DMZ区域的ISP托管配置的ISA 2004防火墙,将获得真正的应用层检测保护。

ISP托管主机配置使用一块单网卡和一个“虚拟”网卡,这个虚拟网卡就是Microsoft loopback适配器,loopback适配器不是真正的物理网卡,但可以象配置真网卡那样给loopback适配器配置IP地址信息。ISA 2004防火墙把loopback适配器视作一个物理接口,你可以使用它来发布服务。

在ISA 2004 防火墙上安装虚拟网卡可以“欺骗”ISA认为它充当了一个防火墙的角色。你可以给ISA 2004安装单网卡,但你随即失去了防火墙的许多功能,因为ISA 2004防火墙软件认为你只想让防火墙运行在Web代理模式。相反,当你安装了loopback适配器后,防火墙软件就认为它是一个真实的接口可以完全执行应用层检测的任务。

这篇文章中我们将讨论ISP托管配置,下图是实验部署图,你可以使用VMware或者Virtual PC虚拟网络环境测试实验。你可以从位于ISA 2004防火墙物理接口同一网段的主机测试,也可以从位于Internet路由器一端的广域网主机上测试。

loopback适配器分配了一个假地址10.0.0.1/24,注意这个假内部接口没有DNS和默认网关地址分配。

ISA 2004防火墙外部接口上有一个真实的IP地址和默认网关,这样配置很重要,因为这个外部IP地址是必须被访问到的,默认网关地址也是必须的以便ISA 2004防火墙能响应Internet主机的请求。DNS服务器地址应该是一台能解析Internet主机名的DNS服务器,因为托管的ISA 2004防火墙/Web/FTP/SMTP服务器需要解析外发邮件的Internet MX 域名,注意,配置中也可以使用ISA 2004防火墙自带的SMTP Message Screener.

如果你计划使用ISA 2004防火墙位于2个所谓“硬件”防火墙之间的DMZ方案,我建议DMZ段和后方防火墙之间应该是路由关系而不是NAT关系。

按如下配置:

在托管的ISA 2004防火墙主机上安装loopback适配器,配置IP地址信息

安装IIS,禁用socket pooling,绑定这些服务在loopback适配器的IP地址上

安装ISA 2004 防火墙软件

在内部接口上禁用Web代理和防火墙客户监听器

创建Web和Server发布规则

创建允许从本地主机网络到外部网络的SMTP外出访问规则

测试配置

注意:

本站98%的文章都是我曾经真实进行过的安装和配置介绍,2%的文章是我认为可以用实验表达的。这些实验文章需要用实践来说明,但是我和我知道的人没有真正在实际环境中测试过。这就是我为什么要在大部分文章里提供一个实验部署参考图的原因,以便你们在实际操作前能了解配置的步骤。我希望没有给isaserver.org社区错误的印象,认为本站文章仅仅是纸上谈兵而不是真实的案例,希望我提供的大部分文章可以经受住真实网络环境测试的考验。

在托管的ISA 2004防火墙主机上安装loopback适配器,配置IP地址信息

第一步(在一台单网卡机器上安装完Windows Server 2003后)安装Microsoft loopback适配器。通过Add/Remove Hardware面板安装。

1.在ISA 2004防火墙主机上,Start-Control Panel-Add Hardware

2.点击Next,

3.Is the hardware connected:Yes,I have already connected the hardware-Next

4.The following hardware is already installed on your computer:Add a new hardware device-Next

5.The wizard can help you install other hardware:Install the hardware that I manually select from a list(Advanced)-Next

6.From the list below,select the type of hardware you are installing:Network adapters-Next

7.Select Network Adapter:Microsoft- Microsoft Loopback Adapter-Next

8.The wizard is ready to install your hardware: -Next

9.Completing the Add Hardware Wizard: -Finish

10.右击My Network Places: -Properties

11.Network Connections: -loopback adapter -Properties

12.Properties: -Internet protocol(TCP/IP)-Properties

13.Internet Protocol(TCP/IP) Properties: -IP address:10.0.0.1-Subnet mask:255.255.255.0

14.OK

安装IIS,禁用socket pooling

首先安装IIS服务,此例中我们需要安装IIS World Wide Web(W3SVC 或者WWW服务),FTP服务,SMTP服务。你也许想到了Microsoft Exchange服务,我打算把它安装在同一台ISA 2004防火墙主机上。如果你想Exchange服务器完全被ISA 2004防火墙保护的话,那么应该把它放置在防火墙后面,并且用托管设备做特殊安排。

执行以下步骤在ISA 2004防火墙主机上安装IIS服务:

1.在ISA主机上:Start-Control Panel-Add or Remove Programs

2.Add/Remove Components

3.Windows Components:Application Server-Details

4.Application Server:Internet Information Services(IIS)-Details

5.IIS:File Transfer Protocol(FTP) Services,SMTP Services and WWW Services-OK

6.Application Server:-OK

7.Windows Components:-Next

8.Insert Disk:-OK

9.Files Needed:输入Windows Server 2003 i386路径-OK

10.Completing the Windows Components Wizard-Finish

下一步是禁止掉IIS服务的socket pooling.socket pooling允许IIS服务在所有接口卡上监听相同的端口号,这是针对专用IIS服务器的一种性能优化。但是对于运行了ISA 2004防火墙软件的IIS服务器,socket pooling是致命的危害。为了让我们的Web和Server发布方案运行在ISA 2004防火墙里,在配置内部IP地址(分配给loopback适配器的IP地址)的监听服务前需要禁止掉socket pooling.

执行以下步骤禁止掉IIS WWW服务里的socket pooling:

1.拷贝 Windows Server 2003安装光盘supportools 到ISA主机上。

2.安装suptools.msi

3.Start-Run-cmd

4.输入:httpcfg set iplisten -i 10.0.0.1,

回显:HttpSetServiceConfiguration completed with 0

5.输入:httpcfg query iplisten

现在我们来禁止掉IIS FTP服务里的socket polling:

1.cmd-net stop msftpsvc

2.转向InetPubAdminscripts,运行cscript adsutil.vbs set /msftpsvc/1/DisableSocketPooling 1

3.cmd-net start smtpsvc

现在来绑定WWW,FTP,SMTP服务到ISA 2004防火墙的内部IP地址上:

1.在ISA服务器上,Start-Administrative Tools-IIS manager

2.展开Web Sites-Default Web Site-Properties

3.Default Web Site Properties:IP address栏里选择10.0.0.1-Apply

4.展开FTP Sites-Default FTP Site-Properties

5.IP address:10.0.0.1

6.Default SMTP Virtual Server-Properties

7.IP address:10.0.0.1

8.Access-Authentication

9.Authentication:勾选Integrated Windows Authentication.这个选项

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有