ISA安全发布服务器
6.1 安全地发布服务器
ISA Server使用服务器发布把传入请求处理到内部服务器上。请求向下游转发到位于ISA Server 计算机之后的内部服务器上。
服务器发布是通过服务器发布规则来配置的。使用ISA Management控制台中的New Server Publishing Rule向导创建服务器发布规则。从控制台中创建的规则的属性对话框中修改现有服务器发布规则。
本节学习目标
发布位于ISA Server之后的内部网络服务器
在ISA Server计算机上安全地发布服务器
在边界网络上安全地发布服务器
估计学习时间:35 分钟
6.1.1 发布策略规则
可以使用ISA Server来配置包含服务器发布规则和Web发布规则的发布策略。服务器发布规则筛选所有的传入请求,然后把这些请求映射到适当的受ISA Server服务保护的服务器上。Web发布规则把进入请求映射到ISA Server之后的适当的Web服务器上。
安装ISA Server时,指定安装模式:Firewal、Cache、或者Integrated模式。所选的安装模式影响发布策略规则类型的可用性,如表 6.1所示:
(图片较大 请放大查看)
6.1.2 服务器发布规则
服务器发布允许内部网上的计算机安全地把服务发布到Internet上。因为所有的传入请求和传出响应都经过ISA Server,所以不会危及到安全。服务器是由ISA Server计算机发布时,所发布的IP地址就是该ISA Server计算机的外部IP地址。远程用户请求发布的服务、文件或者对象,直接和ISA Server计算机进行通信——该ISA Server计算机的名称或IP地址由请求者指定。之后,ISA Server计算机代表用户向内部网络上适当的发布服务器提出该请求。外部用户通过ISA Server间接地与受到保护的发布服务器通信。
服务器发布规则实质上筛选所有通过ISA Server 计算机的请求,然后将这些请求映射到ISA Server 计算机之后的适当的服务器上。这些规则动态地准许 (只有需要时)从Internet用户到适当发布服务器的访问。
发布服务器是一个安全网络地址翻译客户端机:它不需要安装和激活防火墙。因为发布服务器作为安全网络地址翻译客户端来处理,在ISA Server 计算机上创建了服务器发布规则之后,发布服务器就不需要其他特别的配置了。需要说明的是,分配给该ISA Server内部网络接口卡(NIC)的IP地址必须配置为该发布服务器的默认网关。
6.1.3 服务器发布的工作方式
ISA Server采取如下步骤满足内部服务器的请求:
1. Internet上的客户机从一个认为是发布服务器的IP地址来请求对象。实际上,该IP地址是和ISA Server计算机相关的,它是ISA Server计算机外部接口卡的IP地址。
2. ISA Server计算机处理该请求,将该IP地址映射到一个内部服务器的IP地址上。然后代表外部客户端向内部服务器提出请求。
3. 内部服务器将对象返回给ISA Server计算机,ISA Server计算机再将其传送到发出请求的客户端。
Ø 按如下步骤创建服务器发布规则:
1. 在ISA Management控制台树上,展开Publishing节点,右击Server Publishing Rules文件夹,指向New,然后单击Rule。
2. 在New Server Publishing Rule向导中,输入该服务器发布规则的名称,然后单击Next。
3. 在Address Mapping屏幕中(如图 6.1所示),输入发布的内部服务器的IP地址。同时,输入该ISA Server的外部IP地址。
4. 在ProtocoSettings屏幕中(如图 6.2所示),选择该规则应用的服务器协议。
5. 在Client Type屏幕中,指定该规则是应用到所有的客户端中,还是应用到特定的客户端地址集中。
注意 对于阵列成员,如果企业策略设置配置为不允许发布,那么将不能创建服务器发布规则。
6.1.4 服务器发布规则操作
规则操作指应用到请求中的特定规则的操作。可以在New Server Publishing Rule向导的Address Mapping and ProtocoSetting屏幕中配置一个新服务器发布规则的规则操作。也可以在规则属性的Action选项卡中修改一个现有规则的规则操作。在ISA Management 中可以访问属性。无论是配置新操作还是修改现有规则,配置服务器发布规则操作时,都需要指定下列几项:
ISA Server的IP地址 这是外部客户端可用的地址。外部客户端和发布服务器通信时,实际上就是在和该IP地址通信。
发布服务器的IP地址 所有到达ISA Server所指定IP地址的请求都被转发到该IP地址。
映射服务器协议 传送到内部服务器的数据取决于此处指定的协议。可以从ISA Server 中配置的,至少为入站方向的所有协议定义中选择。协议定义列在Policy Elements节点的ProtocoDefinitions文件夹中,并且在其中配置。
6.1.4.1 规则操作示例
假设希望允许外部客户端访问一个SMTP服务器。该SMTP服务器的IP地址是111.111.111.111,并在端口25上侦听。创建一个具备以下参数服务器发布规则:
将内部服务器的IP地址设置为111.111.111.111
将ISA Server 上的外部地址设置为ISA Server 计算机的外部接口卡上的IP地址
将映射服务器协议设置给SMTP Server
Ø 按如下步骤为现有的服务器发布规则修改操作:
1. 在ISA Management控制台树上,打开Publishing节点,然后单击Server Publishing Rules文件夹。
2. 在View菜单中,单击Advanced。
3. 在详细信息窗格中,右击适当的服务器发布规则,然后单击Properties。
4. 在Cache选项卡中,在IP Address Of InternaServer文本框中,输入希望外部客户端也可使用的内部服务器的地址。
5. 在ExternaIP Address On ISA Server文本框中,把一个IP地址输入到一个ISA Server计算机外部接口卡中。外部客户端将访问接口卡。
注意 在Mapped Server Protocol下拉列表框中,单击一个外部客户端可用来访问该计算机的协议定义。