• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

ISA教程之安全地发布Web服务器

发布: 2007-6-21 12:06 | 作者:   | 来源:   | 查看: 26次 | 进入软件测试论坛讨论

领测软件测试网

   
  6.2 安全地发布Web服务器
  通过发布位于ISA Server 之后的Web服务器,ISA Server 代表内部Web服务器接收请求。位于Internet上的客户机从发布Web服务器上向对象提出请求时,该请求实际上是发送到了ISA Server 计算机的一个外部地址中。

于是,在ISA Server计算机上配置的Web发布规则将请求发送到内部Web服务器上。发布Web服务器不需要特别的配置。
  
  要创建一个新发布规则,使用New Web Publishing Rule向导。这个向导在Publishing节点之下的Web Publishing Rules文件夹中启动。修改一个现有的Web发布规则,可以在ISA Management中该规则的Properties对话框中进行。
  
  本节学习目标
  l     发布位于ISA Server之后的内部网络Web服务器
  
  l     在ISA Server计算机上安全地发布Web服务器
  
  估计学习时间:45 分钟
  6.2.1 Web发布规则
  ISA Server使用Web发布规则来消除把Web内容发布到Internet的种种顾虑,归根结底是对危及到内部网络的安全的顾虑。Web发布规则决定ISA Server应该如何在内部Web服务器上拦截进入的HTTP请求,以及ISA Server应该如何代表Web服务器来响应请求。规则决定一个请求是转发而不是丢弃时,该请求就会发送到位于ISA Server 计算机之后的内部Web服务器中。如果有可能,ISA Server 的缓存会为该请求提供服务。
  
  
   要点 要提高安全性,不要在发布Web服务器上启用目录浏览。同样,也不要为Web服务器配置摘要或基本身份验证。这些身份验证方法会将Web服务器的内部名称或IP地址暴露给外部用户。
  
  
  6.2.2 目的集和客户集
  配置Web发布规则,例如使用New Web Publishing Rule向导 (如图 6.3所示),会给定选项来指定该Web发布规则的目的集。对于Web发布规则,目的集通常包括一个域名,该域名的IP地址映射到ISA Server计算机。如果希望发布规则把指定目录或指定文件操作应用到Web请求,也可以在目的集中包含路径。 (例如,要把对http://www.microsoft.com/ example 的Web请求指向某一个特定的服务器,并把一个对http://www.microsoft.com/ marketing 的Web请求指向另一台内部服务器。) 客户端地址集通常包括位于Internet上的客户端的地址,这是相对于那些位于内部网络的客户端而言。客户端地址集允许把准许和拒绝访问Web发布服务器的客户端组合起来,以此简化管理。
  
  目的集和客户端地址集是在Policy Elements节点下的文件夹中创建和管理的。
   ISA教程之安全地发布Web服务器(图一)
  按如下步骤创建Web发布规则:
  
  1.  在ISA Management控制台树上,右击Web Publishing Rules,指向New,然后单击Rule。
  
  2.  在New Web Publishing Rule向导中,输入该规则的名称,然后单击Next。
  
  3.  在Destination Sets屏幕中,选择一个包含发布服务器IP地址的目的集,然后单击Next。
  
  4.  在Client Type屏幕中,选择该规则是应用到所有用户还是应用到指定客户端地址集或用户,然后单击Next。
  
  5.  在Rule Action屏幕中,规定应该如何指引客户端请求。
  
   注意 对于阵列成员,如果企业策略设置配置为不允许发布,那么将不能创建Web发布规则。
  6.2.3 Web发布规则操作
  如图 6.4所示,Web发布规则操作在New Web Publishing Rule向导的Rule Action屏幕中配置。对于目标是某些特定目的集的HTTP请求,Web发布规则操作要么放弃它,要么将该请求重定向到另一可选站点,通常为公司网上的Web服务器。
   ISA教程之安全地发布Web服务器(图二)
  按如下步骤为现有的Web发布规则配置操作:
  
  1.  在ISA Management控制台树中,单击Web Publishing Rules。
  
  2.  在View菜单中,单击Advanced。
  
  3.  在详细信息窗格中,右击现行Web发布规则,然后单击Properties。
  
  4.  在Action选项卡中,选择操作以下步骤之一:
  
  u     要拒绝请求,单击Discard The Request单选按钮。
  
  u     要将请求发送到用于Internet发布登服务器或服务器群,单击Redirect The Request To This Internal Web Server (Name Or IP Address)单选按钮。
  
  5.      如果单击了Redirect The Requests To This Internal Web Server (Name Or IP Address)单选按钮,按如下步骤操作:
  
  u     输入一个请求应重定向到的IP地址或者域名。
  
  u     在Connect To This Port When Bridging Request As HTTP中,输入用来处理HTTP请求的端口。默认情况下,HTTP端口配置为80。
  
  u     在Connect To This Port When Bridging Request As SSL中,输入用来处理S-HTTP请求的端口。默认情况下,S-HTTP端口配置为443。
  
  u     在Connect To This Port When Bridging Request As FTP中,输入用来处理TCP请求的端口。默认情况下,TCP端口配置为21。
  
  6.2.4 SSL和HTTP桥接
  通过访问Web发布规则属性的Bridging选项卡,如图 6.5所示,可以配置传入HTTP请求重定向的方式——不论是作为HTTP请求,SSL请求,或者是FTP请求。如果请求是作为SSL请求重定向的,数据包就会加密。
  
  也可以桥接SSL通信。也就是说,最初的通信采用SSL,ISA Server把请求传送到内部Web服务器之后,通信可以使用HTTP、SSL或者FTP重新定向。如果请求是作为SSL请求重新定向,ISA Server在将它们发送到Web服务器之前,先将数据包再加密。也就是说,在与SSL Web服务器的通信之间建立了一个安全的信道。
  
  把HTTP或者SSL请求配置为以FTP请求传送到Web服务器上时,ISA Server使用FTP将请求重新定向到内部Web服务器上。如果用这种方式配置桥接,加密FTP请求时,可以指定使用哪一个端口。
  
  最后,如果内部Web服务器需要客户端身份验证,可以配置ISA Server对某一指定的客户端进行身份验证。
  ISA教程之安全地发布Web服务器(图三)
  6.2.5 规则次序
  对于每一个传入Web请求,Web发布规则按次序进行处理。一个规则匹配请求时,该请求就会被相应地发送并缓存。如果没有规则与请求匹配,ISA Server就按照默认规则处理,放弃该请求。如果除了默认规则之外,还创建了两个或更多的Web发布规则,可以在随时改变这些规则的次序。
  
  6.2.5.1 默认Web发布规则
  安装ISA Server时,它会配置一个默认的Web发布规则。默认规则配置为放弃所有的请求。默认Web发布规则在处理次序中位于最后,而且不能够修改或删除。
  
  Ø     按如下步骤修改Web发布规则的次序:
  
  1.  在ISA Management控制台树上,单击Web Publishing Rules。
  
  2.  在View菜单中,单击Advanced。
  
  3.  在详细信息窗格中,右击要改变其次序的规则,然后单击Move Up或Move Down。
  
  4.  需要时重复以上步骤,按希望的次序排列规则。
  
  
   注意 不能改变默认规则的位置。
  
  6.2.6 Web发布规则示例
  假设要在域example.microsoft.com中发布两个内部Web服务器,一个叫做 Dev,另一个叫做Mktg。虽然域example.microsoft.com的IP地址对应于ISA Server计算机的外部接口,但是您希望客户端请求example.microsoft.com/Marketing时,内部服务器Mktg 作出响应,而客户端请求example.microsoft.com/Development时,则由内部服务器Dev来响应。
  
  要实现这个目标,首先要创建两个目的集。第1个目的集叫做Marketing,应该包括计算机example.microsoft.com和路径/Marketing/*。第2个目的集叫做Development,应该包括计算机example.microsoft.com和路径/Development/*。
  
  接着,创建两个Web发布规则,将请求重新定向到适当的内部Web服务器上。配置第1个Web发布规则,使其具备下列参数:
  
  l     将Destination Set配置为Marketing目的集
  
  l     将Applies To设置为Any User, Group, Or Client Computer
  
  l     对于规则操作,选择Redirect To A Hosted Site,指定Mktg为主机
  
  客户端请求example.microsoft.com/Marketing上的某一对象时,ISA Server就从Mktg/Marketing中检索该请求。
  
  配置第2个Web发布规则,使其具备下列参数:
  
  l     将Destination Set配置为Development目的集
  
  l     将Applies To设置为Any User, Group, Or Client Computer
  
  l     对于规则操作,选择Redirect To A Hosted Site,指定Dev为主机
  
  客户端请求example.microsoft.com/Development上的某一对象时,ISA Server就从Dev/Development中检索该请求。
  
  6.2.7 在本地网上发布Web服务器
  Ø     按如下步骤发布位于ISA Server防火墙之后的内部Web服务器:
  
  1.  确定DNS服务器将完全匹配的域名映射到ISA Server计算机的外部IP地址上。Internet客户端使用域名来请求对象。
  
  2.  配置ISA Server的传入Web请求属性。IP地址应该包含外部接口的IP地址。
  
  3.  创建一个名为Marketing的目的集,它应该包括计算机example.microsoft.com和路径\Marketing\*。
  
  4.  创建一个名为Development的目的集,它应该包括计算机example.microsoft. com和路径\Develop

文章来源于领测软件测试网 https://www.ltesting.net/


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网