在托管主机单网卡环境下进行web发布（二）

发布: 2007-6-21 12:06 | 作者: | 来源: | 查看: 18次 | 进入软件测试论坛讨论

　　
　　创建Web和Server发布规则
　　为了能让远程用户访问ISA 2004防火墙上的服务，我们必须使用Web/Server发布规则。Web发布规则用来发布Web协议（HTTP，HTTPS（SSL））。

Web协议没有严格定义，你也可以使用Web发布规则发布download-only FTP站点，所有其他的服务必须使用Server发布规则，Web和Server发布规则体现了ISA 2004防火墙连接的复杂的应用层检测机制。
　　
　　我们将创建1个Web发布规则和2个Server发布规则，Web发布规则用来允许远程连接至ISA 2004防火墙主机上的Web服务器，Server发布规则用来允许外部连接至SMTP和FTP服务。
　　
　　在下面的例子中，Web发布规则允许我们连接至使用ISA 2004 防火墙外部IP地址的Web站点，但是我要着重提醒你，不应该使用他的“公共”名字来发布站点，如果你这样做，用户将能使用IP地址访问被发布的Web站点，而不是用你站点的FQDN来访问。允许访问你站点的IP地址可能存在被蠕虫和匿名扫描攻击的危害。事实上我建议你不要将站点发布到可访问的IP地址上，但是我也不想对于如何部署DNS或者HOSTS文件项的安全解决方案做详细说明了，相关文章在站点上已经有了。
　　
　　执行以下步骤创建Web发布规则：
　　
　　1.ISA 2004控制台：展开服务器名->Firewall Policy
　　
　　2.Publish a Web Server link
　　
　　3.New Web Publishing Rule Wizard：输入Web Server名字
　　
　　4.Select Rule Action：->Allow option
　　
　　5.Define Website to Publish：输入Web Server监听器IP地址，这里Web服务器在10.0.0.1上监听，因此输入这个值，在Path text里输入"/*" ->Next
　　
　　　在托管主机单网卡环境下进行web发布（二）（图一）

　　
　　6.Public Name Details：选择“This domain name（type below）”，输入ISA 2004防火墙外部IP地址，注意：这里使用的IP地址仅作示范。我建议你不要发布公开的用IP地址就可以访问的WEB站点，在Path（optional）输入"/*".
　　
　　　在托管主机单网卡环境下进行web发布（二）（图二）

　　
　　7.Web Listener：选择一个Web监听器，如果没有Web监听器需要创建一个。此例中我们不需要创建任何Web监听器，如要创建单击New.
　　
　　8.Welcome to the New Web Listener Wizard：输入HTTP监听器 ->Next
　　
　　9.IP Addresses：勾选External，这样ISA 2004防火墙就允许外部访问请求到绑定在外部接口所有IP地址上的Web监听器 ->Next.
　　
　　10.Port Specification：接受默认设置，选择Enable HTTP，HTTP端口为80.
　　
　　11.New Web Listener Wizard： ->Finish
　　
　　12.Select Web Listener： ->Next，注意：我们创建的Web监听器出现在Web listener下拉列表里了。
　　
　　　在托管主机单网卡环境下进行web发布（二）（图三）

　　
　　13.User Sets：选择默认项All Users ->Next
　　
　　14.Finish
　　
　　15.Apply
　　
　　16.OK ->Apply New Configuration
　　
　　以下步骤创建SMTP服务器发布规则：
　　
　　1.ISA2004控制台：Firewall Policy
　　
　　2.Create a New Server Publishing Rule link
　　
　　3.输入SMTP Server的名字
　　
　　4.Select Server：输入被监听的SMTP服务的IP地址，此例中为10.0.0.1.
　　
　　5.Select Protocol：选择SMTP Server
　　
　　　在托管主机单网卡环境下进行web发布（二）（图四）

　　
　　6.IP Addresses：勾选External
　　
　　7.Finish
　　
　　最后进行FTP服务器发布规则：
　　
　　1.ISA2004控制台：Firewall Policy
　　
　　2.Create a New Server Publishing Rule link
　　
　　3.输入FTP Server的名字
　　
　　4.Select Server：输入被监听的SMTP服务的IP地址，此例中为10.0.0.1.
　　
　　5.Select Protocol：选择FTP Server
　　
　　　在托管主机单网卡环境下进行web发布（二）（图五）

　　
　　6.IP Addresses：勾选External
　　
　　7.Finish
　　
　　8.Apply
　　
　　9.OK
　　
　　创建允许从本地主机网络到外部网络的SMTP外出访问规则
　　此例中配置的SMTP服务允许验证用户从本地中继到其他的e-mail域上，ISA 2004防火墙必须配置为允许从本地主机网络访问到外部网络，以便防火墙能转发SMTP消息到Internet上的SMTP服务器上。注意，这里是不允许匿名的SMTP中继，匿名的SMTP中继会使垃圾邮件通过你的SMTP服务器发送出去，从而导致额外的网络带宽和开销，更糟的是可能被反垃圾邮件联盟列上黑名单。
　　
　　执行以下步骤创建SMTP外出访问规则：
　　
　　1.ISA2004控制台：Firewall Policy ->Create New Access Rule link
　　
　　2.在Access Rule里输入外出的SMTP ->Next
　　
　　3.选择Allow ->Next
　　
　　4.选择Selected protocols ->Add
　　
　　5.选择SMTP协议 ->Close
　　
　　6. ->Next
　　
　　　在托管主机单网卡环境下进行web发布（二）（图六）

　　
　　7.->Add
　　
　　8.选择Local Host network ->Close
　　
　　9.->Next
　　
　　10.->Add
　　
　　11.选择External network ->Close
　　
　　12.->Next
　　
　　13.接受默认项All Users ->Next
　　
　　14.->Finish
　　
　　15.->Apply
　　
　　16.->OK
　　
　　测试配置
　　现在我们来测试配置，第一步，使用Outlook Express发送邮件到ISA 2004防火墙上的SMTP服务器，OE配置成使用SMTP服务器验证使用ISA主机默认的管理员帐号，在实际环境中你需要在ISA防火墙主机上创建用户帐号，以便外部用户能用这个帐号通过防火墙中继邮件。
　　
　　我将发送一个e-mail到我的Hotmail帐号上，当邮件发送时我们可以在ISA防火墙的时实日志查看器上看到以下的信息，红线框出的表示从Outlook客户端到ISA防火墙的进入连接，注意，这个连接是SMTP服务器规则允许的。蓝线框出的表示外出SMTP连接，这个连接是外出SMTP规则允许的。图上的最后一项反映的是DNS查询，ISA 2004 防火墙没有发现Hotmail站点的MX记录信息，这有可能发生在邮件发送出去以前，但日志记录表示是发生在邮件发送出去的同时，因为DNS查询响应是很快的。
　　
　　　在托管主机单网卡环境下进行web发布（二）（图七）

　　
　　当我们去Hotmail站点收取这个邮件时，邮件信息显示received by ISALOCAL from xpprosp1，然后hotmail.com服务器从ISALOCAL接受了这个邮件，注意，ISALOCAL列出的IP地址确实是路由器外部接口上的IP地址，而不是ISALOCAL主机自己的IP地址。
　　
　　Received： from ISALOCAL （[209.30.181.91]） by mc4-f12.hotmail.com with Microsoft SMTPSVC（5.0.2195.6824）； Tue， 13 Jul 2004 21：15：13 -0700
　　
　　Received： from xpprosp1 （[192.168.1.172]） by ISALOCAL with Microsoft SMTPSVC（6.0.3790.0）； Tue， 13 Jul 2004 23：12：36 -0500
　　
　　X-Message-Info： JGTYoYF78jHHLX5R9IFBtsCYF3X+PLrD
　　
　　Message-ID： <000801c46958$ca281700$ac01a8c0@msfirewall.org>
　　
　　X-MSMail-Priority： Normal
　　
　　X-Mailer： Microsoft Outlook Express 6.00.2800.1158
　　
　　X-MimeOLE： Produced By Microsoft MimeOLE V6.00.2800.1165
　　
　　Return-Path： tshinder@tacteam.net
　　
　　X-OriginalArrivalTime： 14 Jul 2004 04：12：36.0626 （UTC） FILETIME=[CB8CD720：01C46958]
　　
　　现在来测试FTP站点的功能，在ISA防火墙主机的FTPROOT目录中放入些文件，从外部客户机上打开命令行，输入ftp 192.168.1.70，输入administrator和管理员密码，输入dir，你会看到文件列表，使用GET命令来下载文件，PUT命令上传文件。
　　
　　　在托管主机单网卡环境下进行web发布（二）（图八）

　　
　　让我们试一下PUT命令，我们上传客户机根目录上boot.ini文件，图例显示了命令序列，注意，出现了550拒绝访问信息，这是怎么回事？
　　
　　　在托管主机单网卡环境下进行web发布（二）（图九）

　　
　　答案是，ISA 2004是防火墙，而不是简单的包过滤或者NAT服务器，默认设置是安全设置，是只允许FTP下载的，而上传到FTP站点将使服务器处于极大的安全威胁当中，我们必须修改FTP服务器发布规则来允许FTP的上传。
　　
　　执行以下步骤做需要的修改：
　　
　　1.ISA2004控制台：Firewall Policy ->右击FTP Server Publishing Rule->Configure FTP
　　
　　　在托管主机单网卡环境下进行web发布（二）（图十）

　　
　　2.取消Read-only项 ->Apply->OK
　　
　　　在托管主机单网卡环境下进行web发布（二）（图十）

　　
　　3.->Apply
　　
　　4.->OK
　　
　　现在我们先登出FTP站点再登录进去，输入PUT命令，看到以下信息：
　　
　　在托管主机单网卡环境下进行web发布（二）（图十二）

　　
　　最后的测试是在外部客户机上使用WEB浏览器，输入http://192.168.1.70，将会看到默认的WEB站点。