入門 硬件知識 電腦基礎 上網入門 故障 電腦修護 電腦健康 精通電腦 網站 DIV+CSS 建站知識 SEO知識
教程 電腦操作 平面設計 路由設置 技巧 Word Excel QQ技巧 壁紙 自然風景 酷車美女 系統桌面
系統 安裝系統 系統技巧 系統設置 安全 木馬查殺 黑客防御 安全資訊 美女 明星寫真 清純美女 性感美女

主頁 > 服務器 > ISA2006 > INTRODUCE

ISA2006發布多個Web服務器站點完全攻略:ISA圖文教程十

發布時間:2013-10-26 作者:電腦知識網 來源:www.jvocgn.live 字號:

總結: ISA可以根據發布規則的公共名稱對外網的訪問請求進行Web過濾,功能遠遠強于一般路由器的端口映射發布單個站點非常簡單。從實驗過程 來看,發布單個站點非常簡單,發布多個網站只要注意用公共名稱區分發布規則,其實也不難。但發布Web站點還有不少棘手的問題,我們在后續文章中繼續討 論。

ISA2006最常用的三大功能是訪問控制,服務器發布和VPN。訪問控制我們在之前的博文中已經談了不少,今天我們來討論一下服務器發布。ISA把服務器發布分為Web服務器發布和非Web服務器發布,Web服務器發布又可以細分為安全Web站點發布和Web站點發布,今天我們討論的是Web站點發布,也就是不使用證書的Web服務器發布。本文將介紹發布Web站點常用的一些技巧以及注意事項,希望能對大家有所幫助。

服務器發布簡單地說就是把內網或DMZ的服務器發布到ISA的外網網卡上,讓外網用戶通過ISA的外網IP就能訪問到被發布的服務器。但為什么需要用發布規則呢?為什么不能用訪問內規則呢?創建一條訪問規則允許外網訪問內網被發布的服務器豈不是很簡單,而且有些朋友還真就這么做過。俺來解釋一下這個問題,什么時候該用訪問規則,什么時候該用發布規則取決于源網絡和目標網絡的網絡規則(請參考深入剖析ISA2006防火墻策略的執行過程)。如果源網絡和目標網絡間的網絡規則允許訪問,那我們就應該使用訪問規則;如果源網絡和目標網絡間的網絡規則不允許訪問,那我們就應該使用發布規則。舉個例子,內網到外網的網絡關系是NAT,網絡規則允許從內網到外網單向訪問。如果內網訪問外網的服務器,我們應該用訪問規則;但如果外網要訪問內網的服務器,就只能通過發布規則了。

訪問規則和發布規則還有一個地方有區別,訪問規則使用的協議,方向都是出站;而發布規則使用的協議,方向都是入站。

介紹了一些發布規則的理論,接下來就通過幾個實驗來介紹如何發布Web服務器。實驗拓撲如下圖所示,Denver和Perth是內網的Web服務器,Istanbul是外網的測試計算機,Denver同時也是內網的DNS服務器,我們在內網部署了域環境,實際上域并非實驗必須,在工作組環境下也是完全可以的。

 

 

發布單個Web站點

先處理一種最簡單的發布場景,我們把內網的一個Web站點發布出來即可。我們要發布的目標是Denver上的默認Web站點,Denver的域名為Denver.contoso.com,現在我們來看看應該如何操作。

在ISA服務器上以此點擊 開始-程序-Microsoft ISA Server-ISA服務器管理,右鍵點擊防火墻策略,如下圖所示,選擇新建“網站發布規則”。

 

 

為新建的發布規則取名為“發布內網的Denver.contsoo.com”。

 

 

當訪問請求符合規則要求時,ISA允許訪問請求。

 

 

選擇“發布單個網站或負載平衡器”。

 

 

由于此次發布沒有使用證書,因此我們選擇使用不安全的連接發布Web站點。

 

 

內部被發布的站點是Denver.contoso.com,如果擔心ISA解析Denver.contoso.com有問題,可以輸入Denver的IP地址10.1.1.5。

 

 

我們選擇發布路徑為 /*,/*代表根目錄,意思是要把Denver網站的所有內容都發布出來。

 

 

接下來要設置被發布站點的公共名稱,也就是外網訪問被發布站點時應采用哪種形式。如下圖所示,如果我們在接受請求中選擇“任何域名”,那意味著外網的訪問者可以不限定訪問域名,只要訪問者使用的域名能解析為ISA的外網IP就可以,甚至可以直接用IP訪問。

 

接下來我們要使用偵聽器來監聽ISA的80端口,安裝ISA時要求不能有進程監聽80端口,就是為了避免和ISA的Web偵聽器沖突。由于當前沒有可用的偵聽器,我們點擊“新建”,準備創建一個偵聽器。

 

 

出現新建偵聽器向導,我們為偵聽器取名為“Listen 80”。

 

 

此次發布沒有使用證書,不需要于客戶端建立SSL安全連接。

 

 

讓偵聽器監聽外部網絡,也就是說偵聽器將監聽192.168.1.254的80端口。

 

 

偵聽器不需要對用戶進行身份驗證,我們選擇“沒有身份驗證”。

 

 

這次發布不需要單一登錄設置。

 

 

點擊完成結束創建偵聽器。

 

 

回到創建發布規則向導,選擇使用剛剛創建的偵聽器“Listen 80”。

 

 

不要求客戶端進行身份驗證。

 

 

此發布規則適用于所有用戶。

 

 

點擊完成結束發布向導的創建。

 

 

等發布規則生效后,我們在外網客戶機Istanbul上測試一下發布效果。首先我們用IP直接訪問,如下圖所示,我們在瀏覽器中輸入192.168.1.254,結果如下圖所示,發布成功!

 

 

再用域名訪問,為簡單起見,我們在外網沒有部署DNS,域名解析用hosts文件完成,hosts文件在\windows\system32\drivers\etc目錄下,內容如下圖所示。在真正的生產環境下,自然會有公網的DNS服務器幫助解析。

 

 

有了Hosts文件幫助解析,在Istanbul上用IE訪問denver.contoso.com,結果如下圖所示,也成功了!

 

由此可見,如果用ISA發布單個站點,還是一件相當容易的事情。

 

發布多個Web站點

現在我們要加點難度了,這次的發布任務是發布多個站點,內網的Denver和Perth上都有Web站點需要發布。我們該如何處理呢?解決思路有兩個,一是創建兩個偵聽器,分別監聽ISA外網IP的不同端口。然后創建兩個發布規則,一個發布Denver,另一個發布Perth,兩個發布規則中分別調用兩個偵聽器;二是只用一個偵聽器,創建兩個發布規則分別發布Denver和Perth,兩個發布規則依靠ISA的Web過濾能力進行區分。

考慮到如果創建兩個偵聽器,那外網用戶訪問其中一個網站時肯定要用到非標準的80端口,這并非一個好的選擇,因此我們傾向于采用第二種方法。那現在我們就面臨一個問題,當外網用戶訪問ISA外網IP的80端口時,我們怎么能區分出訪問者是要訪問Denver還是Perth呢?我們可以利用發布網站的公共名稱來加以區分,例如我們可以規定Denver網站的公共名稱是Denver.contoso.com,Perth網站的公共名稱是Perth.contoso.com,這樣根據外網用戶訪問域名的不同,我們就可以區分出外網用戶訪問的目標網站到底是誰。

我們看看具體該如何去做,首先我們要為Perth網站創建一條發布規則,考慮到這條發布規則和發布Denver的規則有類似之處,我們就使用簡單些的辦法,將Denver的發布規則復制過來,然后稍加修改即可。如下圖所示,在右鍵單擊Denver的發布規則,選擇“復制”。

 

 

在Denver的發布規則上中單擊右鍵,選擇“粘貼”,即可復制Denver的發布規則,如下圖所示,就是復制發布規則后的場景。

 

 

接下來我們要修改復制的發布規則,讓它能夠用于發布Perth站點。編輯“發布內網的Denver.contoso.com(1)”,如下圖所示,切換到常規標簽,將發布規則名稱改為“發布內網的Perth.contoso.com”。

 

 

切換至發布規則的“到”標簽,將發布的站點改為“perth.contoso.com”。

 

 

切換到發布規則的“公共名稱”標簽處,選擇此規則應用到“以下網站的請求”,如下圖所示,點擊“添加”按鈕,在公共名稱對話框中輸入perth.contoso.com。這樣以后訪問者必須用域名perth.contoso.com訪問,才能和這條發布規則匹配。

 

這樣Perth的發布規則就修改完成了,接下來對Denver的發布規則也要進行修改,我們對Denver的發布規則只修改公共名稱一項。原先的公共名稱是允許“任何請求”,這樣的公共名稱可以匹配任何訪問請求,外網用戶無論是訪問Perth還是Denver都能和這條規則匹配上,這樣一來其他的Web站點發布規則就等于無用了。因此我們要把Denver發布規則的公共名稱改為Denver.contsoo.com,如下圖所示。

 

 

修改后的發布規則如下圖所示。

 

 

好了,萬事俱備,只欠測試了,我們在Istanbul上開始測試,首先用IE訪問Perth,如下圖所示,訪問成功了。

 

 

再來訪問Denver,如下圖所示,也成功了!

 

 

有的朋友可能會想,如果Istanbul用IP訪問,會訪問到哪個內網的網站呢?看看下圖的訪問結果,大家很可能會大吃一驚,為什么用IP訪問會被ISA拒絕呢?因為目前兩個發布規則的公共名稱沒有一個能和192.168.1.254匹配,因此ISA認為Istanbul的訪問請求無法匹配任何一條發布規則,只能用默認規則進行拒絕。

 

 

如果我們希望用IP訪問能夠訪問到Denver,那就修改Denver的發布規則,在發布規則的公共名稱加上一條IP地址,如下圖所示。

 

 

這次再用IP訪問,由于IP地址可以和Denver發布規則中的公共名稱匹配上,因此順理成章地訪問到了Denver,如下圖所示。

 

 


文章: ISA2006發布多個Web服務器站點完全攻略:ISA圖文教程十
地址:http://www.jvocgn.live/server/201310/8054.html
------分隔線----------------------------
------分隔線----------------------------
熱門ISA2006文章推薦
金狗旺财送彩金