鸿 网 互 联 www.68idc.cn

ISA教程之安全地发布Web服务器

来源:互联网 作者:佚名 时间:2015-06-02 23:59
安全地发布Web服务器 通过发布位于ISA Server 之后的Web服务器 ISA Server 代表内部Web服务器接收请求 位于Internet上的客户机从发布Web服务器上向对象提出请求时 该请求实际上是发送到了ISA Server 计算机的一个外部地址中 于是 在ISA Server计算机上配置的

   安全地发布Web服务器
  通过发布位于ISA Server 之后的Web服务器ISA Server 代表内部Web服务器接收请求位于Internet上的客户机从发布Web服务器上向对象提出请求时该请求实际上是发送到了ISA Server 计算机的一个外部地址中于是在ISA Server计算机上配置的Web发布规则将请求发送到内部Web服务器上发布Web服务器不需要特别的配置
  
  要创建一个新发布规则使用New Web Publishing Rule向导这个向导在Publishing节点之下的Web Publishing Rules文件夹中启动修改一个现有的Web发布规则可以在ISA Management中该规则的Properties对话框中进行
  
  本节学习目标
  l     发布位于ISA Server之后的内部网络Web服务器
  
  l     在ISA Server计算机上安全地发布Web服务器
  
  估计学习时间 分钟
   Web发布规则
  ISA Server使用Web发布规则来消除把Web内容发布到Internet的种种顾虑归根结底是对危及到内部网络的安全的顾虑Web发布规则决定ISA Server应该如何在内部Web服务器上拦截进入的HTTP请求以及ISA Server应该如何代表Web服务器来响应请求规则决定一个请求是转发而不是丢弃时该请求就会发送到位于ISA Server 计算机之后的内部Web服务器中如果有可能ISA Server 的缓存会为该请求提供服务
  
  
   要点 要提高安全性不要在发布Web服务器上启用目录浏览同样也不要为Web服务器配置摘要或基本身份验证这些身份验证方法会将Web服务器的内部名称或IP地址暴露给外部用户
  
  
   目的集和客户集
  配置Web发布规则例如使用New Web Publishing Rule向导 (如图 所示)会给定选项来指定该Web发布规则的目的集对于Web发布规则目的集通常包括一个域名该域名的IP地址映射到ISA Server计算机如果希望发布规则把指定目录或指定文件操作应用到Web请求也可以在目的集中包含路径 (例如要把对的Web请求指向某一个特定的服务器并把一个对的Web请求指向另一台内部服务器) 客户端地址集通常包括位于Internet上的客户端的地址这是相对于那些位于内部网络的客户端而言客户端地址集允许把准许和拒绝访问Web发布服务器的客户端组合起来以此简化管理
  
  目的集和客户端地址集是在Policy Elements节点下的文件夹中创建和管理的
   
  按如下步骤创建Web发布规则
  
    在ISA Management控制台树上右击Web Publishing Rules指向New然后单击Rule
  
    在New Web Publishing Rule向导中输入该规则的名称然后单击Next
  
    在Destination Sets屏幕中选择一个包含发布服务器IP地址的目的集然后单击Next
  
    在Client Type屏幕中选择该规则是应用到所有用户还是应用到指定客户端地址集或用户然后单击Next
  
    在Rule Action屏幕中规定应该如何指引客户端请求
  
   注意 对于阵列成员如果企业策略设置配置为不允许发布那么将不能创建Web发布规则
   Web发布规则操作
  如图 所示Web发布规则操作在New Web Publishing Rule向导的Rule Action屏幕中配置对于目标是某些特定目的集的HTTP请求Web发布规则操作要么放弃它要么将该请求重定向到另一可选站点通常为公司网上的Web服务器
   
  按如下步骤为现有的Web发布规则配置操作
  
    在ISA Management控制台树中单击Web Publishing Rules
  
    在View菜单中单击Advanced
  
    在详细信息窗格中右击现行Web发布规则然后单击Properties
  
    在Action选项卡中选择操作以下步骤之一
  
  u     要拒绝请求单击Discard The Request单选按钮
  
  u     要将请求发送到用于Internet发布登服务器或服务器群单击Redirect The Request To This Internal Web Server (Name Or IP Address)单选按钮
  
        如果单击了Redirect The Requests To This Internal Web Server (Name Or IP Address)单选按钮按如下步骤操作
  
  u     输入一个请求应重定向到的IP地址或者域名
  
  u     在Connect To This Port When Bridging Request As HTTP中输入用来处理HTTP请求的端口默认情况下HTTP端口配置为
  
  u     在Connect To This Port When Bridging Request As SSL中输入用来处理SHTTP请求的端口默认情况下SHTTP端口配置为
  
  u     在Connect To This Port When Bridging Request As FTP中输入用来处理TCP请求的端口默认情况下TCP端口配置为
  
   SSL和HTTP桥接
  通过访问Web发布规则属性的Bridging选项卡如图 所示可以配置传入HTTP请求重定向的方式——不论是作为HTTP请求SSL请求或者是FTP请求如果请求是作为SSL请求重定向的数据包就会加密
  
  也可以桥接SSL通信也就是说最初的通信采用SSLISA Server把请求传送到内部Web服务器之后通信可以使用HTTPSSL或者FTP重新定向如果请求是作为SSL请求重新定向ISA Server在将它们发送到Web服务器之前先将数据包再加密也就是说在与SSL Web服务器的通信之间建立了一个安全的信道
  
  把HTTP或者SSL请求配置为以FTP请求传送到Web服务器上时ISA Server使用FTP将请求重新定向到内部Web服务器上如果用这种方式配置桥接加密FTP请求时可以指定使用哪一个端口
  
  最后如果内部Web服务器需要客户端身份验证可以配置ISA Server对某一指定的客户端进行身份验证
  
   规则次序
  对于每一个传入Web请求Web发布规则按次序进行处理一个规则匹配请求时该请求就会被相应地发送并缓存如果没有规则与请求匹配ISA Server就按照默认规则处理放弃该请求如果除了默认规则之外还创建了两个或更多的Web发布规则可以在随时改变这些规则的次序
  
   默认Web发布规则
  安装ISA Server时它会配置一个默认的Web发布规则默认规则配置为放弃所有的请求默认Web发布规则在处理次序中位于最后而且不能够修改或删除
  
  Ø     按如下步骤修改Web发布规则的次序
  
    在ISA Management控制台树上单击Web Publishing Rules
  
    在View菜单中单击Advanced
  
    在详细信息窗格中右击要改变其次序的规则然后单击Move Up或Move Down
  
    需要时重复以上步骤按希望的次序排列规则
  
  
   注意 不能改变默认规则的位置
  
   Web发布规则示例
  假设要在域e中发布两个内部Web服务器一个叫做 Dev另一个叫做Mktg虽然域e的IP地址对应于ISA Server计算机的外部接口但是您希望客户端请求e/Marketing时内部服务器Mktg 作出响应而客户端请求e/Development时则由内部服务器Dev来响应
  
  要实现这个目标首先要创建两个目的集个目的集叫做Marketing应该包括计算机e和路径/Marketing/*个目的集叫做Development应该包括计算机e和路径/Development/*
  
  接着创建两个Web发布规则将请求重新定向到适当的内部Web服务器上配置第个Web发布规则使其具备下列参数
  
  l     将Destination Set配置为Marketing目的集
  
  l     将Applies To设置为Any User Group Or Client Computer
  
  l     对于规则操作选择Redirect To A Hosted Site指定Mktg为主机
  
  客户端请求e/Marketing上的某一对象时ISA Server就从Mktg/Marketing中检索该请求
  
  配置第个Web发布规则使其具备下列参数
  
  l     将Destination Set配置为Development目的集
  
  l     将Applies To设置为Any User Group Or Client Computer
  
  l     对于规则操作选择Redirect To A Hosted Site指定Dev为主机
  
  客户端请求e/Development上的某一对象时ISA Server就从Dev/Development中检索该请求
  
   在本地网上发布Web服务器
  Ø     按如下步骤发布位于ISA Server防火墙之后的内部Web服务器
  
    确定DNS服务器将完全匹配的域名映射到ISA Server计算机的外部IP地址上Internet客户端使用域名来请求对象
  
    配置ISA Server的传入Web请求属性IP地址应该包含外部接口的IP地址
  
    创建一个名为Marketing的目的集它应该包括计算机e和路径\Marketing\*
  
    创建一个名为Development的目的集它应该包括计算机examplemicrosoft com和路径\Develop
网友评论
<