11.6 发布服务器
使用ISA Server 2006发布受其保护的服务器,是ISA Server的第2个主要功能。ISA Server是目前惟一能真正发布安全Web站点的防火墙软件,本节将通过一些具体的实例,介绍用ISA Server发布服务器的方法及注意事项。
11.6.1发布Web站点
示例:发布www.heuet.com、wiki.heuet.com到内网的172.30.5.11、发布blog.heuet.com到内网的172.30.5.12、发布其他所有站点(默认站点)到内网的172.30.5.13。
大多数的硬件防火墙和软件的代理服务器,在对外发布服务器时,都是通过端口映射的方式来发布服务的。举例来说,Web服务使用TCP的80端口,一般的防火墙在发布Web服务器时,都是将“外网”IP地址的、TCP协议的80端口转发到内网的1台Web服务器上,并且1个IP地址只能转发1个,如果需要将内网中的多台Web服务器(不在同一台计算机上,也就是说,内网的IP地址不是1个时)转发到Internet上时,一般的服务器就没有了这个“功能”,目前只有ISA Server系列防火墙可以实现这个功能。使用ISA Server 2006发布内网的Web服务是非常灵活的。这里通过举例来说明ISA Server 2006发布Web服务器的方法。
第1步,打开ISA Server 2006控制台,右击“防火墙策略”选项,从出现的菜单中选择“新建”→“网站发布规则”命令,如图11-75所示,打开“欢迎使用新建邮件服务器发布规则”页。
第2步,在“欢迎使用新建Web发布规则向导”页中,在“Web发布规则名称”文本框中,键入标识信息,例如,“发布Web服务器”,然后单击“下一步”按钮。
第3步,在“请选择规则操作”页中,单击“允许”单选按钮,然后单击“下一步”按钮。
第4步,在“发布类型”页中,如果只发布一个网站或一个网站的群集服务器,则选择第一项“发布单个网站或负载平衡器”,如果发布Web服务器上的多个站点,则选择第三项“发布多个网站”,如图11-76所示,本例选择第一项。
clip_p_w_picpath002 clip_p_w_picpath004
图11-75 新建网站发布规则 图11-76 发布网站类型
第5步,在“服务器连接安全”页中,单击“使用不安全的连接发布的Web服务器或服务器场”单选按钮,然后单击“下一步”按钮,如图11-77所示。
第6步,在“内部发布详细信息”页中,在的“内部站点名称”文本框中键入“www.heuet.com”,选中“使用计算机名称或IP地址连接到发布的服务器”,在“计算机名称或IP地址”文本框中,键入172.30.5.11,然后单击“下一步”按钮,如图11-78所示。
clip_p_w_picpath006 clip_p_w_picpath008
图11-77 不使用SSL 图11-78 发布www.heuet.com网站
说明:图11-78中“内部站点名称”,指的是想要“转发到”的目标主机上的站点名称,此名称可以用“主机头名”,也可以用“IP地址”,但不能加端口号,如果目标站点没有使用TCP的80端口,可以在创建发布规则后进行修改。
第7步,在“内部发布详细信息”页中,在“路径”文本框中键入“/*”,然后单击“下一步”按钮,如图11-79所示。
说明:如果发布的Web站点,在目标主机(在本示例中是IP地址为172.30.5.11的计算机)上,采用了主机头的方法标示每个网站,并且本站点发布了多个Web网站,则在图11-79中,要选中“转发原始主机头而不是前一页的内部站点名称字段中指定的实际主机头”单选按钮。
第8步,在“公共名称细节”页中,在“公用名称”文本框中,键入第1个发布到Internet上的名称,在本示例中为“www.heuet.com”,然后单击“下一步”按钮,如图11-80所示。
clip_p_w_picpath010 clip_p_w_picpath012
图11-79 转发路径 图11-80 公共名称
第9步,在“选择Web侦听器”页中,为发布的站点选择Web侦听器。在ISA Server中,绑定在ISA Server上的每个IP地址(通常是Internet地址即公网地址)都可以创建一个Web侦听器,并且选择该侦听器作为发布地址。在第一次发布Web站点时,要创建Web侦听器。
在“选择Web侦听器”页中,单击“新建”按钮,在“欢迎使用新建Web侦听器向导”页中,在“Web侦听器名称”文本框中,为该侦听器设置一下名称,例如“Web侦听器”,然后单击“下一步”按钮;在“客户端连接安全设置”页中,选择“不需要与客户端建立SSL安全连接”,然后单击“下一步”按钮;在“Web侦听器IP地址”页中,单击“外部”,然后单击“下一步”按钮(如图11-81所示);在“身份验证设置”页中,在“选择客户端将如何向ISA服务器提供凭据”下拉列表框中选择“没有身份验证”,然后单击“下一步”按钮(如图11-82所示);在“单一登录设置”页中,单击“下一步”按钮;在“正在完成新建Web侦听器向导”页中,单击“完成”按钮。
clip_p_w_picpath014 clip_p_w_picpath016
图11-81 选择侦听器地址 图11-82 选择身份验证
创建Web侦听器后,在“Web侦听器”下拉列表框中选择,然后单击“下一步”按钮,如图11-83所示。
第10步,在“身份验证委派”页中,选择“无委派,客户端无法直接进行身份验证”,然后单击“下一步”按钮,如图11-84所示。
clip_p_w_picpath018 clip_p_w_picpath020
图11-83 选择Web侦听器 图11-84 身份验证方法
第11步,在“用户集”页中,单击“下一步”按钮。
第12步,在“正在完成新建Web发布规则向导”页中,单击“完成”按钮。
第13步,双击新创建的“发布服务器”规则,打开“发布Web服务器属性”页,在“公共名称”选项卡中单击“添加”按钮,在弹出的“公共名称”对话框中,在“公共域名或IP地址”中,添加该服务器需要转发的第2个网站“wiki.heuet.com”,然后单击“确定”按钮,如图11-85所示。
第14步,在“到”选项卡中,单击“使请求显示为来自初始客户端”,然后单击“确定”按钮,如图11-86所示。
clip_p_w_picpath022 clip_p_w_picpath024
图11-85 添加第2个需要转发的网站 图11-86 使请求来自初始客户端
第15步,单击“应用”按钮让设置生效。
然后参照上面的步骤,发布blog.heuet.com到内网的172.30.5.12,这些设置与上面的第1步~第15步相同,只不过没有第13步的操作。
在发布其他所有站点(默认站点)到内网的172.30.5.13,步骤与上文相似,只是在到第8步的操作中,在“公共名称细节”页中,在“授受请求”列表框中选择“任何域名”(如图11-87所示),并且该条发布规则要在另外两条发布规则之后,如图11-88所示。
clip_p_w_picpath026 clip_p_w_picpath028
图11-87 任何域名 图11-88 发布所有网站规则在另外两条之后
11.6.2 发布邮件服务器
示例:在内网IP地址为172.30.5.15的计算机上安装着邮件服务器,本例将通过ISA Server 2006将172.30.5.15的邮件服务器发布到Internet。
第1步,在ISA Server 2006控制台上,右击“防火墙策略”,从出现的快捷菜单中选择“新建→邮件服务器发布规则”,如图11-89所示。
第2步,在“欢迎使用新建邮件服务器发布规则向导”页中,在“邮件服务器发布规则名称”文本框中,为将要发布的邮件服务器设置一个规则名称,例如“发布172.30.5.15的邮件服务器”,然后单击“下一步”按钮,如图11-90所示。
clip_p_w_picpath030 clip_p_w_picpath032
图11-89 邮件服务器发布规则 图11-90 邮件服务器发布规则名称
第3步,在“选择访问类型”页中,选择“客户端访问:RPC、IMAP、POP3、SMTP”,然后单击“下一步”按钮,如图11-91所示。
第4步,在“选择服务”页中,单击选中“POP3”和“SMTP”复选框,然后单击“下一步”按钮,如图11-92所示。
clip_p_w_picpath034 clip_p_w_picpath036
图11-91 访问类型 图11-92 选择服务
第5步,在“选择服务器”页中,在“服务器IP地址”文本框中,键入要发布的内网邮件服务器的地址,在本例中,此地址为172.30.5.15,然后单击“下一步”按钮,如图11-93所示。
第6步,在“网络侦听器IP地址”页中,选择“外部”,然后单击“下一步”按钮,如图11-94所示。
clip_p_w_picpath038 clip_p_w_picpath040
图11-93 选择服务器地址 图11-94 外部
第7步,在“正在完成新建邮件服务器发布规则向导”页中,单击“完成”按钮。
第8步,单击“应用”按钮,让设置生效。
这样发布邮件服务器后,173.30.5.15的邮件服务器可以通过ISA Server与Internet上的其他邮件服务器互想收发邮件,Internet上的用户也可以使用Foxmail、Outlook等客户端程序通过POP3服务收发邮件,如果172.30.5.15的邮件服务器还支持Web方式收发信,管理员还需要创建一条到该服务器的Web服务器发布规则,这一点可参考“11.6.1 发布Web站点”的内容。
11.6.3 发布Exchange Web客户端访问
在上一节中,如果172.30.5.15的邮件服务器是Exchange 2000、Exchange Server 2003、Exchange Server 2007等Exchange类的邮件服务器,除了按照上一节的内容,发布邮件服务器外,还要发布Exchange的Web客户端访问,下面介绍该步骤。
第1步,打开ISA Server 2006控制台,右击“防火墙策略”选项,从出现的菜单中选择“新建”→“Exchange Web客户端访问发布规则”命令。
第2步,在“欢迎使用新建邮件服务器发布规则”页中,在“Exchange发布规则”文本框中键入“Exchange Web”,然后单击“下一步”按钮。
第3步,在“选择服务”页中,在“Exchange版本”下拉列表中选择Exchange版本,在此选择Exchange 2007,然后在“Web客户端邮件服务”选项组中选择“Outlook Web Access”,然后单击“下一步”按钮,如图11-95所示。
第4步,在“发布类型”页中,选择“发布单个网站或负载平衡器”,然后单击“下一步”按钮,如图11-96所示。
clip_p_w_picpath042 clip_p_w_picpath044
图11-95 选择服务 图11-96 发布单个网站或负载平衡器
第5步,在“服务器连接安全”页中选择“使用不安全的连接连接发布的Web服务器或服务器场”然后单击“下一步”按钮。
第6步,在“内部发布详细信息”页中,在“内部站点名称”文本框中键入内部站点的名称,本例中为mail.heuet.com,同时选中下面的“使用计算机名称或IP地址连接到发布的服务器”复选框,在“计算机名称或IP地址”后面的文本框中键入邮件服务器的计算机名称或IP地址,如图11-97所示,然后单击“下一步”按钮。
第7步,在“公共名称细节”页中,在“接受请求”下拉列表中选择“此域名(在以下键入)”,在“公共名称”文本框中键入邮件服务器的域名,本例中为mail.heuet.com,然后单击“下一步”按钮,如图11-98所示。
clip_p_w_picpath046 clip_p_w_picpath048
图11-97 内部站点信息 图11-98 公共名称
第7步,在“选择Web侦听器”页中,选择上文创建的“Web侦听器”,然后单击“下一步”按钮。
第8步,在“身份验证委派”页中的下拉列表中选择“无委派,客户端无法直接进行身份验证”选项,然后单击“下一步”按钮。
第9步,在“用户集”页中直接单击“下一步”按钮,然后在“正在完成新建Exchange 发布规则向导”页中单击“完成”按钮。
第10步,单击“应用”按钮,让设置生效。
11.6.4发布SharePoint站点
在ISA Server 2006中又新增了一个专门用来发布SharePoint站点的功能,下面来介绍如何利用这个功能发布SharePoint站点。
第1步,打开ISA Server 2006控制台,右击“防火墙策略”选项,从出现的菜单中选择“新建”→“SharePoint站点发布规则”命令。
第2步,在“服务器发布规则向导名称”页中键入“SPS”,然后单击“下一步”按钮。
第3步,在“发布类型”页中,选择第一项“发布单个网站或负载平衡器”,如图11-99所示,然后单击“下一步”按钮。
clip_p_w_picpath050
图11-99 选择发布类型
第4步,在“服务器连接安全”页中,选择“使用不安全的连接连接发布的Web服务器或服务器场”选项,如果所建的SharePoint站点使用了SSL安全连接,则选择第一项,然后单击“下一步”按钮。
第5步,在“内部发布详细信息”页中的“内部站点内容”文本框中键入SharePoint站点在内部的名称,本例中为SPS,然后选中“使用计算机名称或IP地址连接到发布的服务器”,在“计算机名称或IP地址”后面的文本框中键入SharePoint站点的IP地址,如图11-100所示。
第6步,在“公共名称细节”页中的“接受请求”下拉列表中选择“此域名(在以下键入)”选项,然后在“公共名称”后面键入SharePoint站点在公网的域名,本例为moss.heuet.com,如图11-101所示。
clip_p_w_picpath052 clip_p_w_picpath054
图11-100 内部发布信息 图11-101 公共名称信息
第7步,在“选择Web侦听器”页中,从“Web侦听器”下拉列表中选择上文创建的Web侦听器。
第8步,在“身份验证委派”页中,选择“无委派,客户端无法直接进行身份验证”选项,。
第9步,在“备用访问映射配置”页中,如果要发布的SharePoint站点已经配置了SharePoint AAM,就选择第一项,如果还没有配置,就选择第二项,如图11-102所示。
第10步,在“用户集”页中直接单击“下一步”按钮,在“正在完成创建SharePoint发布规则向导”页中单击“完成”按钮。
clip_p_w_picpath056
图11-102 备用访问映射配置
第11步,单击“应用”按钮,让设置生效。
11.6.5发布其他服务器
如果想在ISA Server 2006中发布其他服务器,如FTP服务器、Windows Server 2003的终端服务器(RDP)等,可以使用ISA Server 2006中防火墙策略的“非Web服务器协议发布规则”功能来发布这些服务。
在此以发布FTP服务器为例进行讲述,如何发布非Web服务器协议的服务器,具体步骤如下:
第1步,打开ISA Server 2006控制台,右击“防火墙策略”选项,从出现的菜单中选择“新建”→“非Web服务器协议发布规则”命令,如图11-103所示,打开“欢迎使用新建邮件服务器发布规则”页。在“服务器发布规则向导名称”页中键入“发布FTP服务器”,然后单击“下一步”按钮。
第2步,打开“选择服务器”页,如图11-104所示,在服务器IP地址下面的文本框中,键入FTP服务器的IP地址,然后单击“下一步”按钮。
clip_p_w_picpath058 clip_p_w_picpath060
图11-103 发布其他服务器 图11-104 键入IP地址
第3步,在“选择协议”页中的下拉列表框中,选择FTP服务器,如果你发布的是其他服务器,也可以在这个列表中选择相应的协议,如图11-105所示。
第4步,选择完成后,单击“端口”按钮,打开“端口”页,如图11-106所示,在“防火墙端口”选项区域中选择“在此端口而不是默认端口上发布”单选按钮后,就可以改变所发布的服务器所使用的端口了,如在后面的文本框中键入“5021”,如果在此做了修改后,在访问这个FTP服务器时就要键入ISA Server 2006服务器的IP地址:5021来访问了。
clip_p_w_picpath062 clip_p_w_picpath064
图11-105 选择要发布的协议 图11-106 改变协议端口
第5步,在“网络侦听器IP地址”页中选择“外部”,然后单击“下一步”按钮,最后在“正在完成新建服务器发布规则向导”页中单击“完成”按钮。
说明:对于列表中没有的服务,可以在图11-105中单击“新建”按钮创建,这和上文添加QQ协议的方法类似,只不过,所有的服务都是“入站”协议,而访问规则,都是“出站”协议。关于创建协议的操作,在“11.6.7 为Internet用户提供代理服务”一节中介绍了其操作方法。
11.6.6 发布安全Web服务器
安全Web站点是使用起始头为https://进行访问的,而不是通常的http://方式。安全Web站点默认使用TCP的443端口,普通Web站点使用TCP的80端口。在同一个Web服务器上,可以有多个使用TCP的80端口的普通Web站点,但只能有有一个使用TCP的443端口的安全Web站点,如果想在一个Web服务器上提供多个安全Web站点,只能使用TCP的443之外的其他端口。
如果使用普通的防火墙,一个公网的地址(即防火墙外网地址)只能转发一个TCP的443端口到内网的一台服务器上。在ISA Server 2004、ISA Server 2006中,在只有一个公网地址的情况下,利用“主机头名”方法,可以把不同的安全Web站点使用TCP的443端口转发到不同的内网的计算机上。例如,可以把https://www.heuet.com转发到一台内网的计算机上,而把https://cert.heuet.com转发到另一台内网的计算机上。在ISA Server 2004、ISA Server 2006中,还可能通过增加公网地址(即ISA Server外网地址)的方法,转发不同的域名,例如,类似https://www.heuet.com、https://ab.net.cn的域名等。
【说明】这需要在ISA Server上安装“通配符证书”,申请名为*.heuet.com的证书。然后才能转发。以后如果有时间,我会发这方面的文章。
在ISA Server 2004,使用同一个Web侦听器即可以很轻松的转发普通的Web站点(即TCP/IP的80端口)和安全的Web站点(即TCP/IP的443端口),但在ISA Server 2006中,如果在同一个Web站点中,即提供普通Web站点转发,又提供安全的Web站点转发,那只能转发安全的Web站点,而不能提供普通的Web站点转发,这可能是ISA Server 2006的一个bug,也可能是ISA Server 2006为提高安全性而专门这样设置的。
所以,使用ISA Server 2006,在发布安全的Web站点时,和发布FTP服务器一样,只要发布HTTPS服务,到内网的相应计算机上就可以了,如果需要发布多个SSL站点,在外网上,再侦听443之外的端口即可。例如,ISA Server 2006外网地址为202.206.197.186,在172.30.5.11和172.30.5.18的计算机上提供SSL Web站点,则可以创建两条服务器发布规则,其中一条服务器发布规则,发布HTTPS服务,到其中的一台内网服务器,例如172.30.5.11,另一台,也发布HTTPS服务,但修改防火墙侦听端口为其他值(例如444,参考图11-106),发布到另一台服务器,则访问这台服务器时,Internet上的用户需要以https://202.206.197.186:444的方式访问。
11.6.7 为Internet用户提供代理服务
通常情况下,要想做代理服务器,需要有两个独立的到Internet的连接。而使用ISA Server 2004,可以在只有一个“Internet出口”的情况下,为Internet上的其他用户做代理服务器。下面介绍使用ISA Server做代理服务器的方法和步骤。
第1步,在ISA Server的管理控制台中,创建服务器发布规则。
第2步,在“选择服务器”页中,在“服务器IP地址”字段下面键入ISA Server“内部网卡”的IP地址,然后单击“下一步”按钮继续。
第3步,在“选择协议”页中,单击“新建”按钮,在弹出的“欢迎使用新建协议定义向导”页中,在“协议定义名称”字段下面键入“Proxy Server”,然后单击“下一步”按钮继续。
第4步,在“首要连接信息”页中,单击“新建”按钮,在弹出的“新建/编辑协议连接”对话框中,在“协议类型”后面选择“TCP”,在方向”后面选择“入站”,在“端口范围”后面都输入“8080”,如图11-107所示,然后单击“确定”、“下一步”按钮继续,如图11-108所示。
clip_p_w_picpath066 clip_p_w_picpath068
图11-107 新建端口为8080的TCP的入站连接 图11-108 建立中TCP协议、端口号为8080的服务协议
第5步,在“辅助连接”页中,选择“否”,然后单击“下一步”按钮继续,在“正在完成新建协议定义向导”对话框中,单击“完成”按钮。
第6步,返回到“选择协议”页,从“选择的协议”中选择新建的协议“proxy Server”,然后单击“端口”按钮,在弹出的“端口”对话框中,修改“防火墙端口”为其他如“1235”,如图11-109所示,因为“8080”这个端口让大家一看就是代理端口,为了代理服务器的安全,修改为一个其他端口。然后单击“下一步”按钮继续,如图11-110所示。
第7步,在“IP地址”页中,选中“外部 <所有IP地址>”,然后单击“下一步”按钮,服务器发布规则完成,单击“完成”按钮完成。
clip_p_w_picpath070 clip_p_w_picpath072
图11-109 选择新建协议 图11-110 修改代理端口
第8步,然后单击“配置→网络”,双击“内部”,如图11-111所示,在“内部属性”页中进入“Web代理”标签项,确保“启用Web代理客户端”被选中并且“启用HTTP”被选中,同时“HTTP端口”号为“8080”,然后单击“确定”返回,如图11-112所示。
clip_p_w_picpath074 clip_p_w_picpath076
图11-111 修改内部属性 图11-112 启用Web代理
第9步,设置完成后,在ISA Server 2004访问控制台中,单击“应用”按钮后设置生效。至此,代理设置完成。
在需要使用代理的客户机上,例如在IE中,在“工具”菜单中进行“Internet选项”,在“连接”标签项中单击“局域网设置”按钮,在“局域网(LAN)设置”页中,选中“代理服务器”下的“为LAN使用代理服务器……”,并且在“地址”字段后面键入发布的代理服务器的“外网地址”即“202.206.203.195”,“端口”后设置图11-110修改的参数即“1235”,同时选择“对于本地地址不使用代理服务器”,然后单击“确定”、“确定”按钮返回即可,如图11-113所示。
clip_p_w_picpath078
图11-113 代理服务器设置
如果用户是“拨号上网”,则在“连接”标签项中单击第2个“设置”按钮设置代理服务器,其设置方法和步骤和图11-113相同。
如果在其他软件中使用代理,设置方法与此类似,不再介绍。