熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

在托管主機單網卡環境下進行web發布(二)

2022-06-13   來源: Windows服務器 

  創建Web和Server發布規則
  為了能讓遠程用戶訪問ISA 防火牆上的服務我們必須使用Web/Server發布規則Web發布規則用來發布Web協議(HTTPHTTPS(SSL))Web協議沒有嚴格定義你也可以使用Web發布規則發布downloadonly FTP站點所有其他的服務必須使用Server發布規則Web和Server發布規則體現了ISA 防火牆連接的復雜的應用層檢測機制
  
  我們將創建個Web發布規則和個Server發布規則Web發布規則用來允許遠程連接至ISA 防火牆主機上的Web服務器Server發布規則用來允許外部連接至SMTP和FTP服務
  
  在下面的例子中Web發布規則允許我們連接至使用ISA 防火牆外部IP地址的Web站點但是我要著重提醒你不應該使用他的公共名字來發布站點如果你這樣做用戶將能使用IP地址訪問被發布的Web站點而不是用你站點的FQDN來訪問允許訪問你站點的IP地址可能存在被蠕蟲和匿名掃描攻擊的危害事實上我建議你不要將站點發布到可訪問的IP地址上但是我也不想對於如何部署DNS或者HOSTS文件項的安全解決方案做詳細說明了相關文章在站點上已經有了
  
  執行以下步驟創建Web發布規則
  
  ISA 控制台展開服務器名>Firewall Policy
  
  Publish a Web Server link
  
  New Web Publishing Rule Wizard輸入Web Server名字
  
  Select Rule Action>Allow option
  
  Define Website to Publish輸入Web Server監聽器IP地址這裡Web服務器在上監聽因此輸入這個值在Path text裡輸入/* >Next
  
  
 educitycn/img_///gif >

  
  Public Name Details選擇This domain name(type below)輸入ISA 防火牆外部IP地址注意這裡使用的IP地址僅作示范我建議你不要發布公開的用IP地址就可以訪問的WEB站點在Path(optional)輸入/*
  
  
 educitycn/img_///gif >

  
  Web Listener選擇一個Web監聽器如果沒有Web監聽器需要創建一個此例中我們不需要創建任何Web監聽器如要創建單擊New
  
  Welcome to the New Web Listener Wizard輸入HTTP監聽器 >Next
  
  IP Addresses勾選External這樣ISA 防火牆就允許外部訪問請求到綁定在外部接口所有IP地址上的Web監聽器 >Next
  
  Port Specification接受默認設置選擇Enable HTTPHTTP端口為
  
  New Web Listener Wizard >Finish
  
  Select Web Listener >Next注意我們創建的Web監聽器出現在Web listener下拉列表裡了
  
  
 educitycn/img_///gif >

  
  User Sets選擇默認項All Users >Next
  
  Finish
  
  Apply
  
  OK >Apply New Configuration
  
  以下步驟創建SMTP服務器發布規則
  
  ISA控制台Firewall Policy
  
  Create a New Server Publishing Rule link
  
  輸入SMTP Server的名字
  
  Select Server輸入被監聽的SMTP服務的IP地址此例中為
  
  Select Protocol選擇SMTP Server
  
  
 educitycn/img_///gif >

  
  IP Addresses勾選External
  
  Finish
  
  最後進行FTP服務器發布規則
  
  ISA控制台Firewall Policy
  
  Create a New Server Publishing Rule link
  
  輸入FTP Server的名字
  
  Select Server輸入被監聽的SMTP服務的IP地址此例中為
  
  Select Protocol選擇FTP Server
  
  
 educitycn/img_///gif >

  
  IP Addresses勾選External
  
  Finish
  
  Apply
  
  OK
  
  創建允許從本地主機網絡到外部網絡的SMTP外出訪問規則
  此例中配置的SMTP服務允許驗證用戶從本地中繼到其他的email域上ISA 防火牆必須配置為允許從本地主機網絡訪問到外部網絡以便防火牆能轉發SMTP消息到Internet上的SMTP服務器上注意這裡是不允許匿名的SMTP中繼匿名的SMTP中繼會使垃圾郵件通過你的SMTP服務器發送出去從而導致額外的網絡帶寬和開銷更糟的是可能被反垃圾郵件聯盟列上黑名單
  
  執行以下步驟創建SMTP外出訪問規則
  
  ISA控制台Firewall Policy >Create New Access Rule link
  
  在Access Rule裡輸入外出的SMTP >Next
  
  選擇Allow >Next
  
  選擇Selected protocols >Add
  
  選擇SMTP協議 >Close
  
   >Next
  
  
 educitycn/img_///gif >

  
  >Add
  
  選擇Local Host network >Close
  
  >Next
  
  >Add
  
  選擇External network >Close
  
  >Next
  
  接受默認項All Users >Next
  
  >Finish
  
  >Apply
  
  >OK
  
  測試配置
  現在我們來測試配置第一步使用Outlook Express發送郵件到ISA 防火牆上的SMTP服務器OE配置成使用SMTP服務器驗證使用ISA主機默認的管理員帳號在實際環境中你需要在ISA防火牆主機上創建用戶帳號以便外部用戶能用這個帳號通過防火牆中繼郵件
  
  我將發送一個email到我的Hotmail帳號上當郵件發送時我們可以在ISA防火牆的時實日志查看器上看到以下的信息紅線框出的表示從Outlook客戶端到ISA防火牆的進入連接注意這個連接是SMTP服務器規則允許的藍線框出的表示外出SMTP連接這個連接是外出SMTP規則允許的圖上的最後一項反映的是DNS查詢ISA 防火牆沒有發現Hotmail站點的MX記錄信息這有可能發生在郵件發送出去以前但日志記錄表示是發生在郵件發送出去的同時因為DNS查詢響應是很快的
  
  
 educitycn/img_///gif >

  
  當我們去Hotmail站點收取這個郵件時郵件信息顯示received by ISALOCAL from xpprosp然後服務器從ISALOCAL接受了這個郵件注意ISALOCAL列出的IP地址確實是路由器外部接口上的IP地址而不是ISALOCAL主機自己的IP地址
  
  Received from ISALOCAL ([]) by with Microsoft SMTPSVC( Tue Jul
  
  Received from xpprosp ([]) by ISALOCAL with Microsoft SMTPSVC( Tue Jul
  
  XMessageInfo JGTYoYFjHHLXRIFBtsCYFX+PLrD
  
  MessageID <c$ca$ac>
  
  XMSMailPriority Normal
  
  XMailer Microsoft Outlook Express
  
  XMimeOLE Produced By Microsoft MimeOLE V
  
  ReturnPath
  
  XOriginalArrivalTime Jul (UTC) FILETIME=[CBCDC]
  
  現在來測試FTP站點的功能在ISA防火牆主機的FTPROOT目錄中放入些文件從外部客戶機上打開命令行輸入ftp 輸入administrator和管理員密碼輸入dir你會看到文件列表使用GET命令來下載文件PUT命令上傳文件
  
  
 educitycn/img_///gif >

  
  讓我們試一下PUT命令我們上傳客戶機根目錄上bootini文件圖例顯示了命令序列注意出現了拒絕訪問信息這是怎麼回事?
  
  
 educitycn/img_///gif >

  
  答案是ISA 是防火牆而不是簡單的包過濾或者NAT服務器默認設置是安全設置是只允許FTP下載的而上傳到FTP站點將使服務器處於極大的安全威脅當中我們必須修改FTP服務器發布規則來允許FTP的上傳
  
  執行以下步驟做需要的修改
  
  ISA控制台Firewall Policy >右擊FTP Server Publishing Rule>Configure FTP
  
  
 educitycn/img_///gif >

  
  取消Readonly項 >Apply>OK
  
  
 educitycn/img_///gif >

  
  >Apply
  
  >OK
  
  現在我們先登出FTP站點再登錄進去輸入PUT命令看到以下信息
  
  
educitycn/img_///gif >

  
  最後的測試是在外部客戶機上使用WEB浏覽器輸入將會看到默認的WEB站點
  

From:http://tw.wingwit.com/Article/os/fwq/201311/10244.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.