創建Web和Server發布規則 為了能讓遠程用戶訪問ISA
防火牆上的服務
我們必須使用Web/Server發布規則
Web發布規則用來發布Web協議(HTTP
HTTPS(SSL))
Web協議沒有嚴格定義
你也可以使用Web發布規則發布download
only FTP站點
所有其他的服務必須使用Server發布規則
Web和Server發布規則體現了ISA
防火牆連接的復雜的應用層檢測機制
我們將創建
個Web發布規則和
個Server發布規則
Web發布規則用來允許遠程連接至ISA
防火牆主機上的Web服務器
Server發布規則用來允許外部連接至SMTP和FTP服務
在下面的例子中
Web發布規則允許我們連接至使用ISA
防火牆外部IP地址的Web站點
但是我要著重提醒你
不應該使用他的
公共
名字來發布站點
如果你這樣做
用戶將能使用IP地址訪問被發布的Web站點
而不是用你站點的FQDN來訪問
允許訪問你站點的IP地址可能存在被蠕蟲和匿名掃描攻擊的危害
事實上我建議你不要將站點發布到可訪問的IP地址上
但是我也不想對於如何部署DNS或者HOSTS文件項的安全解決方案做詳細說明了
相關文章在站點上已經有了
執行以下步驟創建Web發布規則
ISA
控制台
展開服務器名
>Firewall Policy
Publish a Web Server link
New Web Publishing Rule Wizard
輸入Web Server名字
Select Rule Action
>Allow option
Define Website to Publish
輸入Web Server監聽器IP地址
這裡Web服務器在
上監聽
因此輸入這個值
在Path text裡輸入
/*
>Next
educitycn/img_///gif > Public Name Details
選擇
This domain name(type below)
輸入ISA
防火牆外部IP地址
注意
這裡使用的IP地址僅作示范
我建議你不要發布公開的用IP地址就可以訪問的WEB站點
在Path(optional)輸入
/*
educitycn/img_///gif > Web Listener
選擇一個Web監聽器
如果沒有Web監聽器需要創建一個
此例中我們不需要創建任何Web監聽器
如要創建單擊New
Welcome to the New Web Listener Wizard
輸入HTTP監聽器
>Next
IP Addresses
勾選External
這樣ISA
防火牆就允許外部訪問請求到綁定在外部接口所有IP地址上的Web監聽器
>Next
Port Specification
接受默認設置
選擇Enable HTTP
HTTP端口為
New Web Listener Wizard
>Finish
Select Web Listener
>Next
注意
我們創建的Web監聽器出現在Web listener下拉列表裡了
educitycn/img_///gif > User Sets
選擇默認項All Users
>Next
Finish
Apply
OK
>Apply New Configuration
以下步驟創建SMTP服務器發布規則
ISA
控制台
Firewall Policy
Create a New Server Publishing Rule link
輸入SMTP Server的名字
Select Server
輸入被監聽的SMTP服務的IP地址
此例中為
Select Protocol
選擇SMTP Server
educitycn/img_///gif > IP Addresses
勾選External
Finish
最後進行FTP服務器發布規則
ISA
控制台
Firewall Policy
Create a New Server Publishing Rule link
輸入FTP Server的名字
Select Server
輸入被監聽的SMTP服務的IP地址
此例中為
Select Protocol
選擇FTP Server
educitycn/img_///gif > IP Addresses
勾選External
Finish
Apply
OK
創建允許從本地主機網絡到外部網絡的SMTP外出訪問規則 此例中配置的SMTP服務允許驗證用戶從本地中繼到其他的e
mail域上
ISA
防火牆必須配置為允許從本地主機網絡訪問到外部網絡
以便防火牆能轉發SMTP消息到Internet上的SMTP服務器上
注意
這裡是不允許匿名的SMTP中繼
匿名的SMTP中繼會使垃圾郵件通過你的SMTP服務器發送出去
從而導致額外的網絡帶寬和開銷
更糟的是可能被反垃圾郵件聯盟列上黑名單
執行以下步驟創建SMTP外出訪問規則
ISA
控制台
Firewall Policy
>Create New Access Rule link
在Access Rule裡輸入外出的SMTP
>Next
選擇Allow
>Next
選擇Selected protocols
>Add
選擇SMTP協議
>Close
>Next
educitycn/img_///gif > >Add
選擇Local Host network
>Close
>Next
>Add
選擇External network
>Close
>Next
接受默認項All Users
>Next
>Finish
>Apply
>OK
測試配置 現在我們來測試配置
第一步
使用Outlook Express發送郵件到ISA
防火牆上的SMTP服務器
OE配置成使用SMTP服務器驗證使用ISA主機默認的管理員帳號
在實際環境中你需要在ISA防火牆主機上創建用戶帳號
以便外部用戶能用這個帳號通過防火牆中繼郵件
我將發送一個e
mail到我的Hotmail帳號上
當郵件發送時我們可以在ISA防火牆的時實日志查看器上看到以下的信息
紅線框出的表示從Outlook客戶端到ISA防火牆的進入連接
注意
這個連接是SMTP服務器規則允許的
藍線框出的表示外出SMTP連接
這個連接是外出SMTP規則允許的
圖上的最後一項反映的是DNS查詢
ISA
防火牆沒有發現Hotmail站點的MX記錄信息
這有可能發生在郵件發送出去以前
但日志記錄表示是發生在郵件發送出去的同時
因為DNS查詢響應是很快的
educitycn/img_///gif > 當我們去Hotmail站點收取這個郵件時
郵件信息顯示received by ISALOCAL from xpprosp
然後服務器從ISALOCAL接受了這個郵件
注意
ISALOCAL列出的IP地址確實是路由器外部接口上的IP地址
而不是ISALOCAL主機自己的IP地址
Received
from ISALOCAL ([
]) by with Microsoft SMTPSVC(
)
Tue
Jul
Received
from xpprosp
([
]) by ISALOCAL with Microsoft SMTPSVC(
)
Tue
Jul
X
Message
Info
JGTYoYF
jHHLX
R
IFBtsCYF
X+PLrD
Message
ID
<
c
$ca
$ac
>
X
MSMail
Priority
Normal
X
Mailer
Microsoft Outlook Express
X
MimeOLE
Produced By Microsoft MimeOLE V
Return
Path
X
OriginalArrivalTime
Jul
(UTC) FILETIME=[CB
CD
C
]
現在來測試FTP站點的功能
在ISA防火牆主機的FTPROOT目錄中放入些文件
從外部客戶機上打開命令行
輸入ftp
輸入administrator和管理員密碼
輸入dir
你會看到文件列表
使用GET命令來下載文件
PUT命令上傳文件
educitycn/img_///gif > 讓我們試一下PUT命令
我們上傳客戶機根目錄上boot
ini文件
圖例顯示了命令序列
注意
出現了
拒絕訪問信息
這是怎麼回事?
educitycn/img_///gif > 答案是
ISA
是防火牆
而不是簡單的包過濾或者NAT服務器
默認設置是安全設置
是只允許FTP下載的
而上傳到FTP站點將使服務器處於極大的安全威脅當中
我們必須修改FTP服務器發布規則來允許FTP的上傳
執行以下步驟做需要的修改
ISA
控制台
Firewall Policy
>右擊FTP Server Publishing Rule
>Configure FTP
educitycn/img_///gif > 取消Read
only項
>Apply
>OK
educitycn/img_///gif > >Apply
>OK
現在我們先登出FTP站點再登錄進去
輸入PUT命令
看到以下信息
educitycn/img_///gif > 最後的測試是在外部客戶機上使用WEB浏覽器
輸入
將會看到默認的WEB站點
From:http://tw.wingwit.com/Article/os/fwq/201311/10244.html
