在我的上一篇博文中( http://newthink.blog.51cto.com/872263/196413 ) 发布的服务器没有任何保护,实际上在裸奔。这一次我们用岳雷老师讲的在单网卡下通过安装一个虚拟的loopback(环回网卡)网卡来实现双网卡(相关部分请查看岳雷老师的力作: 让你的Web服务器不再裸奔:ISA2006系列之十二),从而满足ISA的防火墙安装要求,利用ISA的强大的安全保护来为裸奔的服务器加上一块遮羞布,本篇博文其实是对岳雷老师的“ 让你的Web服务器不再裸奔:ISA2006系列之十二”的一个实例,为一些仅有一台电脑、单网卡而又要发布有安全保护的多个服务的朋友提供一个参考。
一、
目的:在共享上网、单网卡环境下利用花生壳软件和ISA发布WEB+Mail+FTP服务器到Internet,实现网络知识学习大练兵。
二、
网络环境:
三、准备工作
1、安装环回网卡并设置IP及子网掩码。(具体步骤请安照岳雷老师的力作: 让你的Web服务器不再裸奔:ISA2006系列之十二中的方法操作)
安装完后loopback网卡IP设为:10.1.1.250,子网掩码:255.255.255.0,设置后的截图如下:
物理网卡的设置如下:
2、配置好IIS中的FTP服务,WEB服务,以及在WEB服务中工作的winwebmail邮件服务。
FTP使用默认站点,匿名登陆,对根目录完全控制,设置如下图:
在IIS的网站中建一个WEB站点,用来发布一个网站,因WEB服务使用的80端口会和ISA的相冲突,而又准备使用ISA的端口重定向来发布WEB站点,所以这里Web站点服务使用81端口。另外IP地址不用设置,或设为10.1.1.250,一会会在ISA中设置把192.168.0.250:80的请求转发到10.1.1.250:81上来,但高级中的主机头一定不要设置,因为ISA没有把主机头中的域名转发过来,若这里设置了主机头中的域名,会导致站点无法访问,如下图:
另外又建了一个WEB网站叫mail,用来发布winwebmail中的邮件服务,其设置相同,仅TCP端口改为82,如下图:
winwebmail的主目录及权限设置:
winwebmail需要Active Server Pages的支持:
3、安装花生壳软件,并申请几个域名,如下图,域名5151cto.gicp.net用于访问WEB网站用,ffttpp.xicp.net用于访问FTP使用(当然这三个域名都可以访问FTP),mymail.imbbs.in用于访问winwebmail的邮件服务用。
4、
设置路由器中的IP和端口映射及防火墙允许通过。因FTP使用21端口,WEB使用80端口,而我们用的是winwebmail可以通过网页来收发邮件,也是用的80端口,这里不考虑winwebmail客户端使用非网页方式。(比如设置SMTP使用的25端口和POP3使用的110端口。)
在路由器中设置了“虚拟服务器”后,在它的防火墙中自动的允许了虚拟服务器的IP及端口。
准备工作完成。
四、安装ISA2006标准版。
1、单击“安装ISA Server 2006”开始安装。
2、一路点击下一步,直到内部网络设置窗口,单击“添加”按钮。
3、在弹出的对话框中1处单击“添加适配器”,钩选2处的“虚拟网卡”(就是我们添加的LoopBack网卡),它的IP范围自动在下边详细信息中显示,单击3处“确定”后再单击地址窗口的“确定”。
4、这是选择的环回网卡的地址范围,如下图:
5、单击“下一步”,不要钩选“允许不加密的防火墙客户端连接”,再单击“下一步”、“下一步”,直到出现“安装”按钮单击,系统开始安装,等待一会安装完成。
五、
ISA2006的设置。
1.1、
建立允许花生壳登陆规则。在“防火墙策略”右侧的“工具箱”中,选新建→协议,如下图。
1.2、输入协议定义名称“允许花生壳登陆”,单击“下一步”。
1.3、在对话框中单击“新建”按钮,设置TCP,出站,6060到6060端口后,单击确定。
1.4、再次单击“新建”按钮,设置UDP,发送接收,6060到6060端口后,再单击确定按钮,再单击“下一步”(花生壳客户端和服务器端通信主要靠TCP和UDP协议的6060端口,但在获取用户域名列表时还要用到TCP的80端口)。
1.5、是否使用辅助连接,选择“否”,再单击“下一步”然后再单击“完成”按钮,完成新建协议。
1.6、在主界面上单击“应用”按钮,应用刚才建立的新协议。
1.7、应用后稍等一会再单击“确定”按钮。
1.9、对“防火墙”右键单击,选“新建→访问规则”进入规则创建向导。
1.10、在访问规则名称中输入“允许花生壳通过”(当然这个名字可随便输,只要能代表设置的意思就行了),单击“下一步”按钮。
1.11、规则操作选“允许”,再单击“下一步”按钮。
1.12、选择1处“所选的协议”,单击2处的“添加”按钮,在添加协议窗口中,对“用户定义”左侧的加号单击展开,选“允许花生壳登陆”,单击4处的“添加”按钮,然后单击“关闭”,在协议窗口中再单击“下一步”按钮。
1.13、在“访问规则源”单击1处“添加”在“添加网络实体”的“网络”中选2处“本地主机”,单击3处“添加”,再单击4处“关闭”,最后单击5处“下一步”按钮。
1.14、在访问规则目标中单击1处“添加”在“添加网络实体”的“计算机集”中选2处“任何地点”,单击3处“添加”,再单击4处“关闭”,最后单击5处“下一步”按钮。
1.15、用户集,使用默认“所有用户”,单击“下一步”按钮,最后单击“完成”按钮完成访问规则的创建。
1.16、在ISA的主界面中1处单击“应用”应用新建的规则,然后再单击2处“确定”按钮。这时花生壳解析已经生效,但读取域名列表信息失败,它还需要用到TCP的80端口,而我们的网页也要用TCP的80端口,正好,在下面一次性创建允许规则。
2.1、
创建允许WEB页浏览的HTTP协议。同建立上一个规则相同,先新建个访问规则,如下图:
2.2、取一个规则名“允许WEB页浏览”。
2.3、规则操作选“允许”,”,再单击“下一步”按钮。
2.4、允许所选的协议为HTTP,按12345顺序设置,然后进入下一步。
2.5、访问规则源为“本地主机”,按12345顺序设置,然后进入下一步。
2.6、在访问规则目标中设为“任何地点”,按12345顺序设置,然后进入下一步。
2.7、用户集,使用默认“所有用户”,单击“下一步”按钮,最后单击“完成”按钮完成访问规则的创建。
2.8、应用并确定刚建立的规则。
2.9、这时候花生壳可以正常登陆,并获得域名列表信息。
3、新建网站发布规则。
3.1、对“防火墙策略”右键单击,选“新建”中的“网站发布规则”。
3.2、发布规则名称:Web站点发布,单击“下一步”按钮。
3.3、操作规则:允许,单击“下一步”按钮。
3.4、发布类型:发布单个网站或负载平衡器,单击“下一步”按钮。
3.5、服务器连接安全:使用不安全的连接连接发布的WEB服务器或服务器场,单击“下一步”按钮。
3.6、内部站点名称为发布服务器的名称,我们这里是:PDC,下面钩选“使用计算机名称或IP地址连接到发布的服务器”,IP地址输入我们设置的LoopBack网卡的IP:10.1.1.250,然后单击“下一步”按钮。
3.7、内部发布详细信息的路径为:/*,表示发布根目录下的所有内容,然后单击“下一步”按钮。
3.8、公共名称细节中的公用名称输入:5151cto.gicp.net,这是在花生壳中申请的域名,这里设置后ISA只有侦听到这个域名才会允许指定的站点发布。
3.9、选择Web侦听器,这里没有现成的,单击“新建”来新建一个侦听器。
3.10、新建侦听器,取个名子:侦听80,然后单击“下一步”按钮。
3.11、客户端连接安全设置选择“不需要与客户端建立SSL安全连接”,然后单击“下一步”按钮。
3.12、Web侦听器IP地址设置,选择传入Web请求的地址为:外部,也就是连接到局域网的物理网卡。
3.13、身份验证设置为:没有身份验证,然后单击“下一步”,再“下一步”,直到完成侦听器的建立完成。
3.14、建好侦听器后,单击“下一步”按钮。
3.15、身份验证委派设置为:无委派,客户端无法直接进行身份验证,然后单击“下一步”按钮。
3.16、用户集为:所有用户,然后单击“下一步”按钮,再单击下一个窗口中的“结束”按钮,完成Web的发布规则的建立。
3.17、建立好Web站点发布规则后,先不要应用,这里还要设置桥接,把外网来自80口的请求转发到LoopBack网卡的81口上,因为IIS在81口上建了侦听,只有这样才能打开网站。
3.18、对着“Web站点发布”右击选“属性”。
3.19、找到属性窗口中的“桥接”选项卡,在“将请求重定向到HTTP端口”填入:81,然后单击“确定”按钮。
3.20、到ISA的主界面后单击“应用”按钮应用,然后再单击“确定”完成应用。
3.21、WEB网站已经发布成功,在其它电脑的IE中输入5151cto.gicp.net,已经能正常访问发布的网站。
4、
发布WinWebMail的邮件服务器。
4.1、虽然是邮件服务器,但它使用的是HTTP来工作的,所以也只需要新建一个网站发布规则来发布这个WinWebMail就行了,而刚才我们已经发布了一个网站,所以把这个“Web站点发布”复制一个,再修改一下就行了。说干就干,先复制粘贴一个“Web站点发布”规则,如下图:
4.2、对复制的规则右击选“属性”。
4.3、把“常规”选项卡中的名称改为:WinWebMail发布。
4.4、单击“公共名称”选项卡,选择1处域名,单击2处编辑,在3处填入为WinWebMail准备的域名:mymail.imbbs.in,单击4处“确定”。
4.5、在“桥接”选项卡中把“将请求重定向到HTTP端口”填入:82,再单击2处确定关闭属性。
4.6、在ISA的主界面,单击1处“应用”应用此规则,然后再单击“确定”完成应用。
4.7、WinWebMail发布完成,在其它电脑上测试一下,成功!如下图:
5、
发布FTP服务器。
5.1、在“防火墙策略”上右击选“新建”中的“非Web服务器协议发布规则”,来建一个FTP服务发布规则。
5.2、名称就叫:FTP发布,然后单击“下一步”按钮。
5.3、服务器IP地址为LoopBack网卡的IP:10.1.1.250,然后单击“下一步”按钮。
5.4、在选择协议中选择“FTP服务器”,然后单击“下一步”按钮。
5.5、在“侦听来自这些网络的请求”选“外部”,然后单击“下一步”按钮,直到结束。
5.6、完成FTP的发布规则后,在ISA的主界面,单击“应用”按钮应用,再单击“确定”完成应用。这时FTP服务器已经发布成功,但即使你对FTP的用户设置了所有权限,现在登陆FTP服务器也只能读,因为ISA默认的FTP协议是只读的,我们还要关闭对ISA的只读。
5.7、现在来关闭对FTP的只读:对“FTP发布”右击选“配置FTP”。
5.8、去掉弹出的“配置FTP协议策略”窗口中“只读”的钩,再单击“确定”完成设置,最后回到ISA的主界面单击“应用”按钮应用,再单击“确定”完成设置。
5.9、FTP服务发布成功,在其它能上网电脑的浏览器中输入为FTP准备的域名: FTP://ffttpp.xicp.net(当然用另外两个为WEB准备的域名也能通,但不要忘了域名前的协议是FTP),可以正常登陆,使用的是匿名用户,在里面建一个“新建一个文件夹一个证明可写”,为证明已经可以写了。(
注:在刚才我们配置的ISA服务器上是不能测试的,因为ISA防火墙里没有建立一个允许FTP的21端口通过的规则,所以只有在其它电脑上测试,当然我们也可以建立一个允许FTP通过的规则后再到服务器上测试)
所有的服务都已发布成功,对ISA做最后一个截图,留一个全家福。