路由的关联性: 总公司及分公司 NAT的关联性: 公司网络到DMZ 公司网络到Internet DMZ到Internet -->见下图:
Web服务器发布: Web发布规则: ISA Server将拦截对Web服务器上的(HTTP)对象的传入请求 请求被转发到位于ISA Server后面的Web服务器 ISA Server将代表Web服务器进行响应 如果可能,将从ISA服务器缓存中提供所请求的对象 Web发布规则本质上是将传入请求与相应的Web服务器匹配 Web发布规则还使您可以配置高级筛选功能,从而既发布基于Web的信息,又防止其受到恶意的访问
我现在来到一台计算机名称叫做Florence的计算机 它是第一台ISA Server 2004服务器并且它也是配置存储服务器 首先我来配置一下网络 打开ISA服务器管理--展开阵列--配置--按网络--在任务选项的网络任务里面按创建一个新的网络 网络名就叫做DMZ吧 接着下一步
在网络类型里面选择外围网络 它提示外围网络通常包含发布到Internet的服务器.它通常不象内部网络那样受到信任 为什么呢? 因为它经常会受到Internet的一些访问 所以我们一般都把一些重要的服务器放到DMZ区里面 接着下一步
在网络地址的地址范围里面按添加适配器--把DMZ那一块网卡沟上--可以看到IP地址是23.1.1.1 路由信息: 23.1.1.0-23.1.1.255 23.255.255.255-23.255.255.255 按确定 接着下一步
这是最后一步了 按完成就ok了
注意: 记得按一下应用 我们刚才创建的新网络才会生效的
接下来我来定义一下网络与网络之间的关系 按网络--按网络规则--在任务选项的网络规则任务里面按创建网络规则 网络规则名称就叫做DMZ->Internet吧 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--按我刚才创建的DMZ区网络--按添加--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按外部--按添加--按关闭 源是DMZ目标是外部 也就是说从DMZ到Internet之间是什么样的关系 接着下一步
在网络关系里面选择网络地址转换(NAT) 它提示ISA服务器隐藏源中的计算机,这通过在传出的通讯中将它们的网络IP地址替换为它自己的外部IP地址来完成 所以说NAT和路由的关系是完全不一样的
这是最后一步了 按完成就ok了
我再来创建一条网络规则 按网络--按网络规则--在任务选项的网络规则任务里面按创建网络规则 我来定义一下从DMZ到Intranet(内部网络)是什么样的关系 网络规则名称就叫做DMZ->Intranet吧 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--按DMZ--按添加--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按内部--按添加--按关闭 接着下一步
在网络关系里面选择路由 接着下一步
这是最后一步了 按完成就ok了 注意: 还记得按一下应用才能对刚才创建的两条网络规则生效
我现在来到一台计算机名称叫做perth的计算机 它是一台Web服务器 它现在是处于外围网络当中也就是说它现在是在DMZ区里面 它的IP地址是 23.1.1.6 首先我来确认一下它本身的网站能够访问 打开IE浏览器--在地址里面输入 http://perth/ 按回车键 看到了吗? 现在已经可以访问了 但是为什么显示为建设中 您想要查看垢站点当前没有默认页呢? 那是因为我没有把网站的内容导入IIS服务器里面
我现在来到Florence这台计算机创建一条阵列访问规则让Florence这台计算机能够访问到Perth那台计算机 按防火墙策略(FLORENCE)--在右边任务选项的阵列策策略任务里面按创建阵列访问规则--访问规则名称就叫做Local To All吧 接着下一步 因为现在它们之间的关系是路由关系 所以不用做发布 只要创建一条阵列访问规则允许它们能够访问就ok了 如果它们之间是NAT关系的话就需要做发布了
在符合规则条件时要执行的操作里面选择允许 接着下一步
在此规则应用到里面选择所选的协议--按添加--展开通用协议--把HTTP HTTPS Ping这三种协议都添加在协议里面 按关闭 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--按本地主机--按添加--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--把DMZ 内部 外部都添加在里面--按关闭--接着下一步
这一步就保留默认值(所有用户)吧 接着下一步
这是最后一步了 按完成就ok了
注意: 最后还需要按一下应用才能对我刚才创建的阵列访问规则生效
我现在来测试一下ISA服务器是否能够访问到外围网络中的那台Perth服务器 打开IE浏览器--在地址里面输入 http://perth 按回车键 看到了吗? 现在已经可以访问到Perth(Web)服务器了 但是为什么显示为建设中 您想要查看垢站点当前没有默认页呢? 那是因为我没有把网站的内容导入那台Perth计算机的IIS服务器里面 如果你发现这个时候不能访问到DMZ区里面的那台Perth服务器的话 这个问题应该是名称解析的问题 最可能的原因就是你还没有在ISA服务器上对hosts文件进行修改 你只要把23.1.1.6 perth添加在里面 按保存就ok了 其实第二步的测试就已经成功了 接下来我们就可以把外围网络的服务器做一下发布了
我现在来发布一个Web服务器 按防火墙策略(FLORENCE)--在任务选项的阵列策略任务里面按发布一个Web服务器--Web发布规则名称就叫做Publish Web(Perth)吧 接着下一步
在符合规则条件时要执行的操作里面选择允许 接着下一步
在计算机名称或IP地址里面输入perth 可以看到站点里面自动生成 http://perth/ 了 接着下一步
此时在那一个公共域名进行侦听呢? 比如在公共名称里面输入 www.yejunsheng.com 这个DNS域名我在外部网络的那台Istanbul计算机上已经配置过了 接着下一步
在Web侦听器里面按新建--Web侦听器名称就叫做Web 80吧 接着下一步
在侦听来自这些网络的请求里面把外部沟上 接着下一步
这一步就保留默认值(沟上启用HTTP)吧 接着下一步
这是最后一步了 按完成 这样我就创建一个侦听器了 接着下一步
如果在此规则应用于来自下列用户集的请求里面选择所有的用户的话 ISA 服务器本身是不会对Internet用户的请求做任何身份验证的 它会直接把数据包传给后面的用于发布的服务器 让发布的服务器自己来去做验证 如果你希望ISA服务器在前面先做一次验证再交给后端被发布的服务器再做一个验证的话 这个时候我们就不应该选择所有用户了而应该删除所有用户选择添加--把所有通过身份验证的用户添加在里面 这样的话ISA服务器可以在这边直接做一个身份验证 这有什么好处呢? 只要ISA服务器验证失败了 那么这个请求就不会传递给后面的被发布的Web服务器了 这里我就不做修改了 保留默认值(所有用户) 接着下一步
这是最后一步了 按完成就ok了 注意: 记得按一下应用才能对刚才发布Web服务器进行生效 这样就把位于Perth上面的Web服务器发布了
我现在来到一台计算机名称叫做istanbul的计算机 它是Internet的一台客户端 打开IE浏览器--在地址里面输入 http://www.yejunsheng.com 按回车键 看到了吗? 现在已经可以访问到位于Perth那台计算机上的Web服务器网站了 但是为什么显示为建设中 您想要查看垢站点当前没有默认页呢? 那是因为我没有把网站的内容导入位于Perth那台计算机的IIS服务器的网站里面 怎么样确认istanbul这台计算机是不是真的打开ISA服务器发布的Web服务器的网站呢? 此时就需要在ISA服务器上验证了
我现在来到ISA服务器这台计算机 打开命令提示符--在里面输入netstat -na | find "80"按回车键 看到了吗? 现在可以看到ISA服务器的内部网卡IP地址 外围网卡IP地址 外部网卡IP地址 并且可以看到ISA服务器的外围网卡通过1322端口和Perth那台Web服务器的80端口建立连接了 ISA服务器的外部网卡使用80端口和istanbul那台Internet客户端的1076端口建立连接了
如果ISA服务器本机有IIS服务器的网站怎么办呢? 有二个方法可以解决: 第一个方法是直接在ISA服务器的IIS的默认网站的属性里面把它的侦听端口更换掉 TCP端口80改成81端口就可以了 它是最容易的一种方法 第二种方法就是使用httpcfg.exe set iplisten -i 10.1.1.1(ISA服务器的内部网卡IP地址) 表示让ISA服务器的Web在10.1.1.1的80端口侦听
我现在来到ISA服务器这台计算机 打开Internet信息服务(IIS)管理器--展开FLORENCE(本地计算机)--网站--对着默认网站右键--选择属性--把TCP端口80修改成81 按确定 这种方法是最简单最容易的方法了 然后就可以去发布ISA服务器本地的IIS网站了
打开命令提示符输入netstat -na | find "8" 按回车键 看到了吗? 它现在是在81端口进行侦听了 此时就不会跟ISA服务器的外部网卡(39.1.1.1)的80端口有冲突了 我现在去发布一下ISA服务器本地的站点 按发布一个Web服务器--Web发布规则名称就叫做Publish Web(Florence)吧 接着下一步
在符合规则条件时要执行的操作里面选择允许 接着下一步
在计算机名称或IP地址里面输入10.1.1.1(ISA服务器内部网卡的IP地址) 接着下一步
在公共名称里面输入同一个域名( www.yejunsheng.com ) 路径我们可以指定一个 比如说叫做test吧 就是说如果有客户端去访问 www.yejunsheng.com/test 的时候 我就把它转到10.1.1.1的81端口 也就是说我把 www.yejunsheng.com 发布到位于外围网络中的Perth那台计算机里面而/test我把它重定向到ISA服务器本地的那个网站里面 这是可以实现的 接着下一步
在Web侦听器里面选择以前创建的Web 80表示共用同一个侦听器 既然这些发布规则是共用同一个侦听器 因此它们来区分来自于Internet请求的话是完全地依赖于公公共名称加路径的
这是最后一步了 按完成就ok了
注意: 还需要把刚才创建的Publish Web(Florence)Web服务器发布规则的端口修改一下 对着Publish Web(Florence)右键--选择属性--按桥接--把将请求重定向到HTTP端口的80修改成81 按确定 还需要注意的一点是Publish Web(Florence)这条防火墙策略规则必须放在顺序的第一位 因为Publish Web(Perth)这条防火墙策略规则的公共名称是 www.yejunsheng.com 路径是/* 它是包括Publish Web(Florence)这条防火墙策略规则路径的 如果把Publish Web(Perth)这条防火墙策略规则放在第一位的话 它就优先处理了 换句话说客户端访问 www.yejunsheng.com/test 的时候 这个请求就会转发给Perth那台计算机了 而不是ISA服务器本地了 所以我们必须把Publish Web(Florence)这条Web服务器发布规则设置在顺序的第一位 因为它里面所包括的路径 www.yejunsheng.com/test 是Publish Web(Perth)这条防火墙策略规则公共名称( www.yejunsheng.com )的一个子集 所以说它应该是排在上面的 如果公共名称不一样的话 Web服务器发布规则放在前后都没问题了 记得按一下应用才能对我刚才创建的Web服务器规则进行生效
我现在来到istanbul这台计算机 它是一台Internet客户端 打开IE浏览器--在地址里面输入 http://www.yejunsheng.com/test 按回车键 看到了吗? 现在已经可以访问到ISA服务器本机发布的IIS网站了 但是为什么显示为建设中 您想要查看垢站点当前没有默认页呢? 那是因为我没有把网站的内容导入位于ISA服务器的IIS默认网站里面
如果现在不换TCP端口就用80端口的话 怎么办呢? 第一步: 我现在把ISA服务器的IIS里面的默认网站属性的TCP端口改成80 按确定 第二步: 让ISA服务器不要在0.0.0.0 80上去侦听 而是在10.1.1.1的80端口进行侦听 这样就可以防止冲突了 打开命令提示符--输入cd \按回车键--输入cd "Program Files"按回车键--输入cd "Support Tools"按回车键--输入httpcfg.exe set iplisten -i 10.1.1.1按回车键 表示让ISA服务器的Web在10.1.1.1的80端口上侦听 注意: 这个时候必须把ISA服务器重新启动一下才会生效的 重启以后你会发现原来写着0.0.0.0 80上侦听 现在就写着10.1.1.1 80上侦听了 39.1.1.1 80是给侦听器用的 而10.1.1.1 80是给IIS网站用的了 这样就没有冲突了 然后我们把ISA服务器的IIS网站发布出去就不用修改TCP端口了 直接使用80端口就可以了 如果你设定成功了 可以使用httpcfg query iplisten这个命令来查看一下 重启之后可以使用netstat -na | find "80"这个命令来查看一下 你会发现它不会在0.0.0.0 80侦听了 而是在10.1.1.1 80上侦听了
打开命令提示符--输入netstat -na | find "80"按回车键 看到了吗? 以前的TCP 0.0.0.0:80已经变成10.1.1.1:80了
如果你想在ISA服务器上把一台位于网部网络中的Exchange服务器发布出去让Internet客户端能够访问到 此时就需要在ISA服务器上创建新的服务器发布规则了
我现在来到ISA服务器这台计算机 按防火墙策略(FLORENCE)--在任务选项的阵列策略任务里面按创建新的服务器发布规则--服务器发布规则名称就叫做Publish RDP(Denver) 接着下一步
因为我那台计算机名称叫做Denver的Exchange服务器的IP地址是10.1.1.6 所以我在服务器IP地址里面输入10.1.1.6 接着下一步
在选择的协议里面选择RDP(终端服务)服务器 接着下一步
在侦听来自这些网络的请求里面把外部沟上 接着下一步
这是最后一步了 按完成就ok了 注意: 记得在ISA服务器管理里面按一下应用 这样就把Denver上的3389端口发布到ISA服务器外部网卡的3389端口上了
我现在来到istanbul这台计算机 它是一台Internet客户端 通过开始--程序--附件--通讯--按远程桌面连接--在计算机里面输入39.1.1.1:3389(ISA服务器外部网卡IP地址和它的3389端口)--按连接 注意: 首先要确认计算机名称叫做Denver的Exchange服务器的启用这台计算机上的远程桌面功能是沟上的
注意: 此时是输入的用户名(Administrator)和密码是计算机名称叫做Denver那台Exchange服务器的用户名和密码 按确定
服务器发布和Web发布的区别是它可以直接显示初始客户端的那个IP地址 而Web发布显示的是ISA服务器的IP地址 打开命令提示符--输入netstat -na | find "3389"按回车键 看到了吧? 里面显示的是Internet客户端的那个IP地址(39.1.1.8) 但是我们可以修改一下让Internet客户端的IP地址显示出来的就是ISA服务器的IP地址
我现在来到ISA服务器这台计算机 对着Publish RDP(Denver)这条服务器发布规则右键--选择属性--按到那一项--选择使请求显示为来自ISA服务器计算机 按确定 注意: 记得在ISA服务器管理器里面按一下应用
我再次在istanbul这台计算机通过远程桌面连接到Denver那台计算机上 打开命令提示符--在里面输入netstat -na |find "3389"按回车键 看到了吗? 以前显示为39.1.1.8那个Internet客户端的IP地址已经变成ISA服务器内部网卡的IP地址(10.1.1.1)了 不再是外部客户端初始的那个IP地址了