ISA Server 自测题 v2.0（发布常见问题）

 

本常见问题解答 (FAQ) 文档提供有关以下问题的答案：通过 Microsoft® Internet Security and Acceleration (ISA) Server 发布网站和内部资源。

如何在我发布的 Web 站点上提供身份验证？

ISA Server 仅在 IIS WWW 服务本身支持基本访问和匿名访问。如果您希望启用其他身份验证模式，则需要针对 ISA Server Web 侦听器配置这些模式。在默认情况下，在安装 ISA Server 之后，集成和匿名身份验证方法处于启用状态。

如何在外部接口上的自定义端口上侦听传入的 HTTP 请求？

您可以更改针对传入的 Web 侦听器配置的端口。在 ISA Management 中，右键单击 ISA Server 计算机或阵列的名称，然后单击 Properties。在 Incoming Web Requests 选项卡中，在 TCP Port 中指定要 Web 侦听器用于传入的 HTTP 请求的端口。

我的 Web 发布规则允许传入的请求进入内部 Web 服务器。如何才能确保记录传入请求的实际 IP 地址并且该地址不是 ISA Server 计算机的专用 IP 地址？

要获得原始的请求 IP 地址，请使用服务器发布规则，而不要使用 Web 发布规则。使用服务器发布规则，可以记录请求主机的原始 IP 地址。在 Web 发布中，当“Web 代理”服务将请求转发到发布服务器时，主机头中的源 IP 地址就会更改为 ISA Server 内部接口的 IP 地址。因此，您无法记录发出请求的主机的 IP 地址。

为什么无法从内部客户机进行 FTP 上载？

对于需要向外部 FTP 站点进行上载的内部客户端，必须将客户机配置为 SecureNAT 客户端或 Firewall 客户端，原因在于“Web 代理”客户端不能进行 FTP 上载。对于这些客户端，您应当启用“FTP 访问筛选器”，并为要允许的预定义的 FTP 协议创建一个“允许”协议规则。请注意，可通过将客户机的默认网关设置为 ISA Server 计算机的内部 IP 地址来配置 SecureNAT 客户端。

在什么时候必须使用数据包筛选器，而不使用策略规则？

某些配置需要使用数据包筛选器。在以下情况下，您必须使用数据包筛选器：

• 您发布位于外围网络 (DMZ) 中的服务器并且希望外部客户端能够访问它们。
• 您在 ISA Server 计算机上运行一些需要侦听 Internet 的应用程序或其他服务。
• 您希望允许访问不基于 TCP 或 UDP 的协议。您可以只为 TCP 和 UDP 协议创建要用于策略规则的协议定义。为了访问其他协议，您需要创建一个“允许”数据包筛选器以打开该协议所需的端口。

ISA Server 按照什么顺序来确定传入请求规则的优先级？

当 ISA Server 处理来自外部客户端的请求时，它检查 IP 数据包筛选器、发布规则和路由规则，从而确定是否允许该请求通过以及该请求应当由哪个内部服务器提供服务。对于传入的 Web 请求，按如下顺序处理规则：

• IP 数据包筛选器
• Web 发布规则
• 路由规则

如何设置通过 ISA Server 到内部计算机的终端服务器连接？

有关指导信息，请参阅 Microsoft 知识库文章 294720。

SSL 隧道和 SSL 桥接有何区别？

“安全套接字层”(SSL) 桥接是指 ISA Server 能够对客户端的 HTTPS 请求进行加密或解密，并将这些请求传递到目标 Web 服务器。

SSL 隧道允许 ISA Server 客户端建立一条隧道，该隧道透过 ISA Server 计算机直接连接到具有所请求 HTTPS 对象的 Web 服务器。在 ISA Server 计算机上不进行任何 SSL 处理。

何时使用 SSL 隧道？

当内部客户端浏览器通过 ISA Server 计算机，在端口 8080 上使用 HTTPS 请求对象时，使用 SSL 隧道。客户端发出请求后，ISA Server 将请求转发到 SSL 端口 443 上的目标 Web 服务器。ISA Server 将 连接建立 消息返回给客户端，自此，客户端直接与 Web 服务器进行通讯。

何时使用 SSL 桥接？

在默认情况下，当内部客户端使用 HTTPS 从 Internet 上的服务器请求对象时，ISA Server 使用 SSL 隧道来建立连接。但是，对于支持直接与 ISA Server 计算机进行安全通讯的客户端，则可以将路由规则配置为启用 SSL 桥接，如下所示：

• 以 SSL 形式转发 HTTP 请求：当客户端请求某个 HTTP 对象时，ISA Server 加密该请求并将它转发到 Web 服务器。当 Web 服务器返回加密对象时，ISA Server 对该对象进行解密并将它发送到客户端。
• 以 SSL 形式转发 SSL 请求：当客户端请求某个 SSL 对象时，ISA Server 对该请求进行解密，然后重新加密它并将它转发到 Web 服务器。当 Web 服务器返回加密对象时，ISA Server 对它进行解密并将它发送到客户端。
• 以 HTTP 形式转发 SSL 请求：当客户端请求某个 SSL 对象时，ISA Server 对该请求进行解密并将它转发到 Web 服务器。当 Web 服务器返回 HTTP 对象时，ISA Server 对该对象进行加密并将它发送到客户端。

对于传出的客户端请求使用 SSL 桥接（而非 SSL 隧道）可提高安全性。ISA Server 计算机截取客户端请求，客户端不与外部 Web 服务器建立直接连接。

还可以针对传入的 Web 请求配置 SSL 桥接。在默认情况下，当外部客户端使用 HTTPS 从位于内部网络上的 Web 服务器请求某个对象时，客户端会连接到 ISA Server 计算机上的端口 443。必须将 ISA Server 计算机配置为在端口 443 上侦听 SSL 请求，并且拥有一个向外部客户端验证其自身身份的服务器证书。然后，ISA Server 对客户端请求进行解密并终止 SSL 连接。可以将 Web 发布规则配置为以 HTTP、SSL (HTTPS) 或 FTP 形式将该请求转发到发布 Web 服务器。如果将 Web 发布规则配置为以 HTTPS 形式转发请求，则 ISA Server 变成 SSL 客户端并将请求发送到发布服务器上的端口 443。发布服务器需要一个服务器证书来向 ISA Server 验证自身的身份，ISA Server 计算机可能需要一个客户端证书来向发布服务器验证自身的身份。

Web 发布和服务器发布有何区别？

Web 发布需要进行更复杂的配置，但是包括服务器发布无法提供的增强的安全功能。以下叙述适用于 Web 发布：

• 只使用 HTTP、HTTPS 和 FTP 协议。
• 允许在应用层检测和筛选通信。在允许或不允许 SSL 请求时，可以使用应用层筛选来检查诸如主机头之类的元素。
• 使用 URLScan for ISA Server（ISA Server Feature Pack 1）。URLScan 可以检测数据包内容并防止您的 Web 站点受到“红色代码”和“尼姆达”类型的攻击。
• 通过在目标集中指定路径来将外部访问限制在Web 站点中的特定区域。
• 先验证外部用户请求，再将它们转发到发布服务器，从而防止内部 Web 服务器进行不正确的身份验证会话。
• 使用 SSL 桥接可避免在发布服务器上进行加密事务处理的开销。ISA Server 处理 SSL 请求，随后可将它们转换为 HTTP 并转发到发布服务器。
• 使用 SSL 桥接可以缓存所有可缓存的 Web 对象，这有助于从 SSL 服务器卸载通常不可缓存的内容。

以下叙述适用于服务器发布：

• 提供状态检测并在网络层和会话层筛选通信。它不提供应用层筛选功能，而且 ISA Server 也不检测传入的 SSL 数据包。
• 除了 HTTP、HTTPS 和 FTP，还处理 Web 发布无法处理的其他协议。
• 当针对特定协议注册了应用筛选器时，对于服务器发布使用应用层检测。在 ISA Management 中的“Application Filters”节点中可以看到注册的应用筛选器。
• 提供一种方便的方法来确保与内部发布服务器之间的数据传输一直处于加密状态。
• 记录请求主机的原始 IP 地址。在 Web 发布中，当“Web 代理”服务将请求转发到发布服务器时，主机头中的源 IP 地址就会更改为 ISA Server 内部接口的 IP 地址。因此，您无法记录发出请求的主机的 IP 地址。

是否可以发布没有预定义协议的服务器？

ISA Server 提供许多预配置的协议定义，您可以在创建服务器发布规则时使用它们。应用筛选器还可以包括不能修改的协议定义。另外，您可以创建自己的协议定义。为此，您需要指定以下信息：

• 端口号：必须指定一个要用于初始连接的介于 1 和 65535 之间的端口号。
• 低层协议：将 TCP 或 UDP 指定为传输协议。
• 方向：对于服务器发布规则指定“入站”。
• 从属连接：对于复杂的用户定义协议，为在初始连接之后建立的从属连接指定端口号、协议和方向。

如果发布服务器的默认网关不是 ISA Server 计算机，如何才能配置服务器发布？

使用服务器发布规则发布的服务器实际上是 SecureNAT 客户端。因此，应当将 ISA Server 计算机配置为发布服务器上的默认网关。如果情况并非如此，请参阅 Microsoft 知识库文章 311777 以寻求解决方案。

我正在用 SSL 发布某个 Web 站点，SSL 连接在 ISA Server 外部接口终止。我不想向意外键入“HTTP”的客户端返回错误，而是想将它们重定向到 HTTPS。应该怎么做？

在 ISATools 下载 isa_redirects.zip，并使用该 zip 文件中包含的示例和脚本。该 zip 文件中有以下两个脚本：

• Redir-meta-tag.htm（使用 HTML META 标记重定向功能）。
• Redir-jscript.htm（使用 JScript 重定向功能）。

有关如何使用这些脚本的说明，请阅读该 zip 文件中包括的 ISA_Redirect 文本文件。请注意，一旦对此进行了配置，它将成为所有受到 SSL 限制的站点的响应。

要查看相关的 Microsoft 知识库文章，请参阅知识库文章 821724 和 279681。

[email protected]')">Send feedback to Microsoft

© Microsoft Corporation. All rights reserved.