Microsoft Internet Security and Acceleration (ISA) Server 发布常见问题解答FAQ

Microsoft Internet Security and Acceleration (ISA) Server 发布常见问题解答FAQ

这个常见问题解答(FAQ)文档解答了针对通过Microsoft? Internet Security and Acceleration (ISA) Server 发布Web站点和内部资源的常见问题。

if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question11'); if(q != null) q.style.display = "none"; document.getElementById('answer11').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question12'); if(q != null) q.style.display = "none"; document.getElementById('answer12').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question13'); if(q != null) q.style.display = "none"; document.getElementById('answer13').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question14'); if(q != null) q.style.display = "none"; document.getElementById('answer14').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question15'); if(q != null) q.style.display = "none"; document.getElementById('answer15').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question16'); if(q != null) q.style.display = "none"; document.getElementById('answer16').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question17'); if(q != null) q.style.display = "none"; document.getElementById('answer17').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question18'); if(q != null) q.style.display = "none"; document.getElementById('answer18').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question19'); if(q != null) q.style.display = "none"; document.getElementById('answer19').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question110'); if(q != null) q.style.display = "none"; document.getElementById('answer110').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question111'); if(q != null) q.style.display = "none"; document.getElementById('answer111').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question112'); if(q != null) q.style.display = "none"; document.getElementById('answer112').style.display = "none"; } if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question113'); if(q != null) q.style.display = "none"; document.getElementById('answer113').style.display = "none"; }
问: 我如何才能在我发布的Web站点上提供身份验证?
答:

ISA Server只支持在IIS WWW服务上的基本和匿名访问。如果您需要启用其他身份验证模式,则需要为ISA Server Web Listener进行配置。在默认情况下,集成的和匿名的身份验证方法在 ISA Server 安装后是启用的。

问: 我如何才能在外部接口中侦听指定端口上的传入HTTP请求?
答:

您可以更改为传入Web侦听器配置的端口。在ISA Management中,在ISA Server计算机或阵列上点击右键,然后点击属性。在传入Web请求选项卡的TCP端口中,指定您希望Web侦听器用来侦听传入HTTP请求的端口。

问: 我有一个Web发布规则,允许指向一个内部Web服务器的传入请求。我如何才能确保记录下传入请求的真正IP地址,而不是ISA Server计算机的私有IP地址呢?
答:

要获得原始的请求IP地址,请使用服务器发布规则,而不是Web发布规则。使用服务器发布,您可以记录请求主机的原始IP地址。在Web发布中,当请求由Web Proxy服务转发给发布服务器时,主机头文件中的源IP地址将被更改为ISA Server内部接口的IP地址。因此,您无法记录请求主机的IP地址。

问: 为什么我无法从内部客户端计算机上进行FTP上传?
答:

对于需要向外部站点进行FTP上传的内部客户端来说,它必须被配置为SecureNAT客户端或防火墙客户端;Web Proxy客户端无法进行FTP上传。对于这些客户端,您应该启用FTP访问过滤器,并为您希望允许的预定义FTP协议创建一个允许协议规则。请注意,您可以通过将客户端客户端计算机的默认网关设置为ISA Server计算机的内部IP地址来配置一个SecureNAT客户端。

问: 什么时候我必须使用包过滤器,而不是策略规则?
答:

有一些特定的配置需要使用包过滤器。如果出现下列情况,您必须使用包过滤器:

?

您发布位于周边网络(DMZ)的服务器,需要使外部客户端能够访问它们。

?

您在ISA Server计算机上允许需要侦听Internet的应用程序或其他服务。

?

您需要允许不是基于TCP或UDP的协议。您只能为TCP和UDP协议在策略规则中创建协议定义。为了访问其他协议,您必须创建一个允许包过滤器来打开协议所需要的端口。

问: ISA Server对传入请求规则设置优先级的顺序是什么?
答:

当ISA Server处理来自外部客户端的请求时,它对IP包过滤器、发布规则和路由过滤进行检查,确定是否允许这个请求,以及哪个内部服务器应该为这个请求提供服务。对于一个传入Web请求,这些规则安装下列顺序进行处理:

?

IP包过滤器

?

Web发布规则

?

路由规则

问: 我如何才能设置一个通过ISA Server到内部计算机的终端服务器连接?
答:

相关说明,请参考Microsoft知识库文章294720

问: SSL隧道和SSL桥接的区别是什么?
答:

安全套接字层 (SSL)桥接指的是ISA Server能够对客户端HTTPS请求进行加密或解密,并能将这些请求发送到目标Web服务器。

SSL隧道允许ISA Server客户端建立一个隧道,通过ISA Server计算机直接到达具有所请求的HTTPS对象的Web服务器 。而在ISA Server计算机上不进行SSL处理。

问: 什么时候使用SSL隧道?
答:

当内部客户端浏览器通过ISA Server计算机使用端口8080上的HTTPS请求一个对象时将使用 SSL 隧道。这个客户端提出请求,ISA Server将这个请求在SSL端口443上转发给目标 Web 服务器。ISA Server 向客户端返回一个连接已建立消息,然后客户端将通过这个隧道直接与 Web 服务器进行通讯。

问: 什么时候使用SSL桥接?
答:

在默认情况下,当内部客户端使用HTTPS来请求Internet中服务器上的对象时,ISA Server 将使用 SSL 隧道来建立连接。但是,如果客户端支持与ISA Server计算机的直接安全通讯,那么您可以对路由规则进行配置,启用SSL桥接:

?

将 HTTP 请求作为 SSL 转发:当客户端请求一个HTTP对象时,ISA Server 对这个请求进行加密,并将其转发给 Web 服务器。当Web服务器返回加密的对象时,ISA Server 将对象解密,并将其发送给客户端。

?

将 SSL 请求作为SSL转发:当客户端请求一个SSL对象时,ISA Server 将这个请求解密,然后重新加密并将其发送给 Web 服务器。当 Web 服务器返回加密的对象时,ISA Server将其解密并发送给客户端。

?

将 SSL 请求作为HTTP转发:当客户端请求一个SSL对象时,ISA Server 将请求解密,并将其转发给 Web 服务器。当 Web 服务器返回 HTTP 对象时,ISA Server 将对象加密,然后发送给客户端。

为传出客户端请求使用SSL桥接而不是使用SSL隧道能够提高安全性。ISA Server 计算机会截取客户端请求,客户端不需要建立直接到外部Web服务器的连接。

SSL桥接也可以为传入Web请求进行配置。当外部客户端使用 HTTPS 请求内部网络中 Web 服务器的一个对象时,这个客户端将默认连接到ISA Server计算机的 443 端口。这个ISA Server计算机必须为侦听端口 443 上的 SSL 请求进行配置,并且具有一个服务器证书能够向外部客户端进行身份验证。然后ISA Server对客户端请求进行解密,中断SSL连接。您可以将Web发布规则配置为以HTTP、SSL(HTTPS)或FTP将这个请求转发给发布Web服务器。如果这个Web发布规则被配置为以HTTPS转发这个请求,那么ISA Server将成为SSL客户端,并将这个请求发送给发布服务器的端口443。发布服务器需要一个服务器证书来向ISA Server进行身份验证。或者,ISA Server计算机也可以要求客户端证书来向发布服务器进行身份验证。

问: Web发布和服务器发布之间的差别是什么?
答:

Web发布需要更复杂的配置,但是拥有服务器发布所无法提供的增强的安全特性。使用Web发布时:

?

仅使用HTTP、HTTPS和FTP协议。

?

允许在应用层对流量进行检查和过滤。通过应用层过滤,您可以在允许或禁止SSL请求时检查各种元素,例如主机头文件。

?

使用针对ISA Server的URLScan (ISA Server Feature Pack 1)。URLScan可以检查数据包的内容,包含您的Web 站点免受Code Red和Nimda类型的攻击。

?

通过指定目标集中的路径,将外部访问限制在Web站点中的指定区域中。

?

在将外部用户请求转发给发布服务器之前对它们进行身份验证,从而保护内部Web服务器免受残缺身份验证会话的影响。

?

使用SSL桥接,避免在发布服务器上过多的加密事务。由 ISA Server 来处理 SSL 请求,并将它们转换为 HTTP,然后转发给发布服务器。

?

通过SSL桥接,您可以将所有可以缓存的 Web 对象进行缓存。这有助于减轻 SSL 服务器上的内容负担,SSL 服务器通常是无法缓存的。

使用服务器发布时:

?

提供网络层和会话层的状态检查和流量过滤。它不提供应用层过滤功能,同时ISA Server不检查传入的SSL数据包。

?

除了HTTP、HTTPS和FTP以外,还能处理Web发布无法处理的其他协议。

?

当为特定的协议注册了应用程序过滤器时,则为服务器发布使用应用层检查。您可以在ISA Management的Application Filters节点中注册应用程序过滤器。

?

能够方便地确保数据在传送到内部发布服务器的途中始终加密。

?

记录请求主机的原始IP地址。在Web发布中,当一个请求由Web Proxy服务转发给发布服务器时,主机头文件中的源IP地址被更改为ISA Server内部接口的IP地址。因此,您将无法记录请求主机的IP地址。

问: 我可以发布没有预定义协议的服务器吗?
答:

ISA Server提供了多种预先配置好的协议定义,您可以在创建服务器发布规则时加以使用。应用程序过滤器可能也包含有协议定义,但它们是无法被修改的。另外,您可以创建您自己的协议定义。要创建自己的协议定义,您需要指定下列信息:

?

端口号:您必须指定一个1至65535之间的端口号,用于最初的连接。

?

底层协议:指定TCP或UDP为您的传输协议。

?

方向:指定服务器发布规则为入站(Inbound)。

?

第二连接:为了实现一个复杂的用户定义协议,需要除最初连接外,为其他连接指定端口号、协议和方向。

问: 如果我发布服务器的默认网关不是 ISA Server 计算机,那么我怎样才能配置服务器发布?
答:

使用服务器发布的发布服务器实际上是一个 SecureNAT 客户端。因此 ISA Server 计算机必须被配置为该发布服务器的默认网关。如果不是这种情况,请参考 Microsoft 知识库文章311777寻找一个解决办法。

问: 我通过SSL实现了一个站点的Web发布,这个SSL连接在ISA Server 外部接口处终止了。我希望将这些由于疏忽而输入“HTTP”的用户重新定向到HTTPS,而不是向他们返回错误信息。我应该怎样实现?
答:

下载ISATools中的isa_redirects.zip,使用这个压缩文件中所包含的实例和脚本。在这个压缩文件中含有两个脚本:

?

Redir-meta-tag.htm使用HTML META标记重定向。

?

Redir-jscript.htm使用Jscript重定向。

阅读压缩文件中所包含的ISA_Redirect文本文件,您将了解到如何使用这些脚本的说明。请注意,一旦配置了脚本后,它将对所有SSL限制的站点做出响应。

相关的Microsoft知识库文章,请参考KB文章821724279681

你可能感兴趣的:(应用服务器,Web,网络协议,Microsoft,Security)