|
创建Web和Server发布规则 为了能让远程用户访问ISA 防火墙上的服务我们必须使用Web/Server发布规则Web发布规则用来发布Web协议(HTTPHTTPS(SSL))Web协议没有严格定义你也可以使用Web发布规则发布downloadonly FTP站点所有其他的服务必须使用Server发布规则Web和Server发布规则体现了ISA 防火墙连接的复杂的应用层检测机制 我们将创建个Web发布规则和个Server发布规则Web发布规则用来允许远程连接至ISA 防火墙主机上的Web服务器Server发布规则用来允许外部连接至SMTP和FTP服务 在下面的例子中Web发布规则允许我们连接至使用ISA 防火墙外部IP地址的Web站点但是我要着重提醒你不应该使用他的公共名字来发布站点如果你这样做用户将能使用IP地址访问被发布的Web站点而不是用你站点的FQDN来访问允许访问你站点的IP地址可能存在被蠕虫和匿名扫描攻击的危害事实上我建议你不要将站点发布到可访问的IP地址上但是我也不想对于如何部署DNS或者HOSTS文件项的安全解决方案做详细说明了相关文章在站点上已经有了 执行以下步骤创建Web发布规则 ISA 控制台展开服务器名>Firewall Policy Publish a Web Server link New Web Publishing Rule Wizard输入Web Server名字 Select Rule Action>Allow option Define Website to Publish输入Web Server监听器IP地址这里Web服务器在上监听因此输入这个值在Path text里输入/* >Next educitycn/img_///gif >Public Name Details选择This domain name(type below)输入ISA 防火墙外部IP地址注意这里使用的IP地址仅作示范我建议你不要发布公开的用IP地址就可以访问的WEB站点在Path(optional)输入/* educitycn/img_///gif >Web Listener选择一个Web监听器如果没有Web监听器需要创建一个此例中我们不需要创建任何Web监听器如要创建单击New Welcome to the New Web Listener Wizard输入HTTP监听器 >Next IP Addresses勾选External这样ISA 防火墙就允许外部访问请求到绑定在外部接口所有IP地址上的Web监听器 >Next Port Specification接受默认设置选择Enable HTTPHTTP端口为 New Web Listener Wizard >Finish Select Web Listener >Next注意我们创建的Web监听器出现在Web listener下拉列表里了 educitycn/img_///gif >User Sets选择默认项All Users >Next Finish Apply OK >Apply New Configuration 以下步骤创建SMTP服务器发布规则 ISA控制台Firewall Policy Create a New Server Publishing Rule link 输入SMTP Server的名字 Select Server输入被监听的SMTP服务的IP地址此例中为 Select Protocol选择SMTP Server educitycn/img_///gif >IP Addresses勾选External Finish 最后进行FTP服务器发布规则 ISA控制台Firewall Policy Create a New Server Publishing Rule link 输入FTP Server的名字 Select Server输入被监听的SMTP服务的IP地址此例中为 Select Protocol选择FTP Server educitycn/img_///gif >IP Addresses勾选External Finish Apply OK 创建允许从本地主机网络到外部网络的SMTP外出访问规则 此例中配置的SMTP服务允许验证用户从本地中继到其他的email域上ISA 防火墙必须配置为允许从本地主机网络访问到外部网络以便防火墙能转发SMTP消息到Internet上的SMTP服务器上注意这里是不允许匿名的SMTP中继匿名的SMTP中继会使垃圾邮件通过你的SMTP服务器发送出去从而导致额外的网络带宽和开销更糟的是可能被反垃圾邮件联盟列上黑名单 执行以下步骤创建SMTP外出访问规则 ISA控制台Firewall Policy >Create New Access Rule link 在Access Rule里输入外出的SMTP >Next 选择Allow >Next 选择Selected protocols >Add 选择SMTP协议 >Close >Next educitycn/img_///gif >>Add 选择Local Host network >Close >Next >Add 选择External network >Close >Next 接受默认项All Users >Next >Finish >Apply >OK 测试配置 现在我们来测试配置第一步使用Outlook Express发送邮件到ISA 防火墙上的SMTP服务器OE配置成使用SMTP服务器验证使用ISA主机默认的管理员帐号在实际环境中你需要在ISA防火墙主机上创建用户帐号以便外部用户能用这个帐号通过防火墙中继邮件 我将发送一个email到我的Hotmail帐号上当邮件发送时我们可以在ISA防火墙的时实日志查看器上看到以下的信息红线框出的表示从Outlook客户端到ISA防火墙的进入连接注意这个连接是SMTP服务器规则允许的蓝线框出的表示外出SMTP连接这个连接是外出SMTP规则允许的图上的最后一项反映的是DNS查询ISA 防火墙没有发现Hotmail站点的MX记录信息这有可能发生在邮件发送出去以前但日志记录表示是发生在邮件发送出去的同时因为DNS查询响应是很快的 educitycn/img_///gif >当我们去Hotmail站点收取这个邮件时邮件信息显示received by ISALOCAL from xpprosp然后服务器从ISALOCAL接受了这个邮件注意ISALOCAL列出的IP地址确实是路由器外部接口上的IP地址而不是ISALOCAL主机自己的IP地址 Received from ISALOCAL ([]) by with Microsoft SMTPSVC() Tue Jul Received from xpprosp ([]) by ISALOCAL with Microsoft SMTPSVC() Tue Jul XMessageInfo JGTYoYFjHHLXRIFBtsCYFX+PLrD MessageID <c$ca$ac> XMSMailPriority Normal XMailer Microsoft Outlook Express XMimeOLE Produced By Microsoft MimeOLE V ReturnPath XOriginalArrivalTime Jul (UTC) FILETIME=[CBCDC] 现在来测试FTP站点的功能在ISA防火墙主机的FTPROOT目录中放入些文件从外部客户机上打开命令行输入ftp 输入administrator和管理员密码输入dir你会看到文件列表使用GET命令来下载文件PUT命令上传文件 educitycn/img_///gif >让我们试一下PUT命令我们上传客户机根目录上bootini文件图例显示了命令序列注意出现了拒绝访问信息这是怎么回事? educitycn/img_///gif >答案是ISA 是防火墙而不是简单的包过滤或者NAT服务器默认设置是安全设置是只允许FTP下载的而上传到FTP站点将使服务器处于极大的安全威胁当中我们必须修改FTP服务器发布规则来允许FTP的上传 执行以下步骤做需要的修改 ISA控制台Firewall Policy >右击FTP Server Publishing Rule>Configure FTP educitycn/img_///gif >取消Readonly项 >Apply>OK educitycn/img_///gif >>Apply >OK 现在我们先登出FTP站点再登录进去输入PUT命令看到以下信息 educitycn/img_///gif >最后的测试是在外部客户机上使用WEB浏览器输入将会看到默认的WEB站点 |
