利用ISA Server2006发布DMZ区服务器
上次咱们通过设置防火墙策略使内网用户可以上网了,并且通过配置缓存加快了访问Internet的速度。今天我们的任务就是把外围区域(DMZ)的服务器发布出去。我重点会去说web服务器的发布。其它的服务比如:mail、FTP、DNS都是一样的,大家掌握一种方法其它的就都学会了啊。
拓扑图在下面,前面两次虽然也是这幅图,但我们一直没有说到的一个地方,就是DMZ 区域,在ISA Server中它又叫外围区域。接下来我们就要把这个区域中的服务器发布到外部供Internet上的朋友们访问。为什么不让他们直接访问而要通过发布的方式呢?因为如果没有防火墙的保护,直接暴露在外网的话,估计不到两分种就歇菜了。什么病毒啊,黑客啊全来了。所以我们要把它们发布出去,这样Internet上的用户访问外网接口,就等于访问了DMZ区域中的服务器。我想大家在路由器上都应该做过NA T,NA T有个技术叫PA T,它也可以用来发布服务器,通过端口来定位服务。咱这和那个道理是一样的。我们还要把这些服务器发布到内网——而不是让他们直接访问,为什么呢?“家贼难防”!,就不用解释了。来看看具体的步骤吧!
首先还是分析一下拓扑。为了大家看起来方便我把大概的的信息罗列到下面:
1. DMZ区域中有两台服务器,分别是:
1>.web服务器主机名:https://www.doczj.com/doc/2514574835.html, IP:172.16.1.20/16 GW:172.16.1.1
2>.mail服务器主机名:https://www.doczj.com/doc/2514574835.html, IP:172.16.1.10/16 GW:172.16.1.1
2. ISA Server的三块网卡IP分别为:
1>.内网卡LAN IP:192.168.1.1/24
2>外围网卡DMZ IP:172.16.1.1/16
3>外网卡W AN IP:61.134.1.4/8
主要的TCP/IP参数就是上面罗列的那些,其他没说到的咱们边做边说吧。
第一部分:创建并配置DMZ区域
前面一直是这个图,但其实DMZ区我们并没有去用到它,所以这之前我们一直是一种边缘防火墙的部署方式。这次们就来开辟这块非军事化区(DMZ)。使之成为三向外围部署方式。
1.打开“ISA服务管理器”,展开“配置”,选择“网络”,在右边的模板栏里选择3向外围网络,就会出现下图的界面。如图:
2.连续单击两个下一步,就到了指定内网卡的地方,点击添加适配器,加入内网卡(LAN)确定就是如下的界面。(注意可别添错了啊)
3.还是一样,这里就是添加外围网卡(DMZ),单击添加适配器,把DMZ网卡添进来就可以了。
4.这里是选择防火墙策略,有一大堆,咱们就选第一个“阻止所有访问”,为什么呢?等一下要用什么就开什么。要知道这里只是一个向导界面,真正的策略是我们一条一条添加进去的。
5.好了,确认一下设置的内部和外围等信息,看看有没有什么问题,没有的话就可以单击完成了。也许您会问,为什么没有让选择外部网卡?您想啊,总共三块网卡。定义了内部和外围之后剩下的当然是外部喽!
6.到这个界面时,我们点击应用之后确定即可。
至此,咱们的网络环境就从原来的边缘网络,变成了三向外围的网络。
第二部分:发布web服务器
在各类服务器的发布中,web服务器的发布是最多的。其步骤也相对较多一些,掌握了web服务的发布,其它的就简单的多了。这次重点以发布web服务器为主。下面是步骤:
1.在ISA管理控制台里,点击一下防火墙策略,再点击任务栏中的发布网站,如图,咱们将会在这个界面下做设置。
2.在弹出的web发布规则向导界面中,我们给它取个名子叫“web服务发布规则”,这样做个标识,别人一看就知道是干什么用的。如图:
3.在“请选择规则条件”选项卡中选择“允许”。记住,ISA里面的规则操作除了允许就是拒绝。
4.这里选择第一项“发布单个网站或负载平衡器”,因为咱们只有一个web站点要发布嘛。如果做了主机头,要发布多个网站可发选择第三项“发布多个网站”。单击下一步,如图:
5.在服务器连接安全这里我们选择第二项,第一项是要求使用SSL的,一些要求安全性较高的网站比如:淘宝啊、银行啊等网站,要用https访问的就可以选择此项,当然得有PKI支持才行,有时间的话我会写一篇带SSL的网站发布。咱们不用选择第一项,第二项就可以了。大多数网站都没有使用SSL。因为访问起来会变得麻烦,而且很慢,更重要的是得有一套PKI支持才行。
6.现在到了配置内部发布详细信息这里,把站点名https://www.doczj.com/doc/2514574835.html,写到内部站点名称这里,然后勾选“使用计算机名称或IP地址连接到发布的服务器”,并且别忘了把IP写上去,如图:
7.上面步骤完了之后下一步就到这里了,这是在问我们要发布哪些内容,咱们全部都发布所以用个“/*”代替就可以了。
8.此处设置的是公共名称细节,在接收请求这里选择“任何域名”。下面的路径保持默认即可。如果有其它的可以单独指定。
9.现在选择Web侦听器,因为没有所以就选择新建,来创建一个。(侦听器用来指定ISA 服务器侦听传入Web请求的IP和端口)
10.下面是新建web侦听器的向导界面,还是一样先取个名子,做个标识。
11.这里和刚才上面设置的时候意思是一样的,还是选择第二项“不需要与客户端建立SSL安全连接”,如图:
12.这一步就比较关键了,它让我们选择web侦听器的IP地址。如果只选择外部,就只能把服务器发布到外部,咱这儿是要把服务器从DMZ发到内网和Internet所以就勾两项。如图:
13.身份验证这里选择“没有身份验证”即可。这个一般用的不多。当然为了安全性更高也可以设置带身份验证的。
14.好了,现在把web侦听器的配置在检查一下,就可以点击完成了。
15.有了web侦听器,我们继续发布服务器,注意应在次确认一下侦听器的属性。看看有无错误,没有就可以单击下一步了,如图: