ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 6372|回复: 3
打印 上一主题 下一主题

serv-u怎样通过isa2000发布出去

[复制链接]
跳转到指定楼层
顶楼
发表于 2004-10-21 10:01:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
各位大虾:<br>有谁知道怎样通过MS的ISA2000发布SERV-U FTP,大致情况是这样的:我公司的邮件服务器和其他的都是装在内网上的,出去通过一台ISA2000服务器发布出去,现在我安装了一台FTP服务器(用Serv-U做在内网上)现在想把它通过ISA发布怎么弄啊,谢谢
沙发
发表于 2004-10-21 10:59:01 | 只看该作者

re:6-3 对ISA Server来说,...

6-3 <br>
对ISA Server来说,不论是哪一种服务器(例:WEB、FTP、MAIL、SQL..),本质上都是SecureNAT Client,所以发布(Publish)类似反向缓存,将内部网络的服务器,在ISA Server上伪装一份,或者让Request Traffic直接穿过防火墙,除了提升性能外,让外部(Internet)的用户以为连结到服务器,而实际上只接触到ISA Server,如此也能保障服务器的安全,本章将提供三种一般常用的服务器Publish的步骤。<br>
6-3-1 网站发布设置<br>
在开始说明网站发布(Web Publishing)之前,我们必须先了解整个铺设的网络架构,如图6-25是一个案例架构,我们以此为例做Publishing的说明。<br>
<br>
图6-25 WEB Publishing网络架构<br>
设置网站发布必须先把准备动作做好,准备动作共有五个,依序如下说明:<br>
准备1:网站Domain Name(正式申请的,例:www.xxxxx.com.tw)的DNS Server的IP位置,指向ISA Server的外部网卡(203.203.203.1)。<br>
准备2:网站(100.100.100.5)本机上的TCP Port(如图6-26),预设是80,请变更为1025~65535中任选一个,本例设为3333 Port。<br>
<br>
图6-26 WEB Site Port<br>
准备3:先在Policy Element里的Destination Sets增加一个此Web Site的Destination Sets,并且输入路径,如果是网站根目录的话,只需输入「/*」即可,如果此Web Site是虚拟目录,只需输入「/目录/*」即可,相关操作可参考第4-3节:Destination Sets的新建步骤。<br>
准备4:先在Policy Element里的Client Address Sets增加一个此Web Site的「用户集合」,如果Internet用户都可以使用此Web Site,可以不必设置此「Client Address Sets」,否则请参考第4-4节:Client Address Sets新建操作步骤。<br>
准备5:ISA Server本身的对外「监听」位置必须设置好,如图6-27按下ISA Server本身的属性设置窗口。ISA Server的属性设置窗口(如图6-28),有两个选项卡「Incoming Web Requests」及「Outgoing Web Requests」,分别说明如下:<br>
<br>
图6-27 ISA Server对外监听位置<br>
●「Incoming Web Requests」指的是外部网络(Internet)向内部网络访问网站的请求。<br>
●「Outgoing Web Requests」指的是内部网络用户向外部网络(Internet)访问网站的请求。<br>
「网站发布」的主要对象是外部网络(Internet)的用户,所以只需要设置「Incoming Web Requests」的监听动作。<br>
选择「Configure listeners individually per IP address」因为只需要一个对外独立的IP监听位置,TCP Port预设是80,一般不需要更改,因为Internet上的网站预设都是80 Port,如果需要SSL连接,可以勾选「Enable SSL listeners」,最后按下「ADD」按键,新建一个IP监听位置。<br>
<br>
图6-28 ISA Server的属性设置窗口<br>
当按下「ADD」按键,新建一个IP监听位置,会出现图6-29的画面,选择「Server」菜单后,「IP Address」会自动出现菜单(如果对外有两个IP以上),此处监听IP是选203.203.203.1,并且将「Basic with this domain」及「Integrated」认证,勾选起来。<br>
当按下「OK」钮,再按下「确定」后,会出现图6-30画面,有两个选项,说明如下:<br>
●「Save the changes But don't restart the service」:储存你的设置,但是不重新启动service,意思是你的设置不会立即生效。在此,service是指「控制台」里「服务」的ISA相关项目,可参考第9-2节:ISA Server服务的依存关系。要启动service,重新开机也可以。<br>
●「Save the changes and restart the service」:储存你的设置,并且重新启动service,意思是你的设置会立即生效。<br>
<br>
图6-29 新建一个IP监听位置<br>
<br>
图6-30 重新启动服务<br>
以上五个准备动作完毕,前后应该花不到你五分钟时间吧!现在至「Publishing」下的「Web Publishing Rules」,选择右边窗口的「Create Web Publishing Rules」(如图6-31)新建一个「网站发布」项目,共有五个向导步骤,说明如下:<br>
<br>
图6-31 Create Web Publishing Rules<br>
步骤1:要求输入「网站发布」的名称,你可以任意输入一个名称,本案例输入「myweb1」,然后按「下一步」钮。<br>
<br>
图6-32 网站发布步骤1<br>
步骤2:这里的Destinations Sets是选择网站服务器,下拉窗口中共有五个选择,说明如下:<br>
●All Destinations:所有内部网络及外部网络的网站服务器。<br>
●All Internal Destinations:所有的内部网络的任何网站服务器。<br>
●All External Destinations:所有的外部网络的任何网站服务器。<br>
●Select Destination Sets:选择一个事先已经定义好的网站服务器设置,也就是在Policy Element里的「Destination Sets」项目,如果选择此项,会自动显示服务器Detail数据的画面。<br>
●All Destinations Except Select Set:所有内部网络及外部网络的网站服务器都可以,除了已被选择事先已经定义好的网站服务器以外,如果选择此项,将会自动显示服务器数据的画面。<br>
然后按「下一步」钮。<br>
<br>
图6-33 网站发布步骤2<br>
步骤3:这里可以指定能访问此网站的Client端计算机或用户组,共有三个选项,说明如下:<br>
●Any Request:如果你要Publishing的网站,是允许Internet的任何用户访问的公众网站,选取此项即可。<br>
●Specific Computers:选择一个或多个事先在Policy Element里定义的「Client Address Sets」项目。<br>
●Specific Users And Groups:选择一个W2K的AD里的用户,或是事先已经定义好的用户组。<br>
然后按「下一步」钮。<br>
<br>
图6-34 网站发布步骤3<br>
步骤4:这是网站发布最重要的一个步骤,如果选取「Discard the request」,即是明确指出此网站拒绝访问。<br>
一般要Publishing,当然是要选择「Redirect the request to this internal web server」,接着输入网站的IP位置,本例是输入100.100.100.5,或者按「Browse」钮,选取网站服务器亦可,还有一项是「Connect to this port when bridging request as HTTP」,前面的准备工作已将网站的TCP Port设置为3333,所以这里必须设置为3333;如果SSL或FTP要更改Port的话,同样是在准备工作时先行设置完成,然后按「下一步」钮。<br>
<br>
图6-35 网站发布步骤4<br>
步骤5:最后按下「完成」钮。<br>
可将图6-36的滚动条部分,用鼠标圈选起来,贴至备份纪录上;也可做成报表,以利呈报或交接文件使用。<br>
<br>
图6-36 网站发布步骤5<br>
如果依照前面的准备工作并正确执行了Web Publishing,外部网络(Internet)的用户仍然不能看到网站,请检查ISA Server的Routing Rules以及IP Packet Filter是否都允许通过。<br>
网站发布在执行上是有顺序的,预设只有一笔「Last」项目,而且不能删除及修改,「Last」项目是预设所有的Web Publishing全部关闭,所以当你加入一个新的网站发布项目后,Order字段排序会为1,执行顺序大于「Last」项目,当新建二笔「网站发布」项目后(如图6-37),执行顺序以此类推排序;如果要调整执行顺序,可以直接使用鼠标右键,在弹出窗口中选择「UP」或「DOWN」即可,如果弹出窗口没有「UP」或「DOWN」,也可以按下「执行」下拉菜单(如图6-37左上角圈圈),一样会有「UP」或「DOWN」可以调整执行顺序。<br>
<br>
图6-37 调整网站发布的执行顺序<br>
6-3-2 邮件服务器发布设置(Mail Server Publishing)<br>
邮件服务器(Mail Server)几乎是每家公司必备的服务器之一,当架设网络防火墙之后,往往Mail Server都不能使用,很多公司会把它放到防火墙外面,以保持运行,却因而失去了保护的作用,最后发现很多的问题都是由邮件产生。ISA server提供了一个Mail Server的向导,只要五分钟,保证Mail Server畅通无阻,还可以过滤垃圾邮件、检查附带文件、信件关键词检查等功能,就连骇客攻击(Buffer Overrun)也能防范,如果还觉得不满意,在第11章:防毒墙与防火墙中将会说明能过滤邮件病毒及骇客木马等。<br>
在进行邮件服务器发布设置之前,我们必须先了解整个铺设的网络架构,如图6-38是一个案例架构,我们以此为例做Publishing的说明。<br>
<br>
图6-38 Mail Serve Publishing网络架构<br>
设置邮件服务器发布必须先把准备动作做好,准备动作只有三个,依序如下说明:<br>
准备1:如果内部的邮件服务器使用Microsoft Exchange Server,先请安装好,并在内部网络先自我测试(传送、接收)正常,包含:<br>
●Mail Serve网域:必须是注册的合法网域,可以与ISA Server同网域,也可以自己独立一个网域。<br>
●该有的用户帐号建立,以及是否要认证或使用SSL编码传送邮件等决策,都请事先做好决定。<br>
准备2:邮件服务器本机必须启动DNS Server,应是内部的DNS Server,而不是Internet的DNS Server,因为相同的Mail Server网域,内、外DNS Server设置的IP会不同,Internet的DNS Server是ISA Server上的DNS Server。<br>
准备3:邮件服务器本机的预设网关(Gateway)指向ISA Server的「内」网卡,此案例是100.100.100.1,惯用的DNS Server可以设置任何一个外界的DNS Server(或ISA Server上的DNS Server,此案例是203.203.203.1)。<br>
以上三个准备动作都集中在邮件服务器上,现在回到ISA Server,启动向导,至「Publishing」,选择右边窗口的「Secure Mail Server」向导(如图6-39),整个向导操作共有五个步骤,说明如下:<br>
<br>
图6-39 Secure Mail Server向导<br>
步骤1:启动向导后,出现欢迎画面,直接按「下一步」钮即可。<br>
<br>
图6-40 Secure Mail Server向导步骤1<br>
步骤2:这是重要的一步,左边有一个打勾选项「Apply content filtering」,如图6-41画圈圈处,指的是「Application Filters」的「SMTP Filter」,预设是关闭的,如果要有众多的邮件过滤与检查功能,就把它勾起来吧!稍后会对于「SMTP Filter」设置有详细介绍,先说明左边几个Protocol:<br>
●SMTP:SMTP是传送邮件用的Protocol,对ISA Server来说,有Incoming及Outgoing两种方向之分,因为不论是从内部发信出去或外部发信进来,都是使用SMTP的Protocol,如果有勾选Outgoing,向导会自动新建一个Protocol Rule给邮件服务器单独使用,一般正常的邮件服务器用途,都会把Incoming及Outgoing两种都勾选起来。<br>
●POP3及IMAP4:POP3及IMAP4都是接收邮件用的Protocol,一般使用POP3就可以了,IMAP4有许多功能,例如:共享数据夹访问等,如果勾选POP3及IMAP4,会多两个Server Publishing项目。<br>
●NNTP及RPC:NNTP是新闻组用的Protocol,如果勾选「Incoming Microsoft Exchange/Outlook」,会多一个RPC的Server Publishing项目。<br>
如果要使用SSL编码传送邮件,可以勾选右边的SSL项目,否则勾选左边即可,然后按「下一步」钮。<br>
<br>
图6-41 Secure Mail Server向导步骤2<br>
步骤3:此步骤只需输入ISA Server「外」网卡的IP位置即可,也就是邮件服务器合法网域指定的IP,此案例是203.203.203.1。<br>
<br>
图6-42 Secure Mail Server向导步骤3<br>
步骤4:此步骤只需输入内部网络邮件服务器的IP位置即可,如果你的邮件服务器不在内部网络或DMZ区,而是在ISA Server本机上(ISA Server与Exchange Server安装在同一台服务器上),就请选择下方的「On the local host」选项。<br>
<br>
图6-43 Secure Mail Server向导步骤4<br>
步骤5:按下「完成」钮。<br>
可将图6-44的滚动条部分,用鼠标圈选起来,贴至备份纪录上;亦可做成报表,以利呈报或交接文件使用。<br>
图6-44下方(画圈圈处)有一个勾选项「Restart firewall service now」,因为Publishing向导会自动为ISA Server增加许多安全项目,所以必须重新启动「firewall服务」,才能生效,勾选后向导会自动为你重新启动。<br>
<br>
图6-44 Secure Mail Server向导步骤5<br>
现在,你应该可以从内部、外部两个网段去测试邮件服务器的收、发信件是否正常;如果想修改「Secure Mail Server向导」的设置值,最起码应该知道向导在ISA Server上新建了哪些设置,说明如下:<br>
新设置一:Protocol Rule<br>
Secure Mail Server向导新建了一个名称为「Mail wizard rule-SMTP」的Protocol Rule,此Protocol Rule只提供一个用途,就是内部网络用户可以发信出去,因为指定使用TCP的25 Port,方向为Outbound,Client Set只准许邮件服务器(100.100.100.6)使用。<br>
当邮件服务器发布到ISA Server时,以ISA Server来说,只有一种状况需要「Outgoing」,就是「用户发信出去时」,所有的「Incoming」都由「Server publishing rules」负责接收处理,也就是稍后将说明的新设置四:Protocol Rule。<br>
<br>
图6-45 向导新建的Protocol Rule<br>
新设置二:Policy Elements<br>
Secure Mail Server向导在Policy Elements新建了一个Client Address Sets,叫做「Mail Wizard set」,里面只有指定一个Client,就是邮件服务器(100.100.100.6),新设置一已经使用了。<br>
Policy Elements里Protocol Definitions也新建了很多Protocol,大致有以下五种:<br>
●MAPI(Messaging Application Programming Interface)<br>
●POP3(Post Office Protocol 3)<br>
●IMAP4(Internet Messaging Access Protocol 4)<br>
●NNTP(Network News Transfer Protocol)<br>
●Secure NNTP<br>
<br>
图6-46 向导新建的Policy Elements<br>
新设置三:Protocol Rule<br>
Application Filters里的SMTP Filters预设是关闭的(Not Enable),图6-41选项「Apply content filtering」如果勾选的话,会Enable此SMTP Filter。<br>
<br>
图6-47 向导启动的SMTP Filter<br>
新设置四:Protocol Rule<br>
图6-41的打勾选项「Default Authentication」,每一个勾选对应产生一个「Server Publish Rules」,本例共产生五个「Server Publish Rules」,分别为RPC、IMAP4、NNTP、SMTP、POP,全部是TCP Inbound,Port各有不同,不限Client端。<br>
<br>
图6-48 向导新建的Server Publish Rules<br>
之前「Secure Mail Server向导」是当Exchange Server本机在内部网络(DMZ)时的执行前、后情况,如果Exchange Server在ISA Server本机上时(ISA Server与Exchange Server安装在同一台服务器上),选择图6-43下方的「On the local host」选项,「Secure Mail Server向导」会在「IP Packet Filter」里新建四个项目,如下:<br>
●SMTP Filter:「TCP」、「Local Port 25」、「Inbound」、「Remote Port Any」。<br>
●SMTP Filter:「TCP」、「Local Port Any」、「outbound」、「Remote Port 25」。<br>
●POP Filter:「TCP」、「Local Port 110」、「Inbound」、「Remote Port Any」。<br>
●POP Filter:「TCP」、「Local Port Any」、「outbound」、「Remote Port 110」。<br>
最后介绍重要的邮件过滤器,它可以过滤垃圾邮件、检查附带文件、信件关键词检查等功能,也能防范骇客攻击(Buffer Overrun)。选择Extension下的Application Filter,右边窗口的九大过滤器之一「SMTP Filter」,开启后共有五个设置选项卡,说明如下:<br>
General选项卡<br>
「SMTP Filter」的General选项卡里有四个信息:<br>
●提供厂商是Microsoft。<br>
●版本3.0。<br>
●说明文字:邮件过滤器。<br>
●Enable The Filter如果取消勾选,就可以关闭此过滤器。<br>
<br>
图6-49 SMTP Filter的General选项卡<br>
Attachments选项卡<br>
「SMTP Filter」的Attachments选项卡,主要是针对邮件附带文件的过滤与检查功能,本案例笔者新建了三个项目以供参考,右下角有「上」、「下」箭头按键,可以调整过滤顺序,按下「Add」钮,会出现如图6-51的画面,可设置详细的过滤内容,说明如下:<br>
<br>
图6-50 SMTP Filter的Attachment选项卡<br>
●「Enable attachment rule」开启附带文件的过滤与检查功能。<br>
●对于「附带文件」可以过滤如下三种Type:<br>
.Attachment name:过滤「附带文件」的名称。<br>
.Attachment Extension:过滤「附带文件」的扩展名,一般病毒都是由「附带文件」带进来的,而且都是.exe执行文件,可以由此一律过滤,以免不知情的用户再度犯错。<br>
.Attachment Size Limit:输入以Byte为单位的数字,表示大于此数字的「附带文件」一律过滤。<br>
●过滤「附带文件」的处理方式,可以直接删除(Delete Message)、或保留(Hold Message)、或继续传送(Forward Message to),一般都是直接删除(Delete Message)。<br>
<br>
图6-51 SMTP Filter的Attachment选项卡内页<br>
Users/Domains选项卡<br>
「SMTP Filter」的Users/Domains选项卡,主要是针对发件者或信件来源的网域(Domain),可以由此过滤清除掉,譬如:垃圾邮件等,说明如下:<br>
●Senders:对于要拒绝的「发信者」,先输入于「Sender's name」方格中,再按「Add」钮加入右边的拒绝清单中。<br>
●Domains:对于要拒绝的「信件来源」的网域(Domain),先输入于「Domain's name」方格中,再按「Add」钮加入右边的拒绝清单中。<br>
<br>
图6-52 SMTP Filter的Users/Domains选项卡<br>
Keywords选项卡<br>
「SMTP Filter」的Keywords选项卡,主要是针对邮件内容的过滤与检查功能,在本例,笔者新建了一个项目以供参考(I love you病毒),右下角有「上」、「下」箭头按键,可以调整过滤顺序,按下「Add」钮,会出现图6-54画面,可设置详细的过滤内容,说明如下:<br>
<br>
图6-53 SMTP Filter的Keywords选项卡<br>
●「Enable Keywords Rule」开启「关键词」的过滤检查功能。<br>
●对于「关键词」可以由三种位置过滤,如下:<br>
.Message header or body:过滤信件的标头主旨以及信件内容。<br>
.Message header :过滤信件的标头主旨。<br>
.Message body:过滤信件的内容。<br>
●过滤「关键词」的处理方式,可以直接删除(Delete Message)、或保留(Hold Message)、或继续传送(Forward Message to),一般都是直接删除(Delete Message)。<br>
<br>
图6-54 SMTP Filter的Keywords选项卡内页<br>
SMTP Commands选项卡<br>
「SMTP Filter」的SMTP Commands选项卡,主要是针对邮件「Buffer Overrun」的攻击作防范设置,可以直接选择「EDIT」钮,修改任何一个Commands的Maximum Length,或者新建Commands,或删除Commands。<br>
<br>
图6-55 SMTP Filter的SMTP Commands选项卡<br>
当安装ISA Server时,如果没有勾选「Message Screener」的话,此邮件过滤器(SMTP Filter),会不能使用「附带文件」的过滤及「关键词」的过滤两种功能。<br>
如果要新建、删除ISA Server部分功能,可以至W2K系统的「控制台」→「新建、删除程序」执行。<br>
藤椅
 楼主| 发表于 2004-10-23 08:59:52 | 只看该作者

re:老大,你的图例我怎么看不见啊

老大,你的图例我怎么看不见啊
板凳
发表于 2004-10-23 10:25:23 | 只看该作者

re:用isa server 同上的方法发布出...

用isa server 同上的方法发布出去就可以了,记得装好花生壳的客户端.
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-21 20:34

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表