问: 我如何才能在我发布的Web站点上提供身份验证?
答: ISA Server只支持在IIS WWW服务上的基本和匿名访问。如果您需要启用其他身份验证模式,则需要为ISA Server Web Listener进行配置。在默认情况下,集成的和匿名的身份验证方法在 ISA Server 安装后是启用的。
问: 我如何才能在外部接口中侦听指定端口上的传入HTTP请求?
答: 您可以更改为传入Web侦听器配置的端口。在ISA Management中,在ISA Server计算机或阵列上点击右键,然后点击属性。在传入Web请求选项卡的TCP端口中,指定您希望Web侦听器用来侦听传入HTTP请求的端口。
问: 我有一个Web发布规则,允许指向一个内部Web服务器的传入请求。我如何才能确保记录下传入请求的真正IP地址,而不是ISA Server计算机的私有IP地址呢?
答: 要获得原始的请求IP地址,请使用服务器发布规则,而不是Web发布规则。使用服务器发布,您可以记录请求主机的原始IP地址。在Web发布中,当请求由Web Proxy服务转发给发布服务器时,主机头文件中的源IP地址将被更改为ISA Server内部接口的IP地址。因此,您无法记录请求主机的IP地址。
问: 为什么我无法从内部客户端计算机上进行FTP上传?
答: 对于需要向外部站点进行FTP上传的内部客户端来说,它必须被配置为SecureNAT客户端或防火墙客户端;Web Proxy客户端无法进行FTP上传。对于这些客户端,您应该启用FTP访问过滤器,并为您希望允许的预定义FTP协议创建一个允许协议规则。请注意,您可以通过将客户端客户端计算机的默认网关设置为ISA Server计算机的内部IP地址来配置一个SecureNAT客户端。
问: 什么时候我必须使用包过滤器,而不是策略规则?
答: 有一些特定的配置需要使用包过滤器。如果出现下列情况,您必须使用包过滤器:
• 您发布位于周边网络(DMZ)的服务器,需要使外部客户端能够访问它们。
• 您在ISA Server计算机上允许需要侦听Internet的应用程序或其他服务。
• 您需要允许不是基于TCP或UDP的协议。您只能为TCP和UDP协议在策略规则中创建协议定义。为了访问其他协议,您必须创建一个允许包过滤器来打开协议所需要的端口。
问: ISA Server对传入请求规则设置优先级的顺序是什么?
答: 当ISA Server处理来自外部客户端的请求时,它对IP包过滤器、发布规则和路由过滤进行检查,确定是否允许这个请求,以及哪个内部服务器应该为这个请求提供服务。对于一个传入Web请求,这些规则安装下列顺序进行处理:
• IP包过滤器
• Web发布规则
• 路由规则
问: SSL隧道和SSL桥接的区别是什么?
答: 安全套接字层 (SSL)桥接指的是ISA Server能够对客户端HTTPS请求进行加密或解密,并能将这些请求发送到目标Web服务器。
SSL隧道允许ISA Server客户端建立一个隧道,通过ISA Server计算机直接到达具有所请求的HTTPS对象的Web服务器 。而在ISA Server计算机上不进行SSL处理。
问: 什么时候使用SSL隧道?
答: 当内部客户端浏览器通过ISA Server计算机使用端口8080上的HTTPS请求一个对象时将使用 SSL 隧道。这个客户端提出请求,ISA Server将这个请求在SSL端口443上转发给目标 Web 服务器。ISA Server 向客户端返回一个连接已建立消息,然后客户端将通过这个隧道直接与 Web 服务器进行通讯。
问: 什么时候使用SSL桥接?
答: 在默认情况下,当内部客户端使用HTTPS来请求Internet中服务器上的对象时,ISA Server 将使用 SSL 隧道来建立连接。但是,如果客户端支持与ISA Server计算机的直接安全通讯,那么您可以对路由规则进行配置,启用SSL桥接:
• 将 HTTP 请求作为 SSL 转发:当客户端请求一个HTTP对象时,ISA Server 对这个请求进行加密,并将其转发给 Web 服务器。当Web服务器返回加密的对象时,ISA Server 将对象解密,并将其发送给客户端。
• 将 SSL 请求作为SSL转发:当客户端请求一个SSL对象时,ISA Server 将这个请求解密,然后重新加密并将其发送给 Web 服务器。当 Web 服务器返回加密的对象时,ISA Server将其解密并发送给客户端。
• 将 SSL 请求作为HTTP转发:当客户端请求一个SSL对象时,ISA Server 将请求解密,并将其转发给 Web 服务器。当 Web 服务器返回 HTTP 对象时,ISA Server 将对象加密,然后发送给客户端。
为传出客户端请求使用SSL桥接而不是使用SSL隧道能够提高安全性。ISA Server 计算机会截取客户端请求,客户端不需要建立直接到外部Web服务器的连接。
SSL桥接也可以为传入Web请求进行配置。当外部客户端使用 HTTPS 请求内部网络中 Web 服务器的一个对象时,这个客户端将默认连接到ISA Server计算机的 443 端口。这个ISA Server计算机必须为侦听端口 443 上的 SSL 请求进行配置,并且具有一个服务器证书能够向外部客户端进行身份验证。然后ISA Server对客户端请求进行解密,中断SSL连接。您可以将Web发布规则配置为以HTTP、SSL(HTTPS)或FTP将这个请求转发给发布Web服务器。如果这个Web发布规则被配置为以HTTPS转发这个请求,那么ISA Server将成为SSL客户端,并将这个请求发送给发布服务器的端口443。发布服务器需要一个服务器证书来向ISA Server进行身份验证。或者,ISA Server计算机也可以要求客户端证书来向发布服务器进行身份验证。
问: Web发布和服务器发布之间的差别是什么?
答: Web发布需要更复杂的配置,但是拥有服务器发布所无法提供的增强的安全特性。使用Web发布时:
• 仅使用HTTP、HTTPS和FTP协议。
• 允许在应用层对流量进行检查和过滤。通过应用层过滤,您可以在允许或禁止SSL请求时检查各种元素,例如主机头文件。
• 使用针对ISA Server的URLScan (ISA Server Feature Pack 1)。URLScan可以检查数据包的内容,包含您的Web 站点免受Code Red和Nimda类型的攻击。
• 通过指定目标集中的路径,将外部访问限制在Web站点中的指定区域中。
• 在将外部用户请求转发给发布服务器之前对它们进行身份验证,从而保护内部Web服务器免受残缺身份验证会话的影响。
• 使用SSL桥接,避免在发布服务器上过多的加密事务。由 ISA Server 来处理 SSL 请求,并将它们转换为 HTTP,然后转发给发布服务器。
• 通过SSL桥接,您可以将所有可以缓存的 Web 对象进行缓存。这有助于减轻 SSL 服务器上的内容负担,SSL 服务器通常是无法缓存的。
使用服务器发布时:
• 提供网络层和会话层的状态检查和流量过滤。它不提供应用层过滤功能,同时ISA Server不检查传入的SSL数据包。
• 除了HTTP、HTTPS和FTP以外,还能处理Web发布无法处理的其他协议。
• 当为特定的协议注册了应用程序过滤器时,则为服务器发布使用应用层检查。您可以在ISA Management的Application Filters节点中注册应用程序过滤器。
• 能够方便地确保数据在传送到内部发布服务器的途中始终加密。
• 记录请求主机的原始IP地址。在Web发布中,当一个请求由Web Proxy服务转发给发布服务器时,主机头文件中的源IP地址被更改为ISA Server内部接口的IP地址。因此,您将无法记录请求主机的IP地址。
问: 我可以发布没有预定义协议的服务器吗?
答: ISA Server提供了多种预先配置好的协议定义,您可以在创建服务器发布规则时加以使用。应用程序过滤器可能也包含有协议定义,但它们是无法被修改的。另外,您可以创建您自己的协议定义。要创建自己的协议定义,您需要指定下列信息:
• 端口号:您必须指定一个1至65535之间的端口号,用于最初的连接。
• 底层协议:指定TCP或UDP为您的传输协议。
• 方向:指定服务器发布规则为入站(Inbound)。
• 第二连接:为了实现一个复杂的用户定义协议,需要除最初连接外,为其他连接指定端口号、协议和方向。
问: 如果我发布服务器的默认网关不是 ISA Server 计算机,那么我怎样才能配置服务器发布?
答: 使用服务器发布的发布服务器实际上是一个 SecureNAT 客户端。因此 ISA Server 计算机必须被配置为该发布服务器的默认网关。如果不是这种情况,请参考 Microsoft 知识库文章311777寻找一个解决办法。
问: 我通过SSL实现了一个站点的Web发布,这个SSL连接在ISA Server 外部接口处终止了。我希望将这些由于疏忽而输入“HTTP”的用户重新定向到HTTPS,而不是向他们返回错误信息。我应该怎样实现?
答: 下载ISATools中的isa_redirects.zip,使用这个压缩文件中所包含的实例和脚本。在这个压缩文件中含有两个脚本:
• Redir-meta-tag.htm使用HTML META标记重定向。
• Redir-jscript.htm使用Jscript重定向。
阅读压缩文件中所包含的ISA_Redirect文本文件,您将了解到如何使用这些脚本的说明。请注意,一旦配置了脚本后,它将对所有SSL限制的站点做出响应。
, ,| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |