How to ：配置ISA Server 2004中的Web链

内容概要：在ISA Server 2004中提供了Web链功能，它就相当于将ISA Server配置为二级代理，可以将你的请求转发到上游的代理服务器或其他站点。使用Web链，你就可以实现条件路由，对不同的目的地通过不同的路由来进行访问。这篇文章中介绍了如何在ISA Server 2004中配置Web链。

在ISA Server 2004中提供了Web链功能，它就相当于将ISA Server配置为二级代理，可以将你的请求转发到上游的代理服务器或其他站点。使用Web链，你就可以实现条件路由，对不同的目的地通过不同的路由来进行访问。

Web链规则针对所有通过ISA Server的访问Web链规则中指定的目的地的访问请求，而不管访问请求来自本地主机还是内部网络。默认情况下ISA Server 2004已经建立了一条默认Web链规则，定义为直接从客户所请求的目标获取客户请求的数据。你可以建立你自己的Web链规则，和防火墙策略一致，Web链规则也是从上到下执行第一条匹配规则的。您可以指定如何路由客户端的Web访问请求，可以选择以下三种方式之一：

• 从客户请求的目标直接检索对象。

• 将客户的访问请求路由到特定的上游服务器。在这种情况下，你可以指定主路由和备份路由。当主路由不可用时，ISA 服务器使用备份路由。ISA 服务器计算机定期轮询指定作为主路由的上游服务器，以确定其是否可用。主路由一旦可用，就会使用主路由，而不再使用备份路由。

• 将客户的访问请求重定向到一个Web站点。在这种情况下，将会把客户请求路由到指定的服务器。

在上游服务器需要身份验证的情况下，它会要求下游代理传递身份验证信息，因此，必须配置ISA Server传递身份验证信息。在Web链中ISA Server只支持基本身份验证和集成的Windows身份验证，不过用户名和密码最多只能为7位字符，否则下游代理服务器将不能通过集成的Windows身份验证；但是如果使用基本身份验证，身份验证信息将以纯文本形式进行传输，所以建议你在与上游服务器通讯时使用SSL进行加密传输。

本文中的试验环境如下图所示：

Istanbul和Florence为两台Web服务器，Proxy为代理服务器，使用端口TCP 8080提供HTTP代理服务，并且要求使用HTTP代理的用户进行身份验证。各计算机的TCP/IP设置如下，本次试验不涉及DNS解析，各服务器的DNS服务器设置为空，在试验之前已经确认了网络连接工作正常：

Sydeny（ISA 2004 Firewall）：

LAN Interface：

• IP：10.2.1.1.1/24
• DG：None

Internet Interface：

• IP：61.139.0.1/24
• DG：61.139.0.1

Istanbul（Web）：

• IP：61.139.0.8/24
• DG：None

Florence（Web）：

• IP：61.139.0.2/24
• DG：None

Proxy（Proxy）：

• IP：61.139.0.5/24
• DG：None

我们按照以下步骤开始试验，访问的发起者均为Sydney（61.139.0.1）：

• 在未建立Web链规则前访问Istanbul（61.139.0.8）；

• 建立Web链规则，配置Proxy（61.139.0.5）为上游代理后访问Istanbul（61.139.0.8）；

• 停止Proxy（61.139.0.5）上的Web代理服务后访问Istanbul（61.139.0.8）；

• 修改Web链规则，将访问Istanbul（61.139.0.8）的请求进行重定向；

在未建立Web链规则前访问Istanbul（61.139.0.8）

我们已经在Sydney（ISA 2004防火墙，IP为61.139.0.1）上建立好了一条访问规则：允许本地主机访问所有网络的HTTP协议。在Sydney上打开一个浏览器窗口，访问Istanbul上的Web站点，访问成功，页面及Web服务器上的日志如下图所示，上半部为Istanbul（61.139.0.8）上的Web日志，下半部为Sydney（61.139.0.1）上的浏览器窗口。

建立Web链规则，配置Proxy（61.139.0.5）为上游代理后访问Istanbul（61.139.0.8）

在Sydney上打开ISA Server管理控制台，右击配置下的网络，点击新建，选择Web链规则；

在欢迎使用新建Web链规则向导页，输入规则名称，在此我输入 To 61.139.0.8，点击下一步；

在Web链规则目标页，点击添加按钮，

在弹出的添加网络实体对话框，点击新建，再选择计算机；因为我只是针对61.139.0.8这个IP，所以才选择新建计算机，如果你是针对域名集、URL集或地址范围，则根据你的需要进行选择；

在弹出的新建计算机规则元素对话框，输入名称和IP地址为61.139.0.8，点击确定；

双击计算机目录下的61.139.0.8，然后点击关闭，在Web链规则目标页，点击下一步；

在请求操作页，选择将请求重定向到指定的上游服务器，由于Proxy上的HTTP代理程序不支持Windows集成身份验证，所以我勾选允许基本身份验证凭据的代理，点击下一步；

在首要路由页，输入Proxy的IP地址和代理端口，然后勾选使用此账户，点击设置账户，

在弹出的设置账户对话框，输入用户名和密码，点击确定；

在首要路由页，在身份验证栏选择基本，点击下一步；

在备份操作页，选择从指定目标上直接检索请求；这个地方是选择你的备份操作，你也可以选择将请求路由到一个上游服务器再设置一个备份路由；

在正在完成新建Web链规则向导页，点击完成，最后点击应用保存修改和更新防火墙策略。

现在我们再在Sydney上访问Istanbul的IP地址 61.139.0.8，访问成功，结果如下图所示，其中上部为Istanbul（61.139.0.8）上的Web日志，从黄色标注的那行可以看出，Sydney（61.139.0.1）并没有直接访问Istanbul（61.139.0.8），而是Proxy（61.139.0.5）进行的访问；中部为Sydney（61.139.0.1）上访问成功的页面；下部为Proxy（61.139.0.5）上的HTTP代理日志，从日志中黄色标注的行可以看出，Sydney（61.139.0.1）是以user的身份通过身份验证后再通过Proxy（61.139.0.5）访问的Istanbul（61.139.0.8）：

停止Proxy（61.139.0.5）上的Web代理服务后访问Istanbul（61.139.0.8）

现在我们将Proxy上的HTTP代理服务停止，然后再在Sydney上访问Istanbul，访问依然成功，但是，从下图中上部的Istanbul上的日志可以看出，是Sydney直接访问的Istanbul；中部是Sydney（61.139.0.1）访问成功的页面，下部是Proxy上的HTTP代理服务已经停止了。

修改Web链规则，将访问Istanbul的请求进行重定向
现在我们来修改Web链规则，将访问Istanbul的请求重定向到Florence（61.139.0.2），在ISA管理控制台中，右击Web链规则 To 61.139.0.8，选择属性；

在操作标签，选择将它们重定向到一个主持的站点，然后输入Florence的IP和端口，

现在我们再来在Sydney上访问Istanbul（61.139.0.8），你可以发现，虽然地址栏显示的是61.139.0.8，但是实际访问的是Florence（61.139.0.2），

如果你觉得奇怪，那么再看看日志。日志是最能说明问题的，下图是Istanbul和Florence上的Web日志，你可以清楚的看到，Istanbul上现在并没有Sydney访问留下的日志，而在Florence的日志中却有，这表明Sydney确实是访问Florence上的Web服务。