ISA教程之安全地发布Web服务器

　　6.2　安全地发布Web服务器

　　通过发布位于ISA Server之后的Web服务器，ISA Server 代表内部Web服务器接收请求。位于Internet上的客户机从发布Web服务器上向对象提出请求时，该请求实际上是发送到了ISA Server 计算机的一个外部地址中。

　　于是，在ISA Server计算机上配置的Web发布规则将请求发送到内部Web服务器上。发布Web服务器不需要特别的配置。

　　要创建一个新发布规则，使用New Web Publishing Rule向导。这个向导在Publishing节点之下的Web Publishing Rules文件夹中启动。修改一个现有的Web发布规则，可以在ISA Management中该规则的Properties对话框中进行。

　　本节学习目标

　　l　　　　　发布位于ISA Server之后的内部网络Web服务器

　　l　　　　　在ISA Server计算机上安全地发布Web服务器

　　估计学习时间：45 分钟

　　6.2.1　Web发布规则

　　ISA Server使用Web发布规则来消除把Web内容发布到Internet的种种顾虑，归根结底是对危及到内部网络的安全的顾虑。Web发布规则决定ISA Server应该如何在内部Web服务器上拦截进入的HTTP请求，以及ISA Server应该如何代表Web服务器来响应请求。规则决定一个请求是转发而不是丢弃时，该请求就会发送到位于ISA Server 计算机之后的内部Web服务器中。如果有可能，ISA Server 的缓存会为该请求提供服务。

　　要点　要提高安全性，不要在发布Web服务器上启用目录浏览。同样，也不要为Web服务器配置摘要或基本身份验证。这些身份验证方法会将Web服务器的内部名称或IP地址暴露给外部用户。

　　6.2.2　目的集和客户集

　　配置Web发布规则，例如使用New Web Publishing Rule向导 (如图 6.3所示)，会给定选项来指定该Web发布规则的目的集。对于Web发布规则，目的集通常包括一个域名，该域名的IP地址映射到ISA Server计算机。如果希望发布规则把指定目录或指定文件操作应用到Web请求，也可以在目的集中包含路径。 (例如，要把对http：//www.microsoft.com/ example 的Web请求指向某一个特定的服务器，并把一个对http：//www.microsoft.com/ marketing 的Web请求指向另一台内部服务器。) 客户端地址集通常包括位于Internet上的客户端的地址，这是相对于那些位于内部网络的客户端而言。客户端地址集允许把准许和拒绝访问Web发布服务器的客户端组合起来，以此简化管理。

　　目的集和客户端地址集是在Policy Elements节点下的文件夹中创建和管理的。

按如下步骤创建Web发布规则：

　　1.　　在ISA Management控制台树上，右击Web Publishing Rules，指向New，然后单击Rule。

　　2.　　在New Web Publishing Rule向导中，输入该规则的名称，然后单击Next。

　　3.　　在Destination Sets屏幕中，选择一个包含发布服务器IP地址的目的集，然后单击Next。

　　4.　　在Client Type屏幕中，选择该规则是应用到所有用户还是应用到指定客户端地址集或用户，然后单击Next。

　　5.　　在Rule Action屏幕中，规定应该如何指引客户端请求。

　　注意　对于阵列成员，如果企业策略设置配置为不允许发布，那么将不能创建Web发布规则。

　　6.2.3　Web发布规则操作

　　如图 6.4所示，Web发布规则操作在New Web Publishing Rule向导的Rule Action屏幕中配置。对于目标是某些特定目的集的HTTP请求，Web发布规则操作要么放弃它，要么将该请求重定向到另一可选站点，通常为公司网上的Web服务器。

按如下步骤为现有的Web发布规则配置操作：

　　1.　　在ISA Management控制台树中，单击Web Publishing Rules。

　　2.　　在View菜单中，单击Advanced。

　　3.　　在详细信息窗格中，右击现行Web发布规则，然后单击Properties。

　　4.　　在Action选项卡中，选择操作以下步骤之一：

　　u　　　　　要拒绝请求，单击Discard The Request单选按钮。

　　u　　　　　要将请求发送到用于Internet发布登服务器或服务器群，单击Redirect The Request To This Internal Web Server (Name Or IP Address)单选按钮。

　　5.　　　　　 如果单击了Redirect The Requests To This Internal Web Server (Name Or IP Address)单选按钮，按如下步骤操作：

　　u　　　　　输入一个请求应重定向到的IP地址或者域名。

　　u　　　　　在Connect To This Port When Bridging Request As HTTP中，输入用来处理HTTP请求的端口。默认情况下，HTTP端口配置为80。

　　u　　　　　在Connect To This Port When Bridging Request As SSL中，输入用来处理S-HTTP请求的端口。默认情况下，S-HTTP端口配置为443。

　　u　　　　　在Connect To This Port When Bridging Request As FTP中，输入用来处理TCP请求的端口。默认情况下，TCP端口配置为21。

　　6.2.4　SSL和HTTP桥接

　　通过访问Web发布规则属性的Bridging选项卡，如图 6.5所示，可以配置传入HTTP请求重定向的方式——不论是作为HTTP请求，SSL请求，或者是FTP请求。如果请求是作为SSL请求重定向的，数据包就会加密。

　　也可以桥接SSL通信。也就是说，最初的通信采用SSL，ISA Server把请求传送到内部Web服务器之后，通信可以使用HTTP、SSL或者FTP重新定向。如果请求是作为SSL请求重新定向，ISA Server在将它们发送到Web服务器之前，先将数据包再加密。也就是说，在与SSL Web服务器的通信之间建立了一个安全的信道。

　　把HTTP或者SSL请求配置为以FTP请求传送到Web服务器上时，ISA Server使用FTP将请求重新定向到内部Web服务器上。如果用这种方式配置桥接，加密FTP请求时，可以指定使用哪一个端口。

　　最后，如果内部Web服务器需要客户端身份验证，可以配置ISA Server对某一指定的客户端进行身份验证。

6.2.5规则次序

　　对于每一个传入Web请求，Web发布规则按次序进行处理。一个规则匹配请求时，该请求就会被相应地发送并缓存。如果没有规则与请求匹配，ISA Server就按照默认规则处理，放弃该请求。如果除了默认规则之外，还创建了两个或更多的Web发布规则，可以在随时改变这些规则的次序。

　　6.2.5.1 默认Web发布规则

　　安装ISA Server时，它会配置一个默认的Web发布规则。默认规则配置为放弃所有的请求。默认Web发布规则在处理次序中位于最后，而且不能够修改或删除。

　　按如下步骤修改Web发布规则的次序：

　　1.　　在ISA Management控制台树上，单击Web Publishing Rules。

　　2.　　在View菜单中，单击Advanced。

　　3.　　在详细信息窗格中，右击要改变其次序的规则，然后单击Move Up或Move Down。

　　4.　　需要时重复以上步骤，按希望的次序排列规则。

　　注意　不能改变默认规则的位置。

　　6.2.6　Web发布规则示例

　　假设要在域example.microsoft.com中发布两个内部Web服务器，一个叫做 Dev，另一个叫做Mktg。虽然域example.microsoft.com的IP地址对应于ISA Server计算机的外部接口，但是您希望客户端请求example.microsoft.com/Marketing时，内部服务器Mktg 作出响应，而客户端请求example.microsoft.com/Development时，则由内部服务器Dev来响应。

　　要实现这个目标，首先要创建两个目的集。第1个目的集叫做Marketing，应该包括计算机example.microsoft.com和路径/Marketing/*。第2个目的集叫做Development，应该包括计算机example.microsoft.com和路径/Development/*。

　　接着，创建两个Web发布规则，将请求重新定向到适当的内部Web服务器上。配置第1个Web发布规则，使其具备下列参数：

　　l　　　　　将Destination Set配置为Marketing目的集

　　l　　　　　将Applies To设置为Any User, Group, Or Client Computer

　　l　　　　　对于规则操作，选择Redirect To A Hosted Site，指定Mktg为主机

　　客户端请求example.microsoft.com/Marketing上的某一对象时，ISA Server就从Mktg/Marketing中检索该请求。

　　配置第2个Web发布规则，使其具备下列参数：

　　l　　　　　将Destination Set配置为Development目的集

　　l　　　　　将Applies To设置为Any User, Group, Or Client Computer

　　l　　　　　对于规则操作，选择Redirect To A Hosted Site，指定Dev为主机

　　客户端请求example.microsoft.com/Development上的某一对象时，ISA Server就从Dev/Development中检索该请求。

　　6.2.7　在本地网上发布Web服务器

　　按如下步骤发布位于ISA Server防火墙之后的内部Web服务器：

　　1.　　确定DNS服务器将完全匹配的域名映射到ISA Server计算机的外部IP地址上。Internet客户端使用域名来请求对象。

　　2.　　配置ISA Server的传入Web请求属性。IP地址应该包含外部接口的IP地址。

　　3.　　创建一个名为Marketing的目的集，它应该包括计算机example.microsoft.com和路径\Marketing\*。

　　4.　　创建一个名为Development的目的集，它应该包括计算机example.microsoft. com和路径\Develop