ISA安全發佈服務器（FTP）

ISA安全發佈服務器

 　6.1　安全地發佈服務器
　　 ISA Server使用服務器發佈把傳入請求處理到內部服務器上。請求向下遊轉發到位於ISA Server 計

算機以後的內部服務器上。

　　 服務器發佈是經過服務器發佈規則來配置的。使用ISA Management控制檯中的New Server

Publishing Rule嚮導建立服務器發佈規則。從控制檯中建立的規則的屬性對話框中修改現有服務器發佈

規則。

　　 本節學習目標
　　 發佈位於ISA Server以後的內部網絡服務器

　　 在ISA Server計算機上安全地發佈服務器

　　 在邊界網絡上安全地發佈服務器

　　 估計學習時間：35 分鐘
　　 6.1.1　發佈策略規則
　　 可使用ISA Server來配置包含服務器發佈規則和Web發佈規則的發佈策略。服務器發佈規則篩選所

有的傳入請求，而後把這些請求映射到適當的受ISA Server服務保護的服務器上。Web發佈規則把進入請

求映射到ISA Server以後的適當的Web服務器上。

　　 安裝ISA Server時，指定安裝模式：Firewal、Cache、或者Integrated模式。所選的安裝模式影響

發佈策略規則類型的可用性，如表 6.1所示：
 
（圖片較大 請放大查看）
　　 6.1.2　服務器發佈規則
　　 服務器發佈容許內部網上的計算機安全地把服務發佈到Internet上。由於全部的傳入請求和傳出響

應都通過ISA Server，因此不會危及到安全。服務器是由ISA Server計算機發布時，所發佈的IP地址就是

該ISA Server計算機的外部IP地址。遠程用戶請求發佈的服務、文件或者對象，直接和ISA Server計算機

進行通訊——該ISA Server計算機的名稱或IP地址由請求者指定。以後，ISA Server計算機表明用戶向內

部網絡上適當的發佈服務器提出該請求。外部用戶經過ISA Server間接地與受到保護的發佈服務器通訊。

　　 服務器發佈規則實質上篩選全部經過ISA Server 計算機的請求，而後將這些請求映射到ISA Server

計算機以後的適當的服務器上。這些規則動態地准許 (只有須要時)從Internet用戶到適當發佈服務器的

訪問。

　　 發佈服務器是一個安全網絡地址翻譯客戶端機：它不須要安裝和激活防火牆。由於發佈服務器做爲

安全網絡地址翻譯客戶端來處理，在ISA Server 計算機上建立了服務器發佈規則以後，發佈服務器就不

須要其餘特別的配置了。須要說明的是，分配給該ISA Server內部網絡接口卡(NIC)的IP地址必須配置爲

該發佈服務器的默認網關。

　　 6.1.3　服務器發佈的工做方式
　　 ISA Server採起以下步驟知足內部服務器的請求：

　　 1.　　 Internet上的客戶機從一個認爲是發佈服務器的IP地址來請求對象。實際上，該IP地址是和

ISA Server計算機相關的，它是ISA Server計算機外部接口卡的IP地址。

　　 2.　　 ISA Server計算機處理該請求，將該IP地址映射到一個內部服務器的IP地址上。而後表明外

部客戶端向內部服務器提出請求。

　　 3.　　 內部服務器將對象返回給ISA Server計算機，ISA Server計算機再將其傳送到發出請求的客

戶端。

　　 Ø　　　　　按以下步驟建立服務器發佈規則：

　　 1.　　在ISA Management控制檯樹上，展開Publishing節點，右擊Server Publishing Rules文件夾

，指向New，而後單擊Rule。

　　 2.　　在New Server Publishing Rule嚮導中，輸入該服務器發佈規則的名稱，而後單擊Next。

　　 3.　　在Address Mapping屏幕中(如圖 6.1所示)，輸入發佈的內部服務器的IP地址。同時，輸入該

ISA Server的外部IP地址。
 
　　 4.　　在ProtocoSettings屏幕中(如圖 6.2所示)，選擇該規則應用的服務器協議。

　　 5.　　在Client Type屏幕中，指定該規則是應用到全部的客戶端中，仍是應用到特定的客戶端地址

集中。

　　 注意　對於陣列成員，若是企業策略設置配置爲不容許發佈，那麼將不能建立服務器發佈規則。
 
　　 6.1.4　服務器發佈規則操做
　　 規則操做指應用到請求中的特定規則的操做。能夠在New Server Publishing Rule嚮導的Address

Mapping and ProtocoSetting屏幕中配置一個新服務器發佈規則的規則操做。也能夠在規則屬性的Action

選項卡中修改一個現有規則的規則操做。在ISA Management 中能夠訪問屬性。不管是配置新操做仍是修

改現有規則，配置服務器發佈規則操做時，都須要指定下列幾項：

　　 ISA Server的IP地址　這是外部客戶端可用的地址。外部客戶端和發佈服務器通訊時，實際上就是

在和該IP地址通訊。

　　 發佈服務器的IP地址　全部到達ISA Server所指定IP地址的請求都被轉發到該IP地址。

　　 映射服務器協議　傳送到內部服務器的數據取決於此處指定的協議。能夠從ISA Server 中配置的，

至少爲入站方向的全部協議定義中選擇。協議定義列在Policy Elements節點的ProtocoDefinitions文件

夾中，而且在其中配置。

　　 6.1.4.1 規則操做示例
　　 假設但願容許外部客戶端訪問一個SMTP服務器。該SMTP服務器的IP地址是111.111.111.111，並在端

口25上偵聽。建立一個具有如下參數服務器發佈規則：

　　 將內部服務器的IP地址設置爲111.111.111.111

　　 將ISA Server 上的外部地址設置爲ISA Server 計算機的外部接口卡上的IP地址

　　 將映射服務器協議設置給SMTP Server

　　 Ø　　　　　按以下步驟爲現有的服務器發佈規則修改操做：

　　 1.　　在ISA Management控制檯樹上，打開Publishing節點，而後單擊Server Publishing Rules文

件夾。

　　 2.　　在View菜單中，單擊Advanced。

　　 3.　　在詳細信息窗格中，右擊適當的服務器發佈規則，而後單擊Properties。

　　 4.　　在Cache選項卡中，在IP Address Of InternaServer文本框中，輸入但願外部客戶端也可以使

用的內部服務器的地址。

　　 5.　　在ExternaIP Address On ISA Server文本框中，把一個IP地址輸入到一個ISA Server計算機

外部接口卡中。外部客戶端將訪問接口卡。

　　 注意　在Mapped Server Protocol下拉列表框中，單擊一個外部客戶端可用來訪問該計算機的協議

定義。

ISA安全發佈服務器
　　 6.1.5　客戶端地址集
　　 配置應用到客戶端地址集中的服務器發佈規則時，限定該服務器發佈規則的操做只能應用到指定的

發出請求的計算機集合中。這些客戶端地址集不是在服務器發佈規則自身內定義的，而是在ISA

Management 的Policy Elements節點中定義的。

　　 Ø　　　　　按以下步驟爲現有的服務器發佈規則配置客戶端：

　　 1.　　在ISA Management控制檯樹上，展開Publishing節點，而後單擊Server Publishing Rules文

件夾。

　　 2.　　在View菜單中，單擊Advanced。

　　 3.　　在詳細資料窗格中，右擊現行規則，而後單擊Properties。

　　 4.　　要爲規則指定客戶端，在Applies To選項卡上，選擇操做如下步驟之一：

　　 u　　　　　單擊Any Request單選按鈕。

　　 u　　　　　單擊Client Address Sets Specified Below單選按鈕。

　　 5.　　若是選擇了Client Address Sets Specified Below單選按鈕，按以下步驟操做：

　　 u　　　　　要將客戶端添加到Applies To Requests Coming From區，單擊附隨的Add按鈕。

　　 u　　　　　要將客戶端添加到Exceptions區，單擊附隨的Add按鈕。

　　 注意　對於服務器發佈規則而言，客戶端地址集一般包括位於Internet的計算機的地址。

　　 6.1.6　服務器發佈規則和IP數據包篩選器
　　 服務器發佈規則和IP數據包篩選器都打開特定的端口，在局域網與Internet之間進行通訊。大多數

狀況下，使用服務器發佈規則讓外部客戶端訪問內部服務器。

　　 可是，在有些狀況下，必須使用IP數據包篩選器而不是發佈規則，例以下列狀況：

　　 發佈位於邊界網絡上的服務器要使外部客戶端能夠訪問該服務器時

　　 發佈位於ISA Server計算機本機上的服務時

　　 6.1.6.1 在邊界網絡上發佈服務器
　　 配置服務器發佈規則容許外部客戶端訪問局域網上的服務器。例如，要發佈一個內部FTP服務器。在

這種狀況下，只需簡單地建立一個服務器發佈規則，使其具備以下配置：

　　 內部服務器的IP地址設置爲該FTP服務器的IP地址

　　 ISA Server的外部IP地址設置爲ISA Server計算機的外部接口卡的IP地址

　　 選定的FTP Server協議

　　 客戶端類型設置爲Any User, Group, Or Client Computer，容許全部的外部客戶端訪問該FTP服務

器

　　 假定要發佈的服務器不在局域網上，而是在邊界網絡上。在這種狀況下，必須使用IP數據包篩選器

在該服務器上打開一個端口。例如，假設您但願發佈一個位於邊界網絡上的FTP服務器。那麼在New IP

Packet Filter嚮導中建立一個IP數據包篩選器，使其具備以下配置：

　　 在Servers屏幕中，篩選器設置爲針對陣列中全部的ISA Server 計算機

　　 在Filter Mode屏幕中，選擇建立容許數據包傳輸的篩選器

　　 在Filter Type屏幕中，選擇一個自定義的篩選器

　　 在Filter Settings屏幕中，配置以下設置：

　　 u　　　　　將IP Protocol設置爲TCP

　　 u　　　　　將Direction設置爲Both

　　 u　　　　　將LocaPort Fixed設置爲21

　　 u　　　　　將Remote Port設置爲AlPorts

　　 在LocaComputer屏幕中，選擇該選項用來指定邊界網絡上的一臺計算機，而後輸入FTP服務器的IP地

址

　　 在Remote Computers屏幕中，選擇指定全部遠程計算機的選項

　　 6.1.6.2 在ISA Server 計算機上的服務器
　　 還有一種狀況要求使用IP數據包篩選器而不是發佈規則來發布服務器。那就是要發佈的服務器和ISA

Server 位於同一臺計算機上。如要容許通訊通到發佈服務器所使用的特定端口，那麼必須建立IP數據包

篩選器而不是服務器發佈規則。例如，ISA Server包含一個預先配置名稱爲DNS Filter的IP數據包篩選器

，它容許DNS在ISA Server計算機本機上查詢。

ISA安全發佈服務器
　　 6.1.7　練習：發佈內部服務器
　　 在這個練習中，您練習在Server2上發佈FTP服務。要使局域網外部的用戶可以鏈接到Server2，您需

要在ISA Server中建立一個發佈規則來容許請求傳送到FTP服務器。

　　 要點　這個練習要求經過撥號上網鏈接到Internet上，並在一個撥號會話中完成如下3個練習。所以

，在開始以前，先雙擊Network And Dia-up Connections窗口中的撥號鏈接，創建一個撥號鏈接。

　　 同時，在開始這個練習以前，應該中止Server1上的FTP服務。能夠經過在Internet Services

Manager中右擊Default FTP Site圖標，而後單擊Stop來中止Server1上的FTP服務。

　　 練習1：在Server1上建立發佈規則
　　 在這個練習中，建立一個發佈規則，容許全部的FTP請求經過ISA Server 傳送到Server2中。在

Server1中完成這個練習。

　　 1.　　 檢驗經過撥號鏈接，Server1是否鏈接到了Internet。若是尚未鏈接，如今就創建一個與

Internet相連的鏈接。

　　 2.　　打開ISA Management控制檯。

　　 3.　　在控制檯樹上，展開MyArray，而後找到Publishing節點。

　　 4.　　展開Publishing節點。

　　 5.　　右擊Server Publishing Rules文件夾，指向New，而後單擊Rule。

　　 出現New Server Publishing Rule嚮導。

　　 6.　　在Server Publishing Rule Name文本框中，輸入FTP Server，而後單擊Next。

　　 出現Address Mapping屏幕。

　　 7.　　在IP Address Of InternaServer文本框中，輸入192.168.0.2。

　　 8.　　單擊Browse按鈕。

　　 出現一個消息框，顯示ISA Server 計算機的外部地址。

　　 9.　　肯定選中了外部IP地址，而後單擊OK。

　　 該計算機的外部IP地址出如今ExternaIP Address On ISA Server文本框中。須要注意的是這個規則

只對當前Internet會話有效，由於每次撥號進入ISP時，IP地址均可能不一樣。

　　 10.　 在此處輸入外部IP地址：

　　 11.　 單擊Next。

　　 出現ProtocoSettings屏幕。

　　 12.　 在Apply The Rule To This Protocol下拉列表框，選擇FTP Server，而後單擊Next。

　　 出現Client Type屏幕。

　　 13.　 保留默認設置爲Any Request，而後單擊Next。

　　 出現Complete The New Server Publishing Rule Wizard屏幕。

　　 14.　 單擊Finish。

　　 15.　 在進行練習2以前，先在ISA Management 中從新啓動ISA Server服務。

　　 練習2：檢驗FTP服務器鏈接
　　 在這個練習中，創建一個FTP鏈接，鏈接到ISA Server計算機的外部IP地址上。儘管您所發佈的FTP

服務器是在內部服務器(Server2)上配置，而不是在ISA Server計算機本機上配置，但練習1中所建立的新

發佈規則看起來FTP服務器好像寄存在Server1上。

　　 1.　　以Administrator身份登陸到Server1。

　　 2.　　指向Start，而後再指向Run。

　　 出現Run對話框。

　　 3.　　在Open框，輸入cmd，而後單擊OK，打開一個命名提示符。

　　 出現一個命令提示。

　　 4.　　 在命令提示中，輸入ftp ，這裏 是ISA Server 計算機經過您的ISP分配給您的外部IP地址

的，在練習1中的發佈規則就是基於這個外部IP地址的。您在練習1的第10步記錄過這個數值。

　　 5.　　按Enter鍵。

　　 在控制檯屏幕中，您將接收到一個消息，顯示您鏈接到了FTP服務器，而且提示您輸入用戶名。這個

消息說明新的發佈規則容許您從Internet上鍊接到Server2中所配置的FTP服務。

　　 6.　　輸入anonymous。

　　 您將接收到一個信息，顯示容許匿名訪問，但卻提示您輸入一個密碼。

　　 7.　　直接按Enter鍵，輸入一個空登密碼。

　　 出現一個FTP提示。

　　 8.　　在FTP提示中，輸入quit。

　　 您將返回到命令提示。

　　 9.　　關閉命令提示窗口。

　　 6.1.8　小結
　　 經過使用服務器發佈規則，ISA Server處理那些向內部服務器(例如SMTP服務器、FTP服務器、以及

數據庫服務器)所提出的傳入請求。服務器發佈容許內部網絡上的任何計算機發布到Internet上。由於所

有的傳入請求和傳出響應都通過ISA Server，因此不會危及安全。和站點和內容規則以及協議規則同樣，

服務器發佈規則爲服務請求動態地打開TCP端口，或者只有須要時纔打開。

　　 一個服務器是由ISA Server發佈時，外界能夠看到的發佈服務器IP地址實際上就是該ISA Server計

算機的IP地址或地址。服務器發佈規則將這些傳入請求從ISA Server 計算機上映射到局域網上適當的服

務器上。ISA Server表明外部客戶端向本地服務器提出請求，而後表明本地服務器向外部客戶端做出響應

。要建立服務器發佈規則，可使用New Server Publishing Rule嚮導。修改現有的服務器發佈規則，要

在ISA Management中該規則的Properties對話框中進行。

　　 但願在邊界網絡上發佈一個服務器，或者但願在ISA Server 計算機本機上發佈一個服務器，必須在

ISA Server 中配置IP數據包篩選器，而不是發佈規則。（小節完）