ISA (Internet Security Acceleration)互联网安全加速器,通过检测流经ISA之间的数据,为企业的信息安全提供了一定的保障,对于像RPC 这样 不固定端口的协议,ISA处理的是相当的完美!像这样一款功能强大的产品,对管理员的要求那可是相当”高”!
下面是使用ISA时常见的一些问题,以下是俺个人见解,还请大家多多指教!
一、 发布的非WEB 服务器,外网用户无法访问
网络拓扑如下:
这是在工作组的环境下,SHANGHAI 做 ISA Server,内网接口ip:10.1.1.1 外网接口ip:192.168.3.1 BEIJING 是内网的服务器,ip:10.1.1.101 我们让TIANJIN 模拟外网 ip :192.168.3.107
现在我们发布BEIJING上的FTP 服务器
打开ISA 服务器管理:右键防火墙策略,选择“新建”—“非WEB 服务器协议发布规则”
为访问规则起个名字
输入BEIJING 的 ip 地址:10.1.1.101
协议选择发布 FTP 服务器的协议“FTP 服务器”协议
下一步我们选择 侦听 外网!
我们在内网来验证 FTP 服务器能否正常的工作!我们在BEIJING 上涌IE 做客户端!如图:FTP Server能正常工作!
测试:在外网TIANJIN 上 我们访问 ISA 的外网卡,会出现下面的提示:
这是怎么回事?FTP Server 能正常工作,ISA 中的策略也允许,不会问题在客户端上吧,更为 不可思议的是:我们现在发布BEIJING 上的 WEB 服务器外网用户很顺利的访问到!
我们将内网的BEIING 的网站 发布到 ISA 的 外网卡,!
在 ISA 服务器管理中,选择新建 “网站发布规则” –名称为“发布BEIJING WEB 服务器”
规则操作 ,我们选择“允许”:
发布类型:选择“发布单个网站或负载平衡器”
WEB 服务器 和 ISA 之间 ,我们使用 HTTP 连接
该站点名称 输入“BEIJING”, 我们再输入他的ip 地址, 确保 ISA 能够和 BEIJING
能够通信!
我们选择发布整个网站!
公共名称我们允许 ip 和 域名 都可以访问
接下来我们新建一个 侦听 80 端口的侦听器
侦听器和外网用户之间,我们采用HTTP 连接
下面我们选择 侦听外网的 HTTP 请求!
我们采用 ISA Server不能做身份验证
不考虑单一登录的情况
身份验证委派,我们不委派ISA做身份验证,客户端也不能向 WEB Server做身份验证(用户已匿名用户访问)
我们对所有用户开放
我们在 TIANJIN 这台机器上 访问 ISA的外网卡!访问成功!如图:
这是怎么回事啊??怎么WEB 服务器能发布成功,而 FTP Server不能?FTP Server 、ISA Server 和 客户端 都没有问题啊!我们来比较一下 这两条策略
我们不难发现
“到发布的服务器的请求”这两个 不同,一个是“使请求显示来自ISA服务器计算机”,另一个是“使请求显示为来自初始客户端”
我们在来看看BEIJING 的 ip参数的设置
没有网关!!!!!当 请求显示为来自初始客户端的时候,FTP Server 怎么 发送信息啊!?? 原来问题在这啊!!!!
现在可以解决啦,要么 添加网关,要么 “使请求来自ISA Server”,
我们添加上网关吧!!!!!!!!
在TIANJIN 上 我们用FTP 访问!!
哦这次我们成功啦!如图:
注意:发布的非WEB Server 必须 配置好网关!
二、 FTP 服务器允许写入但是却不行!!
如图:FTP Server允许 写入
我们用外网的TIANJIN 测试一下!
怎么回事怎么还是不行???
我们到策略上看看!是否被过滤掉啦!!
右键策略 选择 “配置 FTP”
哦 原来是策略 阻止啦!
默认是不允许上传文件的,尽管FTP Server 允许!!!!
我们吧“只读”去掉!!
在来测试一下, 这下可以啦!!
