发布安全Web站点详细攻略:ISA2006系列之十四

简介:
ISA 发布安全 Web 站点
到目前为止,我们已经对ISA发布Web站点进行了很多介绍,但还没有涉及到安全Web站点。其实在很多领域,安全Web站点都由于高安全性而受到广泛应用,例如在电子商务,电子邮件,OA等应用中基本都会使用安全站点来加强对数据的保护。既然安全站点如此重要,今天我们就来讨论一下如何用ISA2006来发布安全Web站点。
ISA2006发布安全站点并不是一件困难的事,相反,ISA2006为管理员发布安全站点提供了灵活且强大的技术支持。以往防火墙在发布安全Web站点时,处理方法并不令人满意。由于安全Web站点对HTTP数据进行了加密,这使得防火墙无法对数据内容进行分析,当然也没办法判断这些数据是否不利于安全。防火墙遇到这种情况,往往就采用“隧道”模式,如下图所示,“隧道”模式让外网的访问请求直接通过防火墙抵达内网的安全站点,防火墙对访问请求直接放行,透明通过。这种方法自然无法让管理员满意,买个防火墙发布网站不就是希望利用防火墙过滤有害数据嘛,现在防火墙让加密数据透明通过,那防火墙还有什么用呢,不如直接把安全网站放到外网好了。
 
ISA2006对发布安全站点做了很好的改进,ISA2006在发布安全站点时可以采用“桥接”模式,如下图所示,这种模式可以让ISA对外网的发来的加密数据先进行解密,然后过滤检查,发来的数据被证实没问题了才会被重新加密送往内网的Web服务器。显然,桥接模式比隧道模式更能发挥防火墙的功效,对网站的安全更为有利。
 
ISA并不是随随便便就能启用桥接模式,发布安全Web站点和发布Web站点有所不同,区别就在于安全Web服务器必须提供证书用于数据加密。在桥接模式下,ISA要对外网发来的加密的数据进行解密,这就要求ISA必须拥有证书及配套私钥。例如ISA发布的安全站点是perth.contoso.com,那ISA必须拥有名为perth.contoso.com的证书以及配套的私钥,如果没有证书,ISA无法对外网的访问者证明自己就是他们要访问的perth.contoso.com,如果没有私钥,ISA则无法对加密数据进行解密。因此,ISA启用桥接模式发布安全网站的关键就在于如何让ISA拥有证书以及私钥,我们解决这个问题的方法是让安全Web服务器导出证书及私钥,然后ISA再进行导入操作。
实验拓扑如下图所示,Perth是内网要发布的安全站点,Denver是内网的域控制器兼CA服务器,BeijingISA2006服务器,我们看看如何用ISA发布安全Web站点。
 
  创建 CA 服务器
既然Perth上的Web站点是安全Web站点,那Perth的站点肯定要有证书,谁来发这个证书呢?CA!我们既可以选择去国际CA公司申请证书,也可以自己创建CA服务器来颁发证书。平时经常有朋友问这个问题:到底应该选择去国际CA申请证书还是自己创建一个CA来颁发呢?这个问题我觉得应该根据被发布安全站点的用途来决定,如果你发布的安全站点针对的群体是互联网上的用户,那我认为还是应该去国际CA申请证书,这样申请到的证书自动会被所有的用户所信任,使用起来很方便。否则你自己创建CA颁发证书,但互联网上其他用户都不信任,每个用户都要手工信任你创建的CA,这样就很麻烦了。当然,去国际CA申请是要付出代价的,一年估计要1WRMB,这银子花得很心疼的。如果发布的安全站点主要是给公司员工使用的,那就可以自己创建CA来颁发证书了,因为公司员工人数有限,即使手工信CA任也不用花太多时间。这时自己创建的CA就能体现出使用方便,节省成本的优点了。
回到本例中,我们准备在Denver上创建一个CA服务器,用以在域内为计算机颁发证书。在Denver上依次点击 开始-设置-控制面板-添加或删除程序-添加/删除Windows组件,如下图所示,勾选“证书服务”,这时会弹出对话框提示你安装证书服务后不能改变计算机名称以及身份,选择“是“按钮。
 
CA类型设置为企业根,这样可以更好地利用域的管理优势。
 
CA命名为TESTCA
 
证书数据库的存储路径取默认值即可。
 
安装程序提示需要重启IIS服务,在插入Win2003的安装光盘后,如下图所示,安装结束。
 
创建完CA服务器后,这个服务器必须得到其他计算机的认可,域内的计算机如本例中的PerthBeijing都不用担心,组策略会告诉他们TESTCA是个可以信任的CA服务器。如果你觉得组策略生效时间太长,还可以运行 Gpupdate/force来加快组策略生效时间。域外的计算机如本例中的Istanbul就需要手工信任这个CA服务器了,具体操作方法如下。我们先把Denver的网站用ISA发布出来,然后在Istanbul上访问[url]http://denver.contoso.com/certsrv[/url],如下图所示,网站要求进行身份验证,我们输入域管理员的用户名和口令。
 
通过身份验证后我们可以通过网站访问CA服务器了,如下图所示,选择“下载一个CA证书,证书链或CRL”。
 
如下图所示,选择“下载CA证书”,网站弹出文件下载的对话框,选择“保存”。
 
把下载的CA根证书保存到C:\certnew.cert
 
有了CA根证书之后,我们要把它手工导入被信任的根证书颁发机构中。在Istanbul上运行mmc,如下图所示,在mmc控制台中选择“添加删除管理单元”。
 
如下图所示,点击“添加”,选择添加“证书”管理单元。
 
证书管理单元负责对计算机账号管理证书。
 
在新添加的证书管理单元中定位到“受信任的根证书颁发机构-证书”,如下图所示,在所有任务中选择“导入”。
 
启动证书导入向导。
 
CA根证书文件导入,如下图所示。
 
选择证书的存储区域。
 
证书导入后,如下图所示,TESTCA已经成了被Istanbul信任的根证书颁发机构。
 
至此,我们完成了CA服务器的创建以及对CA服务器的信任,切记,所有访问安全 Web 站点的计算机都要信任证书颁发机构。
 
  为安全 Web 站点申请证书
创建了CA服务器之后,我们就可以为PerthWeb站点申请证书了。在PerthIIS管理器中查看默认站点的属性,如下图所示,切换到站点属性的“目录安全性”标签,点击“服务器证书”。
 
弹出服务器证书申请向导。
 
选择“新建证书”。
 
由于之前创建的CA类型是企业根,因此我们可以直接在线申请证书。
 
证书的名称和加密位数取默认值即可。
 
单位和部门参数也不重要。
 
证书的公用名称至关重要,公用名称一定要和外网用户访问此安全网站时所使用的域名完全匹配。如果不匹配,安全Web站点将发布失败。
 
填写证书的地理信息。
 
安全Web站点使用默认的443端口。
 
Active Directory中选择所使用的证书颁发机构。
 
证书申请完成,CA已经给PerthWeb站点颁发了证书,现在Perth已经是一个安全Web站点了。
 
  导出证书
接下来我们要在Perth上把申请到的证书导出给文件,然后再让ISA服务器导入。在PerthIIS管理器中切换到默认Web站点的“目录安全性”标签,如下图所示,点击“查看证书”。
 
切换到证书的“详细信息”属性,如下图所示,点击“复制到文件”。
 
出现证书导出向导。
 
一定要连同私钥一起导出。
 
导出为pfx格式文件。
 
输入私钥保护密码。
 
把证书及私钥导出为c:\perth.pfx
 
  导入证书
我们把perth导出的证书文件复制到ISA服务器上,然后ISA就可以进行证书的导入操作了。参考在Istanbul上用mmc创建证书管理单元的步骤,在ISA上也创建一个证书管理单元管理计算机账号的证书,如下图所示,右键单击“个人”容器,在所有任务中选择“导入”。
 
出现证书导入向导。
 
选择导入perth.pfx文件。
 
输入pfx文件中的私钥保护口令。
 
将导入的证书放到个人存储中。
 
如下图所示,导入成功,ISA服务器上有了perth.contoso.com的证书以及相关私钥。
 
  创建安全 Web 站点发布规则
万事俱备,只欠东风。我们现在可以在ISA服务器上发布Perth上的安全Web站点了。如下图所示,在ISA服务器管理器中选择新建“网站发布规则”。
 
为发布规则取名。
 
访问请求满足规则要求ISA则允许访问。
 
发布类型为发布单个网站。
 
使用SSL加密ISA与安全Web站点之间的数据。
 
内部站点的名称为perth.contoso.com,注意,内部站点的名称应该和安全站点证书中的公用名称完全一致,否则会导致发布失败。
 
从根目录开始发布整个网站。
 
安全站点的公共名称也应该和证书中的公用名称完全一致。
 
由于没有监听443端口的侦听器,因此我们选择“新建”。
 
出现Web侦听器创建向导,我们为新创建的Web侦听器取个名字。
 
侦听器与外网访问者之间的数据需要用SSL加密。
 
侦听器对外网进行监听。
 
由于侦听器需要对外网访问者的数据进行加密,因此侦听器需要提供证书,如下图所示,点击“选择证书”。
 
在侦听器中选择使用导入的perth.contoso.com证书,这样外网访问者才会相信ISA服务器就是他们要访问的perth.contoso.com
 
侦听器选择证书之后,继续下一步。
 
本例中发布的安全Web站点不需要用户进行身份验证,发布其他的安全Web站点就未必不需要身份验证了,例如发布Exchange就需要进行身份验证。
 
本例中不需要设置单点登录。
 
在发布规则中使用新创建的Web侦听器。
 
安全Web站点没有委派ISA对客户端进行身份验证。
 
此规则适用于所有用户。
 
完成安全Web站点发布规则,呵呵,终于结束了。
 
好了,一切都就绪了,我们在Istanbul上测试一下,如下图所示,在Istanbul上访问[url]https://perth.contoso.com[/url],系统弹出对话框提示即将通过安全连接查看网页。
 
访问结果正常,OK,发布安全Web站点成功!
 
发布安全 Web 站点时问题基本都处在证书上,要么是证书的公用名称写得不对,要么导出证书的格式有问题,要么有些计算机不信任证书颁发机构等等,如果能先理解证书原理,那发布安全 Web 站点时就可以事半功倍了。














本文转自yuelei51CTO博客,原文链接: http://blog.51cto.com/yuelei/88041,如需转载请自行联系原作者

相关文章
|
9天前
|
SQL 安全 数据库
如何构建一个安全的Web应用:技术与策略的全面指南
【6月更文挑战第12天】构建安全Web应用的全面指南:了解SQL注入、XSS等威胁,采用输入验证、安全编程语言,配置安全服务器和数据库,使用HTTPS,实施会话管理、访问控制,正确处理错误和日志,定期进行安全审计和漏洞扫描。确保用户数据和应用安全。
|
16天前
|
安全
WEB安全~X-Frame-Options
`X-Frame-Options` HTTP响应头用于控制网页是否能在框架中被嵌套,防范点击劫持攻击,保护用户安全。常见取值有`DENY`(禁止嵌套)和`SAMEORIGIN`(同源嵌套)。通过设置此头部,网站能提升安全性,防止被恶意嵌入其他站点。注意合理配置并与其他安全头部结合使用。例如,配置为`ALLOW_FROM baidu.com`允许来自百度的嵌套,`SAMEORIGIN`则仅允许同域名嵌套,而`DENY`则拒绝所有。不配置则无保护。
|
21天前
|
机器学习/深度学习 存储 SQL
Web LLM 实验:利用 LLM 中不安全的输出处理
Web LLM 实验:利用 LLM 中不安全的输出处理
|
1月前
|
XML 云安全 安全
了解常见的web漏洞-XXE漏洞,日常如何做好web安全
随着网络技术的不断发展,网站安全问题日益受到人们的关注。当前随着技术发展,网站存在一些常见的可能被攻击者利用的漏洞,而在众多网站安全漏洞中,XXE(XML External Entity)漏洞是一个不容忽视的问题。今天我们就来分享了解一下关于XXE漏洞的概念、原理以及日常上有哪些可以措施可以防护网站安全。
|
14天前
|
Java
Java Socket编程 - 获取WEB站点主页信息
Java Socket编程 - 获取WEB站点主页信息
11 0
|
1月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
1月前
|
前端开发 数据管理 Ruby
blog-engine-10-middleman 静态站点生成器,利用了现代 Web 开发中的所有快捷方式和工具
这篇内容介绍了Middleman,一个基于Ruby的静态网站生成器。Middleman的特点包括静态网站生成、模板系统、前端技术支持、数据管理和简单的部署。安装步骤涉及安装Ruby和运行`gem install middleman`。使用方法包括在`source`目录编写内容,使用`middleman server`预览,`middleman build`构建网站,然后部署到服务器。Middleman的优势在于速度、灵活性和数据管理,但需要Ruby知识,且社区规模较小。适合熟悉Ruby并寻求强大建站工具的用户。
|
1月前
|
数据采集 JSON 前端开发
制作web端的图片搜索站点(看冰冰)
制作web端的图片搜索站点(看冰冰)
10 0
|
9天前
|
传感器 小程序 搜索推荐
(源码)java开发的一套(智慧校园系统源码、电子班牌、原生小程序开发)多端展示:web端、saas端、家长端、教师端
通过电子班牌设备和智慧校园数据平台的统一管理,在电子班牌上,班牌展示、学生上课刷卡考勤、考勤状况汇总展示,课表展示,考场管理,请假管理,成绩查询,考试优秀标兵展示、校园通知展示,班级文化各片展示等多种化展示。
34 0
(源码)java开发的一套(智慧校园系统源码、电子班牌、原生小程序开发)多端展示:web端、saas端、家长端、教师端
|
7天前
|
前端开发 JavaScript Java
计算机Java项目|基于Web的足球青训俱乐部管理后台系统的设计与开发
计算机Java项目|基于Web的足球青训俱乐部管理后台系统的设计与开发

热门文章

最新文章