用ISA安全地发布Web服务器

    ZDNetChina服务器站 x86服务器技巧

　　通过发布位于ISA Server 之后的Web服务器，ISA Server 代表内部Web服务器接收请求。位于Internet上的客户机从发布Web服务器上向对象提出请求时，该请求实际上是发送到了ISA Server 计算机的一个外部地址中。于是，在ISA Server计算机上配置的Web发布规则将请求发送到内部Web服务器上。发布Web服务器不需要特别的配置。
　　
　　要创建一个新发布规则，使用New Web Publishing Rule向导。这个向导在Publishing节点之下的Web Publishing Rules文件夹中启动。修改一个现有的Web发布规则，可以在ISA Management中该规则的Properties对话框中进行。
　　
　　一、目的集和客户集

　　配置Web发布规则，例如使用New Web Publishing Rule向导 (如图 6.3所示)，会给定选项来指定该Web发布规则的目的集。对于Web发布规则，目的集通常包括一个域名，该域名的IP地址映射到ISA Server计算机。如果希望发布规则把指定目录或指定文件操作应用到Web请求，也可以在目的集中包含路径。 (例如，要把对http：//www.microsoft.com/ example 的Web请求指向某一个特定的服务器，并把一个对http：//www.microsoft.com/ marketing 的Web请求指向另一台内部服务器。) 客户端地址集通常包括位于Internet上的客户端的地址，这是相对于那些位于内部网络的客户端而言。客户端地址集允许把准许和拒绝访问Web发布服务器的客户端组合起来，以此简化管理。
　　
　　目的集和客户端地址集是在Policy Elements节点下的文件夹中创建和管理的。

　　按如下步骤创建Web发布规则：
　　
　　1.在ISA Management控制台树上，右击Web Publishing Rules，指向New，然后单击Rule。
　　
　　2.在New Web Publishing Rule向导中，输入该规则的名称，然后单击Next。
　　
　　3.在Destination Sets屏幕中，选择一个包含发布服务器IP地址的目的集，然后单击Next。
　　
　　4.在Client Type屏幕中，选择该规则是应用到所有用户还是应用到指定客户端地址集或用户，然后单击Next。
　　
　　5.在Rule Action屏幕中，规定应该如何指引客户端请求。
　　
　　注意　对于阵列成员，如果企业策略设置配置为不允许发布，那么将不能创建Web发布规则。
　　
    二、Web发布规则操作
 
　　如图 6.4所示，Web发布规则操作在New Web Publishing Rule向导的Rule Action屏幕中配置。对于目标是某些特定目的集的HTTP请求，Web发布规则操作要么放弃它，要么将该请求重定向到另一可选站点，通常为公司网上的Web服务器。

　　按如下步骤为现有的Web发布规则配置操作：
　　
　　1.在ISA Management控制台树中，单击Web Publishing Rules。
　　
　　2.在View菜单中，单击Advanced。
　　
　　3.在详细信息窗格中，右击现行Web发布规则，然后单击Properties。
　　
　　4.在Action选项卡中，选择操作以下步骤之一：
　　
　　u 要拒绝请求，单击Discard The Request单选按钮。
　　
　　u 要将请求发送到用于Internet发布登服务器或服务器群，单击Redirect The Request To This Internal Web Server (Name Or IP Address)单选按钮。
　　
　　5.如果单击了Redirect The Requests To This Internal Web Server (Name Or IP Address)单选按钮，按如下步骤操作：
　　
　　u 输入一个请求应重定向到的IP地址或者域名。
　　
　　u 在Connect To This Port When Bridging Request As HTTP中，输入用来处理HTTP请求的端口。默认情况下，HTTP端口配置为80。
　　
　　u 在Connect To This Port When Bridging Request As SSL中，输入用来处理S-HTTP请求的端口。默认情况下，S-HTTP端口配置为443。
　　
　　u 在Connect To This Port When Bridging Request As FTP中，输入用来处理TCP请求的端口。默认情况下，TCP端口配置为21。
　　
　　三、SSL和HTTP桥接

　　通过访问Web发布规则属性的Bridging选项卡，如图 6.5所示，可以配置传入HTTP请求重定向的方式——不论是作为HTTP请求，SSL请求，或者是FTP请求。如果请求是作为SSL请求重定向的，数据包就会加密。
　　
　　也可以桥接SSL通信。也就是说，最初的通信采用SSL，ISA Server把请求传送到内部Web服务器之后，通信可以使用HTTP、SSL或者FTP重新定向。如果请求是作为SSL请求重新定向，ISA Server在将它们发送到Web服务器之前，先将数据包再加密。也就是说，在与SSL Web服务器的通信之间建立了一个安全的信道。
　　
　　把HTTP或者SSL请求配置为以FTP请求传送到Web服务器上时，ISA Server使用FTP将请求重新定向到内部Web服务器上。如果用这种方式配置桥接，加密FTP请求时，可以指定使用哪一个端口。
　　
　　最后，如果内部Web服务器需要客户端身份验证，可以配置ISA Server对某一指定的客户端进行身份验证。

　　四、规则次序

　　对于每一个传入Web请求，Web发布规则按次序进行处理。一个规则匹配请求时，该请求就会被相应地发送并缓存。如果没有规则与请求匹配，ISA Server就按照默认规则处理，放弃该请求。如果除了默认规则之外，还创建了两个或更多的Web发布规则，可以在随时改变这些规则的次序。
　　
　　默认Web发布规则

　　安装ISA Server时，它会配置一个默认的Web发布规则。默认规则配置为放弃所有的请求。默认Web发布规则在处理次序中位于最后，而且不能够修改或删除。
　　
　　按如下步骤修改Web发布规则的次序：
　　
　　1.在ISA Management控制台树上，单击Web Publishing Rules。
　　
　　2.在View菜单中，单击Advanced。
　　
　　3.在详细信息窗格中，右击要改变其次序的规则，然后单击Move Up或Move Down。
　　
　　4.需要时重复以上步骤，按希望的次序排列规则。 　
　　
　　注意　不能改变默认规则的位置。
　　
　　五、Web发布规则示例

　　假设要在域example.microsoft.com中发布两个内部Web服务器，一个叫做 Dev，另一个叫做Mktg。虽然域example.microsoft.com的IP地址对应于ISA Server计算机的外部接口，但是您希望客户端请求example.microsoft.com/Marketing时，内部服务器Mktg 作出响应，而客户端请求example.microsoft.com/Development时，则由内部服务器Dev来响应。
　　
　　要实现这个目标，首先要创建两个目的集。第1个目的集叫做Marketing，应该包括计算机example.microsoft.com和路径/Marketing/*。第2个目的集叫做Development，应该包括计算机example.microsoft.com和路径/Development/*。
　　
　　接着，创建两个Web发布规则，将请求重新定向到适当的内部Web服务器上。配置第1个Web发布规则，使其具备下列参数：
　　
　　· 将Destination Set配置为Marketing目的集
　　
　　· 将Applies To设置为Any User, Group, Or Client Computer
　　
　　· 对于规则操作，选择Redirect To A Hosted Site，指定Mktg为主机
　　
　　客户端请求example.microsoft.com/Marketing上的某一对象时，ISA Server就从Mktg/Marketing中检索该请求。
　　
　　配置第2个Web发布规则，使其具备下列参数：
　　
　　· 将Destination Set配置为Development目的集
　　
　　· 将Applies To设置为Any User, Group, Or Client Computer
　　
　　· 对于规则操作，选择Redirect To A Hosted Site，指定Dev为主机