这个常见问题解答(FAQ)文档解答了针对通过Microsoft? Internet Security and Acceleration (ISA) Server 发布Web站点和内部资源的常见问题。
| 问: | 我如何才能在我发布的Web站点上提供身份验证? |
| 答: | ISA Server只支持在IIS WWW服务上的基本和匿名访问。如果您需要启用其他身份验证模式,则需要为ISA Server Web Listener进行配置。在默认情况下,集成的和匿名的身份验证方法在 ISA Server 安装后是启用的。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question11'); if(q != null) q.style.display = "none"; document.getElementById('answer11').style.display = "none"; }
| 问: | 我如何才能在外部接口中侦听指定端口上的传入HTTP请求? |
| 答: | 您可以更改为传入Web侦听器配置的端口。在ISA Management中,在ISA Server计算机或阵列上点击右键,然后点击属性。在传入Web请求选项卡的TCP端口中,指定您希望Web侦听器用来侦听传入HTTP请求的端口。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question12'); if(q != null) q.style.display = "none"; document.getElementById('answer12').style.display = "none"; }
| 问: | 我有一个Web发布规则,允许指向一个内部Web服务器的传入请求。我如何才能确保记录下传入请求的真正IP地址,而不是ISA Server计算机的私有IP地址呢? |
| 答: | 要获得原始的请求IP地址,请使用服务器发布规则,而不是Web发布规则。使用服务器发布,您可以记录请求主机的原始IP地址。在Web发布中,当请求由Web Proxy服务转发给发布服务器时,主机头文件中的源IP地址将被更改为ISA Server内部接口的IP地址。因此,您无法记录请求主机的IP地址。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question13'); if(q != null) q.style.display = "none"; document.getElementById('answer13').style.display = "none"; }
| 问: | 为什么我无法从内部客户端计算机上进行FTP上传? |
| 答: | 对于需要向外部站点进行FTP上传的内部客户端来说,它必须被配置为SecureNAT客户端或防火墙客户端;Web Proxy客户端无法进行FTP上传。对于这些客户端,您应该启用FTP访问过滤器,并为您希望允许的预定义FTP协议创建一个允许协议规则。请注意,您可以通过将客户端客户端计算机的默认网关设置为ISA Server计算机的内部IP地址来配置一个SecureNAT客户端。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question14'); if(q != null) q.style.display = "none"; document.getElementById('answer14').style.display = "none"; }
| 问: | 什么时候我必须使用包过滤器,而不是策略规则? |
| 答: | 有一些特定的配置需要使用包过滤器。如果出现下列情况,您必须使用包过滤器:
| ? | 您发布位于周边网络(DMZ)的服务器,需要使外部客户端能够访问它们。
|
| ? | 您在ISA Server计算机上允许需要侦听Internet的应用程序或其他服务。
|
| ? | 您需要允许不是基于TCP或UDP的协议。您只能为TCP和UDP协议在策略规则中创建协议定义。为了访问其他协议,您必须创建一个允许包过滤器来打开协议所需要的端口。
|
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question15'); if(q != null) q.style.display = "none"; document.getElementById('answer15').style.display = "none"; }
| 问: | ISA Server对传入请求规则设置优先级的顺序是什么? |
| 答: | 当ISA Server处理来自外部客户端的请求时,它对IP包过滤器、发布规则和路由过滤进行检查,确定是否允许这个请求,以及哪个内部服务器应该为这个请求提供服务。对于一个传入Web请求,这些规则安装下列顺序进行处理:
| ? | IP包过滤器
|
| ? | Web发布规则
|
| ? | 路由规则
|
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question16'); if(q != null) q.style.display = "none"; document.getElementById('answer16').style.display = "none"; }
| 问: | 我如何才能设置一个通过ISA Server到内部计算机的终端服务器连接? |
| 答: | 相关说明,请参考Microsoft知识库文章294720。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question17'); if(q != null) q.style.display = "none"; document.getElementById('answer17').style.display = "none"; }
| 问: | SSL隧道和SSL桥接的区别是什么? |
| 答: | 安全套接字层 (SSL)桥接指的是ISA Server能够对客户端HTTPS请求进行加密或解密,并能将这些请求发送到目标Web服务器。 SSL隧道允许ISA Server客户端建立一个隧道,通过ISA Server计算机直接到达具有所请求的HTTPS对象的Web服务器 。而在ISA Server计算机上不进行SSL处理。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question18'); if(q != null) q.style.display = "none"; document.getElementById('answer18').style.display = "none"; }
| 问: | 什么时候使用SSL隧道? |
| 答: | 当内部客户端浏览器通过ISA Server计算机使用端口8080上的HTTPS请求一个对象时将使用 SSL 隧道。这个客户端提出请求,ISA Server将这个请求在SSL端口443上转发给目标 Web 服务器。ISA Server 向客户端返回一个连接已建立消息,然后客户端将通过这个隧道直接与 Web 服务器进行通讯。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question19'); if(q != null) q.style.display = "none"; document.getElementById('answer19').style.display = "none"; }
| 问: | 什么时候使用SSL桥接? |
| 答: | 在默认情况下,当内部客户端使用HTTPS来请求Internet中服务器上的对象时,ISA Server 将使用 SSL 隧道来建立连接。但是,如果客户端支持与ISA Server计算机的直接安全通讯,那么您可以对路由规则进行配置,启用SSL桥接:
| ? | 将 HTTP 请求作为 SSL 转发:当客户端请求一个HTTP对象时,ISA Server 对这个请求进行加密,并将其转发给 Web 服务器。当Web服务器返回加密的对象时,ISA Server 将对象解密,并将其发送给客户端。
|
| ? | 将 SSL 请求作为SSL转发:当客户端请求一个SSL对象时,ISA Server 将这个请求解密,然后重新加密并将其发送给 Web 服务器。当 Web 服务器返回加密的对象时,ISA Server将其解密并发送给客户端。
|
| ? | 将 SSL 请求作为HTTP转发:当客户端请求一个SSL对象时,ISA Server 将请求解密,并将其转发给 Web 服务器。当 Web 服务器返回 HTTP 对象时,ISA Server 将对象加密,然后发送给客户端。
|
为传出客户端请求使用SSL桥接而不是使用SSL隧道能够提高安全性。ISA Server 计算机会截取客户端请求,客户端不需要建立直接到外部Web服务器的连接。 SSL桥接也可以为传入Web请求进行配置。当外部客户端使用 HTTPS 请求内部网络中 Web 服务器的一个对象时,这个客户端将默认连接到ISA Server计算机的 443 端口。这个ISA Server计算机必须为侦听端口 443 上的 SSL 请求进行配置,并且具有一个服务器证书能够向外部客户端进行身份验证。然后ISA Server对客户端请求进行解密,中断SSL连接。您可以将Web发布规则配置为以HTTP、SSL(HTTPS)或FTP将这个请求转发给发布Web服务器。如果这个Web发布规则被配置为以HTTPS转发这个请求,那么ISA Server将成为SSL客户端,并将这个请求发送给发布服务器的端口443。发布服务器需要一个服务器证书来向ISA Server进行身份验证。或者,ISA Server计算机也可以要求客户端证书来向发布服务器进行身份验证。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question110'); if(q != null) q.style.display = "none"; document.getElementById('answer110').style.display = "none"; }
| 问: | Web发布和服务器发布之间的差别是什么? |
| 答: | Web发布需要更复杂的配置,但是拥有服务器发布所无法提供的增强的安全特性。使用Web发布时:
| ? | 仅使用HTTP、HTTPS和FTP协议。
|
| ? | 允许在应用层对流量进行检查和过滤。通过应用层过滤,您可以在允许或禁止SSL请求时检查各种元素,例如主机头文件。
|
| ? | 使用针对ISA Server的URLScan (ISA Server Feature Pack 1)。URLScan可以检查数据包的内容,包含您的Web 站点免受Code Red和Nimda类型的攻击。
|
| ? | 通过指定目标集中的路径,将外部访问限制在Web站点中的指定区域中。
|
| ? | 在将外部用户请求转发给发布服务器之前对它们进行身份验证,从而保护内部Web服务器免受残缺身份验证会话的影响。
|
| ? | 使用SSL桥接,避免在发布服务器上过多的加密事务。由 ISA Server 来处理 SSL 请求,并将它们转换为 HTTP,然后转发给发布服务器。
|
| ? | 通过SSL桥接,您可以将所有可以缓存的 Web 对象进行缓存。这有助于减轻 SSL 服务器上的内容负担,SSL 服务器通常是无法缓存的。
|
使用服务器发布时:
| ? | 提供网络层和会话层的状态检查和流量过滤。它不提供应用层过滤功能,同时ISA Server不检查传入的SSL数据包。
|
| ? | 除了HTTP、HTTPS和FTP以外,还能处理Web发布无法处理的其他协议。
|
| ? | 当为特定的协议注册了应用程序过滤器时,则为服务器发布使用应用层检查。您可以在ISA Management的Application Filters节点中注册应用程序过滤器。
|
| ? | 能够方便地确保数据在传送到内部发布服务器的途中始终加密。
|
| ? | 记录请求主机的原始IP地址。在Web发布中,当一个请求由Web Proxy服务转发给发布服务器时,主机头文件中的源IP地址被更改为ISA Server内部接口的IP地址。因此,您将无法记录请求主机的IP地址。
|
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question111'); if(q != null) q.style.display = "none"; document.getElementById('answer111').style.display = "none"; }
| 问: | 我可以发布没有预定义协议的服务器吗? |
| 答: | ISA Server提供了多种预先配置好的协议定义,您可以在创建服务器发布规则时加以使用。应用程序过滤器可能也包含有协议定义,但它们是无法被修改的。另外,您可以创建您自己的协议定义。要创建自己的协议定义,您需要指定下列信息:
| ? | 端口号:您必须指定一个1至65535之间的端口号,用于最初的连接。
|
| ? | 底层协议:指定TCP或UDP为您的传输协议。
|
| ? | 方向:指定服务器发布规则为入站(Inbound)。
|
| ? | 第二连接:为了实现一个复杂的用户定义协议,需要除最初连接外,为其他连接指定端口号、协议和方向。
|
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question112'); if(q != null) q.style.display = "none"; document.getElementById('answer112').style.display = "none"; }
| 问: | 如果我发布服务器的默认网关不是 ISA Server 计算机,那么我怎样才能配置服务器发布? |
| 答: | 使用服务器发布的发布服务器实际上是一个 SecureNAT 客户端。因此 ISA Server 计算机必须被配置为该发布服务器的默认网关。如果不是这种情况,请参考 Microsoft 知识库文章311777寻找一个解决办法。
|
if(typeof(IsPrinterFriendly) == "undefined") { var q = document.getElementById('question113'); if(q != null) q.style.display = "none"; document.getElementById('answer113').style.display = "none"; }
| 问: | 我通过SSL实现了一个站点的Web发布,这个SSL连接在ISA Server 外部接口处终止了。我希望将这些由于疏忽而输入“HTTP”的用户重新定向到HTTPS,而不是向他们返回错误信息。我应该怎样实现? |
| 答: | 下载ISATools中的isa_redirects.zip,使用这个压缩文件中所包含的实例和脚本。在这个压缩文件中含有两个脚本:
| ? | Redir-meta-tag.htm使用HTML META标记重定向。
|
| ? | Redir-jscript.htm使用Jscript重定向。
|
阅读压缩文件中所包含的ISA_Redirect文本文件,您将了解到如何使用这些脚本的说明。请注意,一旦配置了脚本后,它将对所有SSL限制的站点做出响应。 相关的Microsoft知识库文章,请参考KB文章821724和279681。
|
相关推荐
ISA Server 2004 包含一个功能完善的应用程序层感知防火墙,有助于保护各种规模的组织免遭外部和内部威胁的攻击。ISA Server 2004 对多种 Internet 协议(如 HTTP)执行深入检查,从而能检测到许多传统防火墙检测不...
ISA 服务器Microsoft® Internet Security and Acceleration (ISA) Server 2004 是可扩展的企业防火墙以及构建在 Microsoft Windows Server™ 2003 和 Windows® 2000 Server 操作系统安全、管理和目录上的 Web 缓存...
本书是MCSE 制胜宝典系列丛书之一,主要介绍Microsoft Internet Security and Acceleration(ISA)Server 2000,一 种企业级防火墙和Web 缓存服务器。使用ISA Server 2000 可快捷、安全地进行Web 访问。因为使用它可...
MCSE制胜宝典——Microsoft Internet Security and Acceleration Server 2000,Internet Security and Acceleration Server 2000 (ISA Server)是一种企业级防火墙和Web缓存服务器程序,本书将详细讲述其安装和配置。...
Microsoft Internet Security and Acceleration (ISA) Server 2004 是高级应用层防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案,它使客户能够通过提高网络安全和性能,轻松地从现有的 IT 投资获得最大收益。ISA ...
ISA Server 2006 SP1 多国语音版 mu_internet_security_and_acceleration_server_2006_service_pack_1_x86_cd
Microsoft Internet Security and Acceleration Server 2000 (ISA Server)是一种企业级防火墙和Web缓存服务器程序,本书将详细讲述其安装和配置。
它是微软安全战略架构Forefront中的新成员,替换原来的Microsoft Internet Security and Acceleration (ISA),成为下一代网络边缘防护产品。基于状态检测是TMG的一个亮点,由此Forefront网络边缘防护覆盖了OSI 7层...
A Survey of Model Compression and Acceleration for Deep Neural Networks-丁庆丰1
Internet Security and Acceleration (ISA) Server 2004 是可扩展的企业防火墙以及构建在 Microsoft Windows Server? 2003 和 Windows® 2000 Server 操作系统安全、管理和目录上的 Web 缓存服务器,以实现...
Tesla-Regen-Brakes-and-Sudden-Acceleration.zip
board works physics 付费国际课程课件
特斯拉恢复,刹车和突然加速的分析报告
GreenSQL works as a SQL reverse proxy and provides several database security and acceleration features including automated learning mode, a database rule-based firewall, database audit, database ...
Microsoft Document for DirectX video Acceleration for WMV8, WMV9, VC1
Microsoft Internet Security and Acceleration(ISA) Server Microsoft Mobile Information Server Microsoft SQL Server …… 3.Microsoft XML Web服务——.NET My Servers 微软作为一个Web服务的底层技术提供商的...
Intel Cache Acceleration Software 最新版 Premium primocahe CAS 傲腾内存
template for development 博文链接:https://aaron-ch.iteye.com/blog/78326