ISA教程.docx
《ISA教程.docx》由会员分享,可在线阅读,更多相关《ISA教程.docx(84页珍藏版)》请在冰豆网上搜索。
ISA教程
ISAServer2006新特性介绍
我更愿意将“ISAServer2006”称为“ISAServer2004R2”,因为ISAServer2006更像是基于ISAServer2004的一个featurepack,它修正了ISAServer2004中的一些错误并增加了部分新功能,但是并没有进行架构上的升级。
ISAServer2006的安装过程和ISAServer2004一致,和ISAServer2004相比,ISAServer2006在以下方面进行了增强:
1、针对应用发布的保护
在ISAServer2006中,新增了SharePoint站点的发布功能,
并对原有发布功能进行了改进,例如针对ExchangeWeb客户访问的发布进行了较大修改,支持各种版本的Exchange服务器;
在发布Web服务时,ISAServer2006支持通过服务器场的方式进行发布,从而可以实现一种简单的负载平衡和容错功能。
针对Web服务发布,除了过去ISAServer2004所支持的身份验证方式外,ISAServer2006还增加了对Ldap身份验证方式的支持;
和ISAServer2004只支持基于基本身份验证的身份验证委派相比,ISAServer2006支持更多的身份验证委派方式。
另外,ISAServer2006还支持自定义客户端显示的登录表单;
支持基于相同Web侦听器、相同域名后缀的单点登录(SingleSign-On);
以及在做安全Web服务发布时,支持在不同的IP地址上绑定不同的服务器证书;
2、针对安全访问的增强
ISAServer2006中集成了ISAServer2004SP2中所提供的BITS缓存、HTTP压缩支持和基于DifferServ协议的QoS功能,另外还极大的强化了抗御拒绝式服务攻击的能力,和ISAServer2004中你只能限制客户的最大TCP/UDP并发连接数相比,在ISAServer2006中你可以限制每个IP进行每分钟的最大TCP连接请求数、最大TCP并发连接数、最大TCP半开连接数、每分钟的最大HTTP连接请求数、最大UDP并发连接数等等;
3、针对分部网络的支持
在ISAServer2006中极大的增强了对分部网络的支持。
在ISAServer2004中做站点到站点VPN连接时,复杂的操作步骤可能让很多朋友头痛不已,也间接导致了配置的失败。
ISAServer2006中极大的简化了站点到站点VPN连接的配置步骤,在创建远程站点时可以自动配置远程访问VPN服务(如果需要)和创建相应的网络规则、访问规则,如下图所示:
并且极具智能化的向导会提示你成功完成远程站点配置还需要的步骤,
并且在ISAServer2006企业版中提供了一个分部网络VPN连接向导,它可以通过创建应答文件的方式来简化分部网络中远程站点的配置。
以上只是ISAServer2006中的部分新增特性。
除此之外,ISAServer2006在人性化界面上又进一步进行了增强,例如在保存修改并应用时,ISAServer2006会提示你修改后的配置不会影响到现有的客户端连接;并且在警告方面,ISAServer2006从不同的细节上增加了警告的数量和类型,从而可以让你更方便的进行管理。
Howto:
升级到ISAServer2006
微软一向注重同系列产品间的纵向升级,ISAServer也不例外。
ISAServer2006支持从ISAServer2004的无缝升级,升级路径如下表所示:
原有版本
新版本
ISA2006SE
ISA2006EE
ISA2000SE
-
-
ISA2000EE
-
-
ISA2004SE
支持
-
ISA2004EE
-
支持
ISA2006BetaSE
支持
-
ISA2006BetaEE
-
支持
ISA2006RCSE
支持
-
ISA2006RCEE
-
支持
1、标准版升级
在升级标准版本时,你可以采用以下两种方式:
∙备份原有配置,全新安装ISAServer2006标准版,然后恢复原有配置;
∙直接运行ISAServer2006安装进行升级;不过同样建议你先备份原有配置;
在此我以使用第二种方式为例,给大家介绍如何进行升级。
需要注意的是,由于当前Build的ISAServer2006中并没有防火墙客户端安装共享和SMTP消息筛选器这两个组件,因此在进行升级之前,必须保证当前的ISAServer2004服务器上没有安装这两个组件,如果已经安装,则需要先卸载这两个组件,然后再进行升级。
在ISAServer2004服务器上运行ISAServer2006安装程序,ISAServer2006的安装程序会识别当前ISAServer2004的服务器配置,并自动调用升级向导,在欢迎使用ISAServer2006升级向导页,向导提示你会对ISAServer2004服务和管理控制台进行升级,点击下一步;
在协议许可页,选择我接受许可协议,点击下一步;
在用户信息页,输入用户信息和产品序列号后点击下一步;
在升级检查清单页,提示你在进行升级之前需要进行的操作,点击下一步;
在服务警告页,向导提示你需要重启和禁用的服务,点击下一步;
在准备安装程序页,点击安装,此时向导开始进行升级;
在安装向导完成页,点击完成;
此时在ISAServer2006管理控制台中,可以看到原有配置已经成功进行了复制。
2、企业版升级
企业版升级比标准版稍显复杂,在升级过程中需要注意以下几点:
∙服务器操作系统必须为WindowsServer2003SP1及以上;
∙在运行升级之前,卸载原有的防火墙客户端安装共享和SMTP消息筛选器组件;
∙配置存储服务器不能直接升级,必须先备份原有配置,然后安装ISAServer2006的配置存储服务器,再将原有配置导入;在安装配置存储服务器的过程中,应保持企业名和阵列名和原有配置一致;
∙ISAServer服务可以直接运行升级向导进行升级,也可以直接安装全新的ISAServer服务加入到当前阵列;
具体的过程在此我就不详细描述了。
不过在可能的情况下,建议大家最好全新安装ISAServer2006。
在ISAServer2006中发布Web服务
由于在身份验证方式上进行了增强,ISAServer2006中的Web服务发布方式和ISAServer2004有所不同,在这篇文章中,我将给大家详细介绍如何在ISAServer2006中发布Web服务。
一、发布单个Web站点
在ISA2006管理控制台中右击防火墙策略,指向新建,选择Web站点发布规则;
在弹出的欢迎使用新建Web发布规则向导页,输入规则名称后点击下一步;
在选择规则动作页,选择允许,点击下一步;
在发布类型页,选择发布单个Web站点或负载均衡器,点击下一步;
在服务器连接安全性页,选择使用非安全连接来连接到被发布的Web服务器或服务器场(即使用HTTP协议进行连接),点击下一步;
在内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称(Web站点的主机名头),但是由于存在Web站点的主机名头和计算机名不一致的现象,为了便于ISA连接到内部的Web服务器,建议你勾选使用计算机名或IP地址来连接到被发布的服务器,然后输入服务器的IP地址,从而避免ISA不能正常解析内部Web站点名从而导致无法连接的现象,完成后点击下一步;
在内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此直接点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择任何域名,点击下一步;
在选择侦听器页,点击新建,在弹出的欢迎使用新建Web侦听器向导页,输入侦听器名称后点击下一步;
在客户端连接安全性页,选择不要求和客户端之间的SSL安全连接,点击下一步;
在Web侦听器IP地址页,勾选外部网络,你也可以点击选择IP地址按钮来配置Web侦听器侦听的IP地址,点击下一步;
在身份验证设置页,设置ISAServer2006是否对请求访问的客户进行身份验证。
需要注意的是,此身份验证是由ISAServer要求客户进行,和被发布的Web服务器没有任何关系。
不过在ISA2006中增强了对于身份验证委派的支持,因此你可以设置ISAServer要求客户身份验证,然后ISAServer再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器,从而避免客户端被提示要求进行多次身份验证。
需要注意的是,默认情况下ISA拒绝通过HTTP协议进行任何身份验证,因此当客户使用HTTP协议访问时,如果ISA的其他配置或被发布的Web服务器要求客户进行身份验证,那么ISA会拒绝客户的访问。
我将在以后撰文专门分析ISAServer2006中的身份验证。
在此我是对Internet发布Web服务,不需要客户端进行身份验证,因此选择无身份验证,点击下一步;
在单点登录设置页,由于只有基于HTTP表单的身份验证才支持SSO,因此无法进行配置,直接点击下一步;
在正在完成新建Web侦听器向导页点击完成,然后在选择Web侦听器页点击下一步;
在身份验证委派页,由于我不要求客户进行身份验证,因此选择无委派,并且客户不能直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,此时Web发布规则就创建好了。
不过默认情况下ISA并未转发客户端原始IP地址给被发布的Web服务器,你可以在Web发布规则属性的到标签进行修改,如下图所示:
需要注意的是,由于在进行Web发布时,ISA需要占用TCP/IP上的相应端口,因此Web发布规则所侦听的端口如TCP80需要保证没有被其他应用程序所占用,这个可以通过netstat-bfind":
80"来观察。
最后点击应用保存修改并更新防火墙策略,此时Web发布规则就创建好了。
二、发布多个Web站点
在ISAServer2006中你可以同时发布多个Web站点,针对每个Web站点创建一个Web发布规则。
不过被发布的这些Web站点最好具有相同的域名后缀,否则你需要对创建的Web发布规则进行修改。
前面的操作过程是一样的,只是在发布类型页,选择发布多个Web站点,点击下一步;
在指定发布的Web站点页,点击添加按钮添加被发布的Web站点的名字,需要注意的是,ISA将使用这个名字来连接到这些Web站点,并且也将这个名字和后面提供的域名后缀相结合以指定Web发布规则中的公共名称。
添加完成后点击下一步;
在发布的Web站点公共名称页,输入Web站点的域名后缀,然后点击下一步;
在选择Web侦听器页,在此我选择一个已有的Web侦听器,然后点击下一步;
在身份验证委派页,同样选择无委派,并且客户不能直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,
此时Web发布规则就创建好了,如下图所示,不过建议你再检查一下Web发布规则,你可能需要对Web发布规则进行修改。
三、发布服务器场
服务器场是一个包含多个服务器对象的网络对象,在ISAServer2006中新增了发布服务器场的功能,用于实现一种简单的容错和负载均衡机制,它的工作原理是这样的:
∙当发布服务器场以后,ISAServer2006将客户访问请求分布到服务器场中的不同Web服务器上,以实现负载均衡;
∙在创建服务器场发布规则的同时,ISA创建一个连接性验证工具,每隔30秒对被发布的服务器场中的每个Web服务器使用HTTP/HTTPSGET进行连接性验证;如果某个Web服务器连接失败,则将客户的访问请求转发到服务器场中其他连接正常的Web服务器,以实现容错;
∙如果服务器场中的所有Web服务器均连接失败,则服务器场发布规则失败。
前面的操作过程是一样的,只是在发布类型页,选择发布一个Web服务器负载均衡服务器场,点击下一步;
在客户端连接安全性页,选择不要求和客户端之间的SSL安全连接,点击下一步;
在内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称(Web站点的主机名头),完成后点击下一步;
在内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此点击下一步;
在指定服务器场页,点击新建按钮,
在弹出的欢迎使用新建服务器场向导页,输入服务器场名称后点击下一步;
在服务器页,点击添加按钮添加包含在此服务器场中的服务器,建议总是使用IP地址来添加,完成后点击下一步;
在服务器场连接性监视页,接受默认的发送HTTP/HTTPSGET请求,点击下一步;
在正在完成新建服务器向导页,点击完成。
在弹出的启用HTTP连接性验证提示对话框上点击是。
在指定服务器场页,你可以选择ISAServer2006对入站Web请求的负载均衡方式,它们主要是针对故障恢复的场景,ISAServer2006中具有以下两种负载均衡模式:
∙基于Cookie的负载平衡:
ISAServer2006基于客户会话来将客户分布到不同的Web服务器,它使用一个Cookie来维持客户端和服务器之间的联系。
例如服务器场中有A、B两台Web服务器,客户C的访问请求被ISAServer2006指定由A进行处理,但是当A出现故障停止服务后,客户C的访问请求将被ISAServer2006故障转移到B;当A恢复服务后,客户C当前通过B进行处理的访问请求将继续由B处理,新的访问请求将由A进行处理。
这种模式可以更好的为客户端提供服务,微软推荐你使用这种模式,但是要求客户端支持使用HTTP1.1和Cookie。
∙基于源IP地址的负载平衡:
ISAServer2006基于客户端的源IP地址来将客户分布到不同的Web服务器,来自相同源IP地址的客户端访问请求将由相同的Web服务器进行处理。
如果客户端不支持HTTP1.1或者Cookie时(如大部分移动设备),建议采用这种方式。
例如服务器场中有A、B两台Web服务器,客户C的访问请求被ISAServer2006指定由A进行处理,但是当A出现故障停止服务后,客户C的访问请求将被ISAServer2006故障转移到B;当A恢复服务后,客户C所有的访问请求将由A进行处理,因此客户C当前通过B进行处理的访问请求将会丢失。
在此我选择基于Cookie的负载平衡,点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择任何域名,点击下一步;
在选择Web侦听器页,在此我选择一个已有的Web侦听器,然后点击下一步;
在身份验证委派页,同样选择无委派,并且客户不能直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,
完成后的服务器场发布规则如下图所示,
同时,ISAServer2006创建了一个连接性验证工具来监视服务器场中的Web服务器。
现在我们在外部的客户端上访问进行测试,访问成功,并且可以看出ISAServer2006将客户端的访问请求转发到了Web服务器10.1.1.7,
现在我将Web服务器10.1.1.7上的Web站点停止服务,ISAServer2006的连接性验证工具监测到Web服务器10.1.1.7出现了故障,
在外部客户端上,我手动进行刷新,此时同样访问成功,不过,可以看出是通过Web服务器10.1.1.8进行的访问。
当服务器场中的所有Web服务器均停止服务后,在外部客户端上访问时,提示500内部服务器错误,并且错误代码是1359。
在ISAServer2006中发布安全Web服务
在ISA2006中发布安全Web服务和在ISA2004中进行发布基本一致。
在进行发布之前,你需要进行以下准备工作:
1、确保在ISAServer上可以正常的访问内部的安全Web服务而不出现任何警告,如下图所示,我在ISAServer上可以正常的访问内部的两台安全Web服务器Chicago.isacn.org(10.1.1.7)和Istanbul.isacn.org(10.1.1.8);
2、将颁发安全Web服务的服务器证书的证书颁发机构的CA证书导入到ISAServer本地计算机的受信任的根证书颁发机构存储中,其实这一步应该是属于上一个步骤的。
然后需要给ISAServer安装相应的服务器证书以实现外部客户和ISAServer之间的安全连接。
从理论上说,绑定在ISAServer外部接口上的服务器证书和内部安全Web服务的服务器证书是没有任何关系的,但是通常都是配置ISAServer使用内部安全Web服务的服务器证书来实现外部客户和ISAServer之间的安全连接。
在此,我先导出被发布的安全Web服务的服务器证书,注意导出时必须导出私钥,然后导入到ISAServer的本地计算机的证书存储中以便使用,如下图所示:
在做好准备工作以后,我们就可以进行安全Web服务的发布了。
一、发布单个安全Web服务
首先我以对外发布位于Istanbul.isacn.org(10.1.1.8)上的安全Web服务为例,外部的DNS服务器将域名Istanbul.isacn.org解析到ISAServer的外部IP地址172.16.0.248,外部客户通过访问此IP地址来访问被发布的安全Web服务。
在ISAServer2006管理控制台中右击防火墙策略,指向新建,选择Web站点发布规则;
在弹出的欢迎使用新建Web发布规则向导页,输入规则名称“PublishSSL”后点击下一步;
在选择规则动作页,选择允许,点击下一步;
在发布类型页,选择发布单个Web站点或负载均衡器,点击下一步;
在服务器连接安全性页,选择使用SSL来连接到被发布的Web服务器或服务器场(即使用HTTPS来连接被发布的服务器),点击下一步;
在内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称,ISAServer将使用此名称来连接到被发布的安全Web服务器,并且此名字必须和对应的安全Web服务器所绑定的证书的公共名字相匹配;为了便于ISA连接到内部的安全Web服务器,建议你勾选使用计算机名或IP地址来连接到被发布的服务器,然后输入服务器的IP地址,完成后点击下一步;
在内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此直接点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择以下域名,输入外部域名istanbul.isacn.org后点击下一步;
在选择Web侦听器页,点击新建按钮;在弹出的欢迎使用新建Web侦听器向导页,输入侦听器名称后点击下一步;
在客户端连接安全性页,选择要求和客户端之间的SSL安全连接,点击下一步;
在Web侦听器IP地址页,勾选外部网络,然后点击选择IP地址按钮来配置Web侦听器侦听的IP地址;
ISAServer的外部接口具有两个IP地址,由于在此我只想将发布的安全Web服务绑定在172.16.0.248这个IP地址上,因此选择指定位于被选择的网络中的ISAServer计算机的IP地址,然后选择172.16.0.248,点击添加,然后点击确定;然后在Web侦听器IP地址页点击下一步;
在侦听器SSL证书页,选择为每个IP地址分配一个证书,然后点击172.16.0.248,再点击选择证书,
在选择证书对话框,点击对应的服务器证书,然后点击选择,
在侦听器SSL证书页点击下一步;
在身份验证设置页,设置ISAServer2006是否对请求访问的客户进行身份验证。
需要注意的是,此身份验证是由ISAServer要求客户进行,和被发布的Web服务器没有任何关系。
不过在ISAServer2006中增强了对于身份验证委派的支持,因此你可以设置ISAServer要求客户身份验证,然后ISAServer再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器,从而避免客户端被提示要求进行多次身份验证。
在此我不需要ISA2006对客户端进行身份验证,因此选择无身份验证,点击下一步;
在单点登录设置页,由于只有基于HTTP表单的身份验证才支持SSO,因此无法进行配置,直接点击下一步;
在正在完成新建Web侦听器向导页点击完成,然后在选择Web侦听器页点击下一步;
在身份验证委派页,由于被发布的安全Web服务可能会要求客户端进行身份验证,因此我选择无委派,但是客户端可以直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,此时Web发布规则就创建好了,点击应用保存修改和更新防火墙策略。
我们在外部网络的客户上访问进行测试,访问成功,如下图所示:
而ISA2006上的日志如下图所示:
二、发布多个安全Web服务
在此,我将利用前面创建的安全Web服务发布规则和Web侦听器,通过复制规则再发布位于Chicago.isacn.org(10.1.1.7)上的安全Web服务,外部的DNS服务器将域名Chicago.isacn.org解析到ISAServer的另外一个外部IP地址172.16.0.247,外部客户通过访问此IP地址来访问被发布的安全Web服务。
在ISA2006管理控制台的防火墙策略面板中右击刚才创建的“PublishSSL”规则,选择复制,然后再次右击,选择粘贴,此时复制出了一条安全Web发布规则,双击此规则打开规则属性对话框,首先在常规标签修改规则名称,然后在到标签修改被发布的站点名和服务器IP地址;
在公共名字标签,修改允许外部客户访问的公共名字;
然后在侦听器标签,点击属性,
在弹出的侦听器属性对话框上,点击
升级会员 