ISA2006最常用的三大功能是访问控制,服务器发布和VPN。访问控制我们在之前的博文中已经谈了不少,今天我们来讨论一下服务器发布。ISA把服务器发布分为Web服务器发布和非Web服务器发布,Web服务器发布又可以细分为安全Web站点发布和Web站点发布,今天我们讨论的是Web站点发布,也就是不使用证书的Web服务器发布。本文将介绍发布Web站点常用的一些技巧以及注意事项,希望能对大家有所帮助。
服务器发布简单地说就是把内网或DMZ的服务器发布到ISA的外网网卡上,让外网用户通过ISA的外网IP就能访问到被发布的服务器。但为什么需要用发布规则呢?为什么不能用访问内规则呢?创建一条访问规则允许外网访问内网被发布的服务器岂不是很简单,而且有些朋友还真就这么做过。俺来解释一下这个问题,什么时候该用访问规则,什么时候该用发布规则取决于源网络和目标网络的网络规则(请参考http://yuelei.blog.51cto.com/202879/84995)。如果源网络和目标网络间的网络规则允许访问,那我们就应该使用访问规则;如果源网络和目标网络间的网络规则不允许访问,那我们就应该使用发布规则。举个例子,内网到外网的网络关系是NAT,网络规则允许从内网到外网单向访问。如果内网访问外网的服务器,我们应该用访问规则;但如果外网要访问内网的服务器,就只能通过发布规则了。
访问规则和发布规则还有一个地方有区别,访问规则使用的协议,方向都是出站;而发布规则使用的协议,方向都是入站。
介绍了一些发布规则的理论,接下来就通过几个实验来介绍如何发布Web服务器。实验拓扑如下图所示,Denver和Perth是内网的Web服务器,Istanbul是外网的测试计算机,Denver同时也是内网的DNS服务器,我们在内网部署了域环境,实际上域并非实验必须,在工作组环境下也是完全可以的。
