到目前为止,我们已经对ISA发布Web站点进行了很多介绍,但还没有涉及到安全Web站点。其实在很多领域,安全Web站点都由于高安全性而受到广泛应用,例如在电子商务,电子邮件,OA等用用中基本都会使用安全站点来加强对数据的保护。既然安全站点如此重要,今天我们就来讨论一下如何用ISA2006来发布安全Web站点。
用ISA2006发布安全站点并不是一件困难的事,相仿,ISA2006为管理员发布安全站点提供了灵活且强大的技术支持。以往防火墙在发布安全Web站点时,处理方法并不令人满意。由于安全Web站点对HTTP数据进行了加密,这使得防火墙无法对数据内容进行分析,当然也没办法判断这些数据是否不利于安全。防火墙遇到这种情况,往往就采用“隧道”模式,如下图所示,“隧道”模式让外网的访问请求直接通过防火墙抵达内网的安全站点,防火墙对访问请求直接放行,透明通过。这种方法自然无法让管理员满意,买个防火墙发布网站不就是希望利用防火墙过滤有害数据嘛,现在防火墙让加密数据透明通过,那防火墙还有什么用呢,不如直接把安全网站放到外网好了。
ISA2006对发布安全站点做了很好的改进,ISA2006在发布安全站点时可以采用“桥接”模式,如下图所示,这种模式可以让ISA对外网的发来的加密数据先进行解密,然后过滤检查,发来的数据被证实没问题了才会被重新加密送往内网的Web服务器。显然,桥接模式比隧道模式更能发挥防火墙的功效,对网站的安全更为有利。
ISA并不是随随便便就能启用桥接模式,发布安全Web站点和发布Web站点有所不同,区别就在于安全Web服务器必须提供证书用于数据加密。在桥接模式下,ISA要对外网发来的加密的数据进行解密,这就要求ISA必须拥有证书及配套私钥。例如ISA发布的安全站点是perth.contoso.com,那ISA必须拥有名为perth.contoso.com的证书以及配套的私钥,如果没有证书,ISA无法对外网的访问者证明自己就是他们要访问的perth.contoso.com,如果没有私钥,ISA则无法对加密数据进行解密。因此,ISA启用桥接模式发布安全网站的关键就在于如何让ISA拥有证书以及私钥,我们解决这个问题的方法是让安全Web服务器导出证书及私钥,然后ISA再进行导入操作。
实验拓扑如下图所示,Perth是内网要发布的安全站点,Denver是内网的域控制器兼CA服务器,Beijing是ISA2006服务器,我们看看如何用ISA发布安全Web站点。
