允许外部客户使用ISA防火墙的Web代理服务三(图)网络服务器
“你看那边啊”通过精心收集,向本站投稿了8篇允许外部客户使用ISA防火墙的Web代理服务三(图)网络服务器,下面就是小编给大家带来的允许外部客户使用ISA防火墙的Web代理服务三(图)网络服务器,希望大家喜欢,可以帮助到有需要的朋友!
篇1:允许外部客户使用ISA防火墙的Web代理服务三(图)网络服务器
在选择协议页,默认已经选择为刚才新建的协议,点击下一步; 在IP地址页,勾选外部,点击下一步继续; 在正在完成新建 服务器 发布规则向导页,点击完成; 现在我们来修改刚创建的这条服务器发布规则,只对外部客户39.1.1.8开放,双击刚创建好的这条规则,在
在选择协议页,默认已经选择为刚才新建的协议,点击下一步;
在IP地址页,勾选外部,点击下一步继续;在正在完成新建服务器发布规则向导页,点击完成;
现在我们来修改刚创建的这条服务器发布规则,只对外部客户39.1.1.8开放。双击刚创建好的这条规则,在弹出的属性对话框,点击从标签,点击列表框中的Anywhere,再点击移除,
然后点击添加按钮;
在弹出的添加网络实体对话框,点击新建,在此我仅对39.1.1.8开放,所以我点击计算机,如果你要对多个外部客户开放,可以根据你的需要进行选择;
在弹出的新建计算机规则元素对话框,分别在名字和IP地址栏输入39.1.1.8,然后点击确定;
然后在添加网络实体对话框,选择刚才创建的计算机对象39.1.1.8,点击添加,
然后在规则属性对话框上点击应用,
现在我们需要配置发布规则,将请求显示为来自ISA防火墙,因为外部客户不能直接访问内部网络的Web代理服务,
点击到标签,选择请求显示为来自ISA防火墙计算机,然后点击确定;
我们现在仅仅只是允许外部客户通过ISA防火墙访问内部网络的Web代理,但是它是否可以通过代理访问外部的Web站点还需要访问规则的允许。由于外部客户是通过ISA防火墙进行访问,相当于是ISA防火墙通过Web代理服务来访问外部网络中的Web站点,因此我创建了一条访问规则,允许本地主机到外部网络的HTTP协议,如下图所示:
最后,我们同样在外部客户39.1.1.8上进行测试,访问成功。
日志信息和上面的测试基本一样,在此我就不多说了。
原文转自:www.ltesting.net
篇2:WIN技巧:允许外部客户使用ISA防火墙的Web代理服务三(图)
在选择协议页,默认已经选择为刚才新建的协议,点击下一步;
在IP地址页,勾选外部,点击下一步继续;
在正在完成新建服务器发布规则向导页,点击完成;
现在我们来修改刚创建的这条服务器发布规则,只对外部客户39.1.1.8开放,双击刚创建好的这条规则,在弹出的属性对话框,点击从标签,点击列表框中的Anywhere,再点击移除,
然后点击添加按钮;
在弹出的添加网络实体对话框,点击新建,在此我仅对39.1.1.8开放,所以我点击计算机,如果你要对多个外部客户开放,可以根据你的需要进行选择;
在弹出的新建计算机规则元素对话框,分别在名字和IP地址栏输入39.1.1.8,然后点击确定;
然后在添加网络实体对话框,选择刚才创建的计算机对象39.1.1.8,点击添加,
然后在规则属性对话框上点击应用,
现在我们需要配置发布规则,将请求显示为来自ISA防火墙,因为外部客户不能直接访问内部网络的Web代理服务,
点击到标签,选择请求显示为来自ISA防火墙计算机,然后点击确定;
我们现在仅仅只是允许外部客户通过ISA防火墙访问内部网络的Web代理,但是它是否可以通过代理访问外部的Web站点还需要访问规则的允许。由于外部客户是通过ISA防火墙进行访问,相当于是ISA防火墙通过Web代理服务来访问外部网络中的Web站点,因此我创建了一条访问规则,允许本地主机到外部网络的HTTP协议,如下图所示:
最后点击应用保存修改和更新防火墙策略。
最后,我们同样在外部客户39.1.1.8上进行测试,访问成功。
但是会话中显示的Web代理客户是ISA防火墙的IP地址,而不是外部的客户39.1.1.8。
日志信息和上面的测试基本一样,在此我就不多说了。
篇3:WIN技巧:允许外部客户使用ISA防火墙的Web代理服务二(图)
现在,我们需要创建允许此外部网络客户访问位于默认的外部网络的Web服务器23.1.1.8的访问规则,右击防火墙策略,指向新建,选择访问规则;
在弹出的欢迎使用新建访问规则向导页,输入名字为Allow External WPC access,点击下一 步;
在规则动作页,选择允许,然后点击下一步;
在协议页,选择选择的协议,然后点击添加按钮加入HTTP协议,再点击下一步;
在访问规则源页,添加我们刚才创建好的外部网络External Web Proxy,点击下一步;
在访问规则目的页,添加默认的外部网络,点击下一步;
在用户集页接受默认的所有用户,点击下一步;
最后在正在完成新建访问规则向导页,点击完成,此时,我们的访问规则就创建好了,点击应用保存修改和更新防火墙策略,
现在,我们在外部客户39.1.1.8上进行测试,首先,配置IE属性,使用ISA防火墙的外部IP 39.1.1.1上的Web代理服务,
然后进行访问,访问成功。
在ISA防火墙的会话中,可以看到客户39.1.1.8的Web代理会话:
实时日志中也可以看到外部客户的访问,
最后再看看Web服务器上的日志,可以很清楚的看到,是外部客户通过ISA防火墙的Web代理服务来进行访问的,日志中所记录的客户端IP地址是ISA防火墙的外部IP,
方案二 对外发布内部网络中的Web代理服务
步骤如下:
启用内部网络的Web代理服务;
发布内部网络中的Web代理服务;
修改服务器发布规则,只对外部客户39.1.1.8开放Web代理服务,并且将请求显示为来自ISA防火墙;
创建允许ISA防火墙访问外部网络的HTTP协议的访问规则;
测试。
默认情况下,ISA防火墙已经对内部网络启用了Web代理服务,我们直接做服务器发布即可。
在ISA Server 的管理控制台中右击防火墙策略,点击新建,选择服务器发布规则;
在欢迎使用新建服务器发布向导页,输入新发布规则的名字,在此我命名为Publish Web Proxy Service,点击下一步;
在选择服务器页,输入ISA防火墙内部网络适配器的IP地址,在此为10.2.1.1,点击下一步;
在选择协议页,点击新建;
在弹出的欢迎使用新建协议向导页,输入新协议的名字,在此我命名为Web Proxy Service,点击下一步;
在主要连接信息页,点击新建,
在新建/编辑协议窗口,协议类型选择TCP,方向选择入站,然后在端口范围中均输入ISA防火墙的Web代理服务端口8080,然后点击确定;
然后在首要连接信息页,点击下一步;
在辅助连接页,点击下
篇4:ISA防火墙优化方法及使用窍门二(图)
配置对本地地址进行直接访问,直接访问允许Web代理客户不使用Web代理而直接访问资源,你永远也不要让ISA防火墙出现回环访问的情况,直接访问用于避免这一点。配置ISA防火墙为你的企业域名和企业网络中的所有IP地址进行直接访问,唯一的例外是你的ISA防火墙具有多个网络适配器并且你配置ISA防火墙对这些适配器之间的访问进行控制。这种时候,你需要仔细的考虑是否需要直接访问。
在安装ISA防火墙之前对操作系统进行更新。这看起来很简单,但是许多ISA防火墙管理员都忘记了对操作系统进行更新。在安装ISA防火墙之前,你应该把这台将要安装ISA防火墙的服务器放置在安全的内部网络中进行更新,当一切补丁都更新完成后,再安装ISA防火墙。只有当ISA防火墙配置完成后,你才能将这台服务器直接连接到Internet。
修改ISA防火墙网络适配器的名称。这是我必定使用的技巧,在网络连接文件夹,你可以修改ISA防火墙的网络适配器的名称。这对于你配置ISA防火墙时有很显著的帮助。
配置网络适配器在任务栏显示图标。说起网络适配器,我很愿意在任务栏看到ISA防火墙上所有网络适配器的状态, 虽然它只能给你一个很简略的网络通讯状态。你只需要在网络适配器属性中勾选连接后在通知区域显示图标即可。
使用Ipconfig、Netstat、Arp和Nbtstat进行调试。和路由器、交换机一样,ISA防火墙是网络基础的一个重要组成部分。当出现问题时,你需要一些工具来帮助调试网络问题。我在前面提到了网络分析软件,另外这些工具也可以帮助你:Ipconfig、Netstat、Arp和Nbtstat。
在Windows XP SP2客户环境下使用DHCP部署WPAD。WPAD(Web Proxy Automatic Discovery)允许你为你的客户自动配置Web代理和防火墙客户端。WPAD项可以在DNS或者DHCP中进行配置,但是对于使用DNS部署WPAD的情况而言,当分部的用户和总部的用户位于相同的域中时,会解析出和总部用户相同的WPAD项,这导致分部的用户不能正常连接到位于分部的ISA防火墙;对于使用DHCP部署WPAD的情况而言,为了通过DHCP来获得WPAD信息,用户必须作为管理员身份登录,
不过有个好消息是Windows XP SP2支持非管理员身份登录时通过DHCP获得WPAD信息。这解决了分部和总部的用户位于相同的域时,不能使用DNS解析WPAD项的问题。你只需要在分部部署一个DHCP服务器,并配置DHCP WPAD项,指向位于分部的ISA防火墙即可。
不要使用ISA防火墙作为客户机---不要运行任何客户端应用程序。我已经在前面说过了,但是我还想再次(不仅仅是再次,而是一直)提醒你。我知道这可能是你难以打破的习惯,但是请记住,避免在ISA防火墙运行客户端应用程序, 这可以极大的增强它的安全性。
不要允许访问本地主机网络。你应该永远也不要允许到本机主机网络或者从本地主机网络的访问,除非你有特殊的需求。如果你真正需要时,请配置ISA的系统策略来实现,而不要自己创建访问规则来允许,系统策略已经设计为控制ISA防火墙的合法访问。
配置连接限制。通过连接限制,ISA防火墙可以减轻蠕虫病毒或其他自动攻击所带来的影响。你可以在ISA防火墙管理控制台的常规节点下的定义连接限制中配置连接限制,如果你发现部分服务器需要更高的连接限制数,那么你可以为它们进行自定义连接限制。
阻止防火墙客户访问远程端口(只有企业版具有)。防火墙客户端软件增强了ISA防火墙的安全性和可扩展性,它具有的一个功能是可以阻止客户访问指定端口,你可以配置防火墙客户端设置中的DontRemoteOutboundTcpPorts键值来阻止防火墙客户访问部分蠕虫病毒所访问的端口,例如445、1434、5554等等。当客户中了蠕虫病毒时,当病毒发起了针对这些端口的连接,就将被防火墙客户端软件所阻止。
使用远程桌面来管理ISA防火墙。你可以通过两种方式来管理ISA防火墙:加密的RDP通讯或者远程管理MMC。我总是使用RDP来进行管理,因为这样监视和配置更为有效,最重要的是,这样更为安全。RDP通讯使用128位的加密,并且只允许信任的管理计算机到ISA防火墙的3389端口的通讯。或许有人会认为RDP服务不够安全,这是错误的想法,不要听信。
当安装ISA防火墙时,不要连接到Internet。我也已经在前面提过了,但是它值得我再次提及:在配置完成ISA防火墙之前,不要将ISA防火墙连接到Internet。ISA防火墙所在的服务器只有当ISA防火墙安装完成后,它才是安全的。
篇5:ISA防火墙优化方法及使用窍门一(图)
前言:这篇文章和“配置ISA Server计算机网络适配器的TCP/IP设置”是Wool-cool建议我翻译的,因为他希望通过这两篇文章,来减少论坛中出现的初级问题,但是我从来不觉得这些初级问题的出现是因为技术资料的缺乏,我认为这更多的是自学能力的缺乏。其实论坛出现的很多问题,都是可以在网站上找到相应的技术资料的。我们希望授人以渔,而非授人以鱼,也希望大家能够善于利用网站和论坛的搜索功能。
在这篇文章中,Tom介绍了部署和配置ISA防火墙中的一些优化方法和使用技巧,通过这篇文章,你可以了解到如何让你的ISA防火墙运行的更为安全、可靠和高效。
在最近的一次和用户的访谈中,对方提及我还没有在网站上提供ISA防火墙的优化方法及使用技巧。我仔细的回想了自己是如何正确配置ISA防火墙以让它获得最高的性能、安全性及可靠性,然后把这些步骤写了出来,下面就是这些步骤。
由于步骤太多,我只是简单的对每一步骤进行描述,更多的信息可以参阅我的书籍或者ISA中文站上的其他技术文章。
下面就是ISA防火墙的优化方法及使用技巧,它们并没有按照任何规则进行排序,也不代表位于前面的步骤就比位于后面的步骤更为重要:
配置客户作为Web代理客户或者防火墙客户。如果你想让你的ISA防火墙提供比硬件防火墙更为高级的保护,你必须配置你的客户为Web代理客户或者防火墙客户,否则,你会具有和使用硬件防火墙时同样的安全弱点。关于ISA防火墙的防火墙客户端更高级的保护特性,可以参见防火墙客户端是如何工作的:关于ISA防火墙的应用层状态识别功能一文。
DNS服务器设置 -- 配置ISA防火墙使用位于自己保护的网络中的DNS服务器;不要在多个网络适配器上配置相同的DNS服务器。这个是常见的问题,ISA防火墙应该只配置使用一个DNS服务器,并且最好配置为使用被保护的网络中的DNS服务器。不要在ISA防火墙的任何一个网络适配器接口上配置使用外部的DNS服务器,也不要多个网络适配器接口上配置使用相同的DNS服务器。
使用www.arin.net/等来决定入侵者的位置。你想知道发起攻击的数据包来自哪儿吗?你看到了ISA防火墙日志中的源IP地址,但是这个IP地址来自哪儿呢?访问www.arin.net/然后对这个IP地址进行一下whois查询。当你在你的ISA防火墙日志中发现了非法的活动时,这应该是你首先进行检查的地方。
网络后面的网络场景。网络后面的网络通常是在你的ISA防火墙的同个网络适配器后具有多个网络的情况,这个一个简单的概念,但是ISA防火墙和ISA Server 有些不一样,详细的情况,请参见How to:在存在多条路由的内部网络中配置ISA Server 和理解ISA Server 2004中的网络。
规划配置。你必须提前对如何在你的网络中部署ISA防火墙进行规划。请记住,ISA防火墙是网络的一个重要组成元素,在你部署ISA防火墙之前,请仔细的考虑你应该如何对你的网络加以保护。在规划配置时, 你应该考虑以下几点:
确认使用的协议:你需要开放哪些协议?哪些协议是你的商业应用程序所需要的?
确认基于用户/组的访问策略:考虑哪些用户需要访问什么资源,提前考虑如何创建你的ISA防火墙用户组以允许用户访问他们需要的资源,
对每条策略都使用最小特权原则,并避免使用拒绝策略。
确认日志记录的需求:确认你需要什么类型的日志记录方式。当你位于一个控制严格的环境,你可能想要记录下所有的活动,那么你可以配置你的ISA防火墙为域成员并部署Web代理客户和防火墙客户。这不仅仅增强了ISA防火墙提供的安全级别,并且也对你的日志记录能力有显著的帮助。
使用DMZ网络来区分安全区域:ISA防火墙支持无限 数量的网络接口,网络接口的数量只是受到物理硬件的限制。使用DMZ网络来对你的组织中进行安全区域的划分,在不同的安全区域间部署ISA防火墙并严格的加以控制,这样就可以保护入侵者的攻击。关于如何部署DMZ网络,请参见How to :在ISA Server 2004中配置DMZ网络一文。
不要在ISA防火墙安装其他的服务。ISA防火墙应该永远只是作为一个防火墙,而不再担当额外的服务器角色。不要把ISA防火墙作为文件服务器、Web服务器、Ftp服务器等等,唯一的例外是ISA防火墙安装在SBS SP1服务器之上,但是这样ISA防火墙的安全性会因为SBS服务器应用程序的安全性降低而降低。
使用Windows server 2003的安全配置向导或者按照ISA防火墙强化指南来对服务器进行安全强化。ISA防火墙应该总是安装在一个健壮的操作系统之上,不要在Windows server 2000上安装ISA防火墙,你应该总是在Windows server 2003上进行安装。使用Windows server 2003的安全配置向导来对操作系统进行强化配置,如果你不愿意,也可以按照ISA防火墙安全强化指南来对服务器进行配置,参见ISA Server 2004 安全强化指南。
安装网络分析软件用于故障调试。对于网络和防火墙调试的唯一方法是进行网络数据包分析。微软在Windows server 2000和Windows server 2003中提供了网络监视器,当然你也可以自己去购买一个商业版本的网络分析软件,因为商业版本的网络分析软件往往提供了更多的高级特性及分析特性。你可以在安装ISA防火墙之前或之后安装网络分析软件。
唯一的默认网关。ISA防火墙只支持一个默认网关, 一个常见的问题是防火墙管理员在ISA防火墙的多个网络适配器接口上都配置了默认网关。ISA防火墙只支持一条默认路由,并且默认网关应该总是在靠Internet最近的网络适配器上进行设置。如果ISA防火墙需要访问不能通过默认网关访问的远程子网(如网络后面的网络),你可以通过手动添加路由来实现。
在ISA防火墙的外部接口上禁止NetBIOS over TCP/IP。通常在ISA防火墙的外部网络适配器上启用NetBIOS over TCP/IP没有什么意义,你可以禁止它。 对于国内最常见的ADSL拨号环境,连接ADSL Modem的网卡上也可以直接取消TCP/IP协议的绑定,详情参见在拨号上网环境中部署ISA防火墙可能会出现的兼容性问题。
篇6:通过ISA防火墙允许FXP servu建立服务软件教程
FXP(File Exchange Protocol,文件交换协议)是用于在FTP服务器间交换文件的协议,属于FTP命令的子集,它的工作步骤如下:
FTP控制客户端同时连接到FXP源和目的FTP服务器(无论FTP服务器工作在PORT模式还是PASV模式);
FTP控制客户端向FXP的源FXP服务器(被下载的FTP服务器)发送一个PASV指令,让它开放一个数据连接端口等待连接;
FTP控制客户端向FXP的目的FXP服务器(上传到的FTP服务器)发送一个PORT指令,让它去连接源FXP服务器开放的数据连接端口;
当连接成功时,FXP服务器之间就可以进行文件传输操作了。
为了完成FXP,FTP服务器和FTP控制客户端都必须支持使用FXP,并且至少有一方FTP服务器支持PASV模式。默认情况下,FXP的源FTP服务器工作在PASV模式,而FXP的目的FTP服务器工作在PORT模式,你可以通过修改FTP控制客户端的选项来修改它们的工作模式。
但是,FXP所使用的FTP命令不受ISA防火墙的FTP访问筛选器支持,所以如果要使用FXP,必须自行创建协议来允许FTP客户端对FTP服务器的访问;只要FTP客户端可以正常访问FTP服务器,就可以进行FXP传输。但是,当取消使用FTP访问筛选器时,如果FTP服务器工作在PORT模式,ISA防火墙不能正确识别FTP服务器到FTP客户端的FTP数据连接,从而导致PORT模式下FTP连接失败,所以,你需要额外创建一条访问规则允许FTP服务器到FTP客户端的数据连接。
在这篇文章中,我使用的FTP控制客户端软件是FlashFXP,使用的FTP服务器是Serv-U,默认情况下它们均支持FXP。试验中所使用的FTP服务器的服务控制端口均为21,并且允许了使用PASV模式。为了便于在ISA防火墙上进行发布,我将FTP服务器所使用的PASV端口限制为31000~31020,如下图所示。
根据FTP服务器的配置,我在ISA防火墙中创建了以下三个规则元素,并在不同的环境中使用:
1、入站协议FTP 21 Server(TCP入站端口21,TCP入站端口31000~31020),用于FTP服务器发布;
2、出站协议FTP 21(TCP出站端口21,TCP出站端口31000~31020),用于允许到FTP服务器的访问;
3、出站协议TCP 1025-65535(TCP出站端口1025~65535),用于允许FTP服务器到FTP客户端的数据连接;
根据FTP服务器和ISA防火墙之间不同的部署环境,我分为三个部分进行阐述。在这篇文章中,我将省略创建访问规则和发布规则的具体步骤,关于这方面的详细信息,请参见ISA中文站上的相关技术文章。
[Page]1、ISA防火墙作为FTP控制客户端
当ISA防火墙作为FTP控制客户端时,你应该让FTP服务器工作在PASV模式,否则你需要创建一条访问规则允许FTP服务器到FTP客户端(ISA防火墙)的FTP数据连接,这会给ISA防火墙带来极大的安全隐患。
思考一下当ISA防火墙作为FTP控制客户端时,FXP是怎么工作的:ISA防火墙只是连接到这两台FTP服务器,然后发出FXP控制指令,之后就是这两台 FTP服务器之间自行进行传输数据。因此,当ISA防火墙作为FTP控制客户端时,问题的核心在于如何让ISA防火墙正常的连接到这两台FTP服务器。
如下图中的网络环境,ISA防火墙(10.2.1.1)将控制内部网络中的两台FTP服务器(10.2.1.8、10.2.1.5)进行FXP传输。
我创建了以下两条访问规则,规则元素的详细说明参见前文介绍。其中第二条访问规则用于允许内部FTP服务器向FTP客户端(ISA防火墙)发起数据连接,只有当FTP服务器工作在PORT模式时才需要,在此我是禁用了的,因为这条规则会极大的降低ISA的安全性,强烈推荐不要使用此规则(即让FTP服务器工作在PASV模式),
然后,在ISA防火墙上运行FlashFXP,通过PASV模式连接到这两台FTP服务器,进行FXP传输,成功,如下图所示:
2、通过ISA防火墙对外发布的内部FTP服务器进行FXP传输
当通过ISA防火墙对外发布的内部FTP服务器需要进行FXP传输时,需要注意以下两点:
如果此内部FTP服务器工作在PASV模式,你需要设置FTP服务器使用ISA防火墙侦听的外部网络IP地址作为PASV IP地址;
如果此内部FTP服务器工作在PORT模式,你需要允许内部FTP服务器到外部FTP客户端的FTP数据连接;
如下图中的网络环境,内部的FTP服务器Denver通过ISA防火墙对外发布,侦听的外部IP地址是ISA防火墙的外部IP地址61.139.0.1,我将在Denver和Internet上的FTP服务器Perth之间进行FXP传输,Perth作为FTP控制客户端。
首先,我们将Denver设置为工作在PASV模式,因此需要设置它使用的PASV IP地址为ISA防火墙对外发布的IP地址61.139.0.1,如下图所示:
我创建的发布规则如下,规则元素的详细说明参见前文介绍。因为是使用外部的FTP服务器Perth作为FTP控制客户端,所以无需允许其他FTP控制客户端的FTP访问,如果其他主机作为FTP控制客户端,可能还需要创建额外的访问规则允许其FTP访问:
然后,在外部FTP服务器Perth上运行FlashFXP,通过PASV模式连接到这两台FTP服务器,进行FXP传输。默认情况下,FXP的源FTP服务器工作在PASV模式,而FXP的目的FTP服务器工作在PORT模式,因此当Denver作为源FXP服务器时,传输不会出现问题;
而当Denver作为目的FXP服务器时,Denver发起的FTP数据连接将会ISA防火墙阻止,导致传输失败。你可以配置FlashFXP让Denver作为目的FXP服务器时也工作在PASV模式,如下图所示:
或者在ISA防火墙上创建访问规则允许Denver到Perth的FTP数据连接,如下图第一条规则所示:
此时,Denver即可正常使用PORT模式进行FXP传输。
[Page]3、FTP服务器运行在ISA防火墙上
当FTP服务器运行在ISA防火墙上时,你可以通过发布规则或者访问规则来允许FXP传输。例如下图中的网络环境,FTP服务器运行在ISA防火墙Istanbul上,我将在Istanbul和Internet上的FTP服务器Perth之间进行FXP传输,Perth作为FTP控制客户端。
如果通过发布规则进行,需要创建的发布规则和上面一种情况类似,如下图所示:
但是,如果你发布的服务器地址为ISA防火墙的内部IP地址(如上图所示),你同样需要配置FTP服务器使用ISA服务器所侦听的外部网络地址61.139.0.1作为PASV IP地址。如果发布的服务器地址为ISA防火墙的外部IP地址(如下图所示),就不再需要设置FTP服务器使用的PASV IP地址了。
如果采用访问规则进行,则步骤更为简单,FTP服务器侦听ISA防火墙的外部IP地址,然后配置ISA防火墙使用以下访问规则即可,其中第一条访问规则允许外部FTP客户使用PASV模式连接到ISA防火墙,而第二条规则则允许外部FTP客户使用PORT模式连接到ISA防火墙。
关 键 字:通过ISA防火墙允许FXP serv-u建立服务
篇7:ISA Web代理服务拒绝用户再次进行身份验证二
命令完成后,复位对应网络的Web代理服务(禁用再启用此网络的Web代理服务,记得每个步骤都必须点击 应用 按钮保存修改和更新防火墙策略)即可,
在此我给大家演示一下:
我在ISA Server 2004的访问规则中要求进行用户身份验证,如下图所示,默认内部网络中启用了Web代理服务,并且只使用了集成身份验证,
配置客户为Web代理客户,
当我在浏览器中输入ISA中文站的地址时,由于当前登录账户未能通过ISA Server 2004的集成身份验证,所以访问被拒绝,错误代码是502,ISA防火墙拒绝了指定的URL地址。
从Sniffer上捕获的数据可以看出,ISA防火墙在用户提交的身份验证信息未能通过验证时,返回了一个502的错误信息,拒绝用户的访问。
现在,我执行脚本文件来修改ReturnDeniedIfAuthenticated属性,命令成功完成,
然后复位内部网络的Web代理服务(禁用再启用内部网络的Web代理服务,记得每次修改后点击应用按钮保存修改和更新防火墙策略),
现在我们再打开浏览器来访问ISA中文站,注意,此时虽然同样未能通过ISA防火墙的集成身份验证,但是浏览器却弹出对话框提示你输入身份验证信息,
输入可以通过验证的账户信息,
此时,用户输入的身份验证信息通过ISA防火墙的验证,ISA防火墙允许客户的访问。
同样在Sniffer上查看捕获的数据包,你可以发现ISA防火墙这次返回的是407的错误信息(要求用户进行身份验证)而不是返回502来拒绝客户的访问。
如果你查看一下ISA防火墙中的会话,你会发现比较有趣的事情,会话中相同的客户IP地址却有三个不同的Web代理会话,这是为什么呢?
这是因为ISA防火墙认为Web代理客户会话是IP地址和用户名的结合,在这个客户的IP地址上,总共有三个用户登录(虽然Anonymous和前面一个s开头的用户被ISA防火墙拒绝访问),所以ISA防火墙认为有三个Web代理客户会话。
该脚本支持ISA Server 2004的标准版和企业版。对于企业版的环境,可以在任何一台ISA Server服务器上执行此脚本。
篇8:妙用DNS解析实现防火墙客户的重定向(图)网络服务器
前言:现在很多公司都使用微软的活动目录对 网络 进行管理,其中内部DNS 服务器 是不可或缺的一个组成部分,我们知道,对于ISA的防火墙客户端通过ISA访问网络资源时,其DNS解析由ISA服务器帮助完成,你是否有想过,通过的内部DNS服务器和防火墙客户端结合,
前言:现在很多公司都使用微软的活动目录对网络进行管理,其中内部DNS服务器是不可或缺的一个组成部分。我们知道,对于ISA的防火墙客户端通过ISA访问网络资源时,其DNS解析由ISA服务器帮助完成,你是否有想过,通过的内部DNS服务器和防火墙客户端结合,能够巧妙的解决很多实际问题。
这篇文章里,我将通过两个CASE,讲述使用两者结合的方法解决两个实际问题。
声明:这两个CASE都是我近期遇到的问题,其中解决第一个CASE的是我的一个同事,他为我提供了一种新的思路;第二个CASE则是我沿用这种思路,解决新的问题。
CASE1:
问题描述:Contoso公司的网络环境如下图所示:
该公司使用ISA 2004作为代理服务器。
公司内部网络采用单林单域模式,内部DNS名为contoso.com,在Internet上注册的域名亦为contoso.com。公司有50多台服务器,包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等,其中邮件服务器、OA服务器均为双网卡,而FTP服务器与Web服务器均只有外网卡,数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连,且在Internet上注册有合法的DNS名。
公司内部客户机的TCP/IP配置中,将DNS指向内部的DNS服务器,有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度,要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。
分析存在的问题:OA服务器和邮件服务器数量总和大约在30台,如果一台一台在ISA控制台上设置“访问不通过代理服务器”,工作量较大,且将来添加新服务器时,需要在ISA上添加相应的纪录;另一方面,如果在ISA上直接设置Bypass *.contoso.com,那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和www.contoso.com(因为这几台Server没有内网卡)。
解决方案:其实解决的方案有很多,但下面这种最简单的不知道你想到没有:
在ISA Server上对*.contoso.com进行Bypass,然后在内部DNS为ftp.contoso.com和www.contoso.com分别新建两条A纪录,指向各自的外网IP。
我们以www.contoso.com为例,来考虑一下现在的客户机访问过程:
1、用户通过IE访问www.contoso.com,通过防火墙客户端向ISA Server发送请求,要求进行解析;
2、ISA判定访问此web站点不需要经过ISA Server;
3、客户端向内网DNS查询www.contoso.com的地址,内部DNS返回这台服务器的外网IP;
4、客户端判定IP地址在外网,向ISA发送访问此IP的请求;
5、代理服务器通过策略处理,响应请求,连接建立,
正如上述过程所描述的,防火墙客户端模式的客户机通过使用内部DNS服务器的解析,实现了对外部资源的访问。
请仔细体会一下其中的过程,然后接着看CASE2。
CASE2:
背景描述:BlueEye公司位于上海,是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后,未对BlueEye的AD架构进行更改,而保持了其原有的内部DNS名:BlueEye.com,只是将其电子邮件名统一为Contoso.com,且要求其通过使用总部的邮件服务器进行邮件的发送与接受,便于邮件的监控。
两家公司的网络结构图简单表示如下所示:
某日,Contoso通知BlueEye其SMTP.contoso.com突然Down机,正在进行抢修,要求BlueEye的IT部门通知BlueEye的内部用户(1000多人)更改OE的设置,使用SMTP2.contoso.com作为临时的SMTP服务器。
分析:如果通知所有用户修改OE设置,等原先的SMTP服务器修复后还需要再更改回来,必定会造成用户的不满;同时,总部的 SMTP2.contoso.com服务器供另一家分公司使用,暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢?
解决方案:如果你看过CASE1,应该会有一个思路:能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP,然后再向ISA发送访问请求呢?
自然是可以的,方法如下:
(1)在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成),命名为contoso.com
(2)在contoso.com中新建一条A纪录,将SMTP.contoso.com指向61.0.0.2
(3)在ISA Server上中将SMTP.contoso.com添加到标签Domains中;
(4)客户机刷新防火墙策略后,即可成功接收和发送邮件。待smtp服务器修复后,删除所作的更改即可恢复原来的状态,而不需要在客户端进行任何的修改。
上述两个CASE,没有用到什么高深的知识,只是通过思路的转变,就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。
原文转自:www.ltesting.net
【允许外部客户使用ISA防火墙的Web代理服务三(图)网络服务器】相关文章:
文档为doc格式