使用Web發布規則發布Web伺服器時,出現在您的Web伺服器的日誌檔案中的IP源地址將是運行ISA Server的計算機的內部地址。如果您想在Web伺服器日誌中獲取相關請求的實際IP源地址,就必須使用伺服器發布規則。ISA伺服器使用伺服器發布來處理內部伺服器的傳入請求,如檔案傳輸協定fFTP)伺服器、結構化查詢語言(SQL)伺服器等。請求被轉發到下游位於ISA伺服器計算機後面的內部伺服器。
伺服器介紹,工作方式,規則請求,規則篩選,改寫默認連線埠,規則的使用,發布DNS,禁用規則,
伺服器介紹
伺服器發布規則伺服器發布規則Microsoft Internet Security and Acceleration (ISA) Server 2004 使用伺服器發布來處理內部伺服器 [如檔案傳輸協定 (FTP) 伺服器、結構化查詢語言 (SQL) 伺服器等] 的傳入請求。請求被轉發到下游位於 ISA 伺服器計算機後面的內部伺服器。
伺服器發布實際上允許內部網路上的任何計算機發布到 Internet。由於所有傳入請求和傳出回響都要通過 ISA 伺服器,因此這樣並不會危及安全性。由 ISA 伺服器計算機發布伺服器時,發布的 IP 地址實際上是 ISA 伺服器計算機的 IP 地址。請求對象的用戶認為他們是在與 ISA 伺服器計算機(其名稱或 IP 地址在用戶請求對象時被指定)進行通訊,實際上他們是請求發布伺服器中的信息。從訪問發布伺服器的客戶端所在的網路到發布的伺服器所在的網路存在網路地址轉換 (NAT) 關係時,也是如此。在配置路由網路關係時,客戶端使用發布的伺服器的實際 IP 地址來訪問它。有關網路關係的詳細信息,請參閱網路規則。
伺服器發布規則決定伺服器發布的執行方式,它實際上是篩選通過 ISA 伺服器計算機的所有傳入和傳出請求。伺服器發布規則將傳入請求映射到 ISA 伺服器計算機後面的相應伺服器。這些規則將按照指定,動態授予從 Internet 用戶到特定發布伺服器的訪問許可權。
發布的伺服器是 SecureNAT 客戶端。因此,在 ISA 伺服器計算機上創建伺服器發布規則之後,則無需對發布的伺服器進行特殊配置。請注意,必須將 ISA 伺服器配置為發布的伺服器上的默認網關。
注意
不支持發布 IP 級別和 Internet 控制訊息協定 (ICMP) 首要協定。一個例外情況是點對點隧道協定 (PPTP),該協定是傳輸控制協定 (TCP) 連線和一般路由封裝 (GRE) 數據包的組合形式,並且受支持。 新規則僅套用於新連線。 有關說明,請參閱創建伺服器發布規則。
伺服器發布規則適用於一個協定。有關說明,請參閱為伺服器發布規則配置協定。
工作方式
ISA 伺服器在伺服器發布過程中執行下列步驟:
Internet 上的客戶端計算機從被認為是發布伺服器的 IP 地址請求對象。該 IP 地址實際上與 ISA 伺服器計算機相關聯。這是屬於 ISA 伺服器計算機的外部網路適配器的 IP 地址。 ISA 伺服器計算機處理該請求,將該 IP 地址映射為內部伺服器的內部 IP 地址。 內部伺服器將對象返回到 ISA 伺服器計算機,通過它將對象傳遞給發出請求的客戶端。
規則請求
監視哪些規則拒絕或允許特定通訊的有效方式是對每一條規則啟用日誌記錄。但是,日誌記錄會增加 ISA 伺服器計算機上的負載,並會對性能造成不利的影響。要消除此性能顧慮同時確保全全性,可採用的一種方法是標識將記錄哪些規則。這樣,如果記錄了有關特定協定或源的大量數據,便可以新建一個套用於該類型的通訊、但不為其記錄請求的規則。例如,假設您的策略不允許 DHCP 請求,因此,您會看到許多 DHCP 請求被拒絕。在這種情況下,您可以新建一個訪問規則來拒絕 DHCP 請求,但並不記錄該請求。
通過對特定的規則禁用日誌記錄,可以有效地減少 ISA 伺服器計算機在受到攻擊時的負載。但是,請注意,如果對默認的拒絕規則禁用日誌記錄,ISA 伺服器將無法檢測到連線埠掃描攻擊。
規則篩選
基於每條規則套用應用程式篩選。這意味著您可以選擇最適合於您的特定安全需求的防火牆策略。每條規則篩選可用於 Exchange RPC 篩選器的伺服器發布規則。
改寫默認連線埠
使用 ISA 伺服器發布伺服器時,默認情況下防火牆將偵聽相應協定標準連線埠上的傳入請求,並且將傳入連線傳遞到發布伺服器上的相同標準連線埠。例如,在發布 FTP 伺服器時,ISA 伺服器將偵聽連線埠 21(與 FTP 協定相關聯的連線埠)上的傳入請求,並將傳入連線傳遞到發布的伺服器上的連線埠 21。通過在發布規則中指定其他連線埠,可以改寫標準連線埠。
注意
在發布網路之間存在路由網路關係的遠程過程調用 (RPC) 接口時,將忽略連線埠改寫。發布規則將使用原始 IP 地址和連線埠。 有關說明,請參閱為伺服器發布規則改寫默認連線埠。
規則的使用
在很多情況下,可以使用訪問規則而不是伺服器發布規則來使客戶端可以訪問伺服器。關於伺服器發布規則的使用,請注意以下幾點:
從發布的伺服器的網路到客戶端網路存在 NAT 網路關係時,必須使用伺服器發布規則。 一個伺服器發布規則只能發布一個標識的伺服器。要發布多個伺服器,需要多個規則。 使用伺服器發布規則,可以配置連線埠改寫。有關詳細信息,請參閱改寫默認連線埠。
發布DNS
ISA 伺服器不轉換 DNS 伺服器的 IP 地址。要發布 DNS 伺服器,需在本地主機網路和包含 DNS 伺服器的網路之間配置路由網路關係。同樣,ISA 伺服器必須知道 DNS 伺服器的 IP 地址。
禁用規則
禁用伺服器發布規則之後,將拒絕任何嘗試連線到伺服器的請求。但是,請注意,ISA 伺服器不會關閉活動的連線。有關說明,請參閱禁用防火牆策略規則。
可以通過斷開相關的會話來停止活動的連線。有關說明,請參閱斷開會話。