利用ISAServer2020發(fā)布DMZ區(qū)服務(wù)器

利用ISAServer2020發(fā)布DMZ區(qū)服務(wù)器利用ISAServer2006公布DMZ區(qū)服務(wù)器上次咱們通過設(shè)置防火墻策略使內(nèi)網(wǎng)用戶能夠上網(wǎng)了，同時通過配置緩存加快了訪咨詢Internet的速度。今天我們的任務(wù)確實是把外圍區(qū)域（DMZ）的服務(wù)器公布出去。我重點會去講web服務(wù)器的公布。其它的服務(wù)比如：mail、FTP、DNS差不多上一樣的，大伙兒把握一種方法其它的就都學會了啊。拓撲圖在下面，前面兩次盡管也是這幅圖，但我們一直沒有講到的一個地點，確實是DMZ區(qū)域，在ISAServer中它又叫外圍區(qū)域。接下來我們就要把那個區(qū)域中的服務(wù)器公布到外部供Internet上的朋友們訪咨詢。什么緣故不讓他們直截了當訪咨詢而要通過公布的方式呢？因為假如沒有防火墻的愛護，直截了當暴露在外網(wǎng)的話，估量不到兩分種就歇菜了。什么病毒啊，黑客啊全來了。因此我們要把它們公布出去，如此Internet上的用戶訪咨詢外網(wǎng)接口，就等于訪咨詢了DMZ區(qū)域中的服務(wù)器。我想大伙兒在路由器上都應(yīng)該做過NAT，NAT有個技術(shù)叫PAT，它也能夠用來公布服務(wù)器，通過端口來定位服務(wù)。咱這和那個道理是一樣的。我們還要把這些服務(wù)器公布到內(nèi)網(wǎng)——而不是讓他們直截了當訪咨詢，什么緣故呢？“家賊難防”！，就不用講明了。來看看具體的步驟吧！第一依舊分析一下拓撲。為了大伙兒看起來方便我把大致的的信息排列到下面：1.

DMZ區(qū)域中有兩臺服務(wù)器，分不是：1>.web服務(wù)器主機名：IP:0/16GW:2>.mail服務(wù)器主機名：IP:0/16GW:2.

ISAServer的三塊網(wǎng)卡IP分不為：1>.內(nèi)網(wǎng)卡LANIP：/242>外圍網(wǎng)卡DMZIP：/163>外網(wǎng)卡WANIP:/8要緊的TCP/IP參數(shù)確實是上面排列的那些，其他沒講到的咱們邊做邊講吧。前面一直是那個圖，但事實上DMZ區(qū)我們并沒有去用到它，因此這之前我們一直是一種邊緣防火墻的部署方式。這次們就來開創(chuàng)這塊非軍事化區(qū)（DMZ）。使之成為三向外圍部署方式。1．打開“ISA服務(wù)治理器”，展開“配置”，選擇“網(wǎng)絡(luò)”，在右邊的模板欄里選擇3向外圍網(wǎng)絡(luò)，就會顯現(xiàn)下圖的界面。如圖：2.連續(xù)單擊兩個下一步，就到了指定內(nèi)網(wǎng)卡的地點，點擊添加適配器，加入內(nèi)網(wǎng)卡（LAN）確定確實是如下的界面。（注意可不添錯了?。?.依舊一樣，那個地點確實是添加外圍網(wǎng)卡（DMZ），單擊添加適配器，把DMZ網(wǎng)卡添進來就能夠了。5.好了，確認一下設(shè)置的內(nèi)部和外圍等信息，看看有沒有什么咨詢題，沒有的話就能夠單擊完成了。也許您會咨詢，什么緣故沒有讓選擇外部網(wǎng)卡？您想啊，總共三塊網(wǎng)卡。定義了內(nèi)部和外圍之后剩下的因此是外部嘍！6.到那個界面時，我們點擊應(yīng)用之后確定即可。至此，咱們的網(wǎng)絡(luò)環(huán)境就從原先的邊緣網(wǎng)絡(luò)，變成了三向外圍的網(wǎng)絡(luò)。第二部分：公布web服務(wù)器在各類服務(wù)器的公布中，web服務(wù)器的公布是最多的。其步驟也相對較多一些，把握了web服務(wù)的公布，其它的就簡單的多了。這次重點以公布web服務(wù)器為主。下面是步驟：1.在ISA治理操縱臺里，點擊一下防火墻策略，再點擊任務(wù)欄中的公布網(wǎng)站，如圖，咱們將會在那個界面下做設(shè)置。2.在彈出的web公布規(guī)則向?qū)Ы缑嬷?，我們給它取個名子叫“web服務(wù)公布規(guī)則”，如此做個標識，不人一看就明白是干什么用的。如圖：3.在“請選擇規(guī)則條件”選項卡中選擇“承諾”。記住，ISA里面的規(guī)則操作除了承諾確實是拒絕。6.現(xiàn)在到了配置內(nèi)部公布詳細信息那個地點，把站點名寫到內(nèi)部站點名稱那個地點，然后勾選“使用運算機名稱或IP地址連接到公布的服務(wù)器”，同時不忘了把IP寫上去，如圖：7.上面步驟完了之后下一步就到那個地點了，這是在咨詢我們要公布哪些內(nèi)容，咱們?nèi)慷脊家虼擞脗€“/*”代替就能夠了。8.此處設(shè)置的是公共名稱細節(jié)，在接收要求那個地點選擇“任何域名”。下面的路徑保持默認即可。假如有其它的能夠單獨指定。9.現(xiàn)在選擇Web偵聽器，因為沒有因此就選擇新建，來創(chuàng)建一個。（偵聽器用來指定ISA服務(wù)器偵聽傳入Web要求的IP和端口）10.下面是新建web偵聽器的向?qū)Ы缑?，依舊一樣先取個名子，做個標識。11.那個地點和剛才上面設(shè)置的時候意思是一樣的，依舊選擇第二項“不需要與客戶端建立SSL安全連接”，如圖：12.這一步就比較關(guān)鍵了，它讓我們選擇web偵聽器的IP地址。假如只選擇外部，就只能把服務(wù)器公布到外部，咱這兒是要把服務(wù)器從DMZ發(fā)到內(nèi)網(wǎng)和Internet因此就勾兩項。如圖：13.身份驗證那個地點選擇“沒有身份驗證”即可。那個一樣用的不多。因此為了安全性更高也能夠設(shè)置帶身份驗證的。14.好了，現(xiàn)在把web偵聽器的配置在檢查一下，就能夠點擊完成了。15.有了web偵聽器，我們連續(xù)公布服務(wù)器，注意應(yīng)在次確認一下偵聽器的屬性?？纯从袩o錯誤，沒有就能夠單擊下一步了，如圖：16.在身份驗證委派那個地點選擇“無委派，客戶端無法直截了當進行身份驗證”。17.用戶集那個地點選擇所有用戶即可，因為咱們是讓所有人訪咨詢，假如有專門要求，可依照實際情形去設(shè)置。18.OK，現(xiàn)在策略設(shè)置好了，點擊應(yīng)用之后確定，就能夠測試結(jié)果了。第三部分：測試內(nèi)網(wǎng)用戶和外網(wǎng)用戶訪咨詢DMZ區(qū)域的web服務(wù)器在測試之前先確保緩存開著沒有，盡管并不是必要的，但如此會提高訪咨詢速度。何樂而不為呢！下圖顯示緩存是開著的。現(xiàn)在內(nèi)網(wǎng)的職員只能通過內(nèi)網(wǎng)接口（LAN）來訪咨詢Web站點。然后再通過ISAServer轉(zhuǎn)到真正的web服務(wù)器0上。因此我們要在內(nèi)網(wǎng)中添加一個DNS主機記錄，F(xiàn)QDN為IP為。如圖：在IE中輸入主機名.能夠看到我們能夠正常的訪咨詢web站點。（注意我那個地點開了一臺Linux并啟動了httpd來模擬DMZ區(qū)域中的web服務(wù)器）如圖：Ping一下域名能夠看到ping的事實上是IP為的內(nèi)網(wǎng)卡（LAN）。以此講明，DMZ區(qū)中的web服務(wù)器公布到內(nèi)部網(wǎng)絡(luò)中成功現(xiàn)在到外網(wǎng)客戶機上來測試一下，（注意：外網(wǎng)客戶機的DNS我用的是hosts文件的方式，因此真實環(huán)境下，確信是要在公網(wǎng)DNS服務(wù)器上注冊的）。下圖是用外網(wǎng)客戶機ping出的結(jié)果，如圖，能夠看到ping事實上實在ping外網(wǎng)口的地址?，F(xiàn)在通過那個域名訪咨詢，能夠看到能夠成功訪咨詢。講明DMZ區(qū)域中的web公布到外網(wǎng)成功。現(xiàn)在大伙兒看到了web服務(wù)器的公布，相信公布其它服務(wù)器也不成咨詢題了，事實上都專門簡單。下面我再介紹一下郵件服務(wù)器的公布。1.如圖，這次就選擇防火墻策略中的“公布郵件服務(wù)器”。3.選擇服務(wù)那個地點我們能夠依照需求選擇相應(yīng)的服務(wù)。如圖：4.服務(wù)器地址那個地點設(shè)置的確實是DMZ區(qū)域中的郵件服務(wù)器真實的IP地址。此處是：05.和公布web服務(wù)器一樣，此處也是指定公布到哪些地點去。6.現(xiàn)在郵件服務(wù)器就算公布好了。公布郵件服務(wù)器夠簡單的吧！感受還沒做就完了。測試我這就不做了啊，方法確實是如此。測試前依舊一樣。確保內(nèi)網(wǎng)DNS服務(wù)器上有A記錄。FQDN：IP:;外網(wǎng)除了要去注冊