首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-安装和规划 > 配置直接访问的站点:第二部分 配置防火墙客户和服务发布环境下的直接访问
现在时间是: 2019-02-19 18:35
配置直接访问的站点:第二部分 配置防火墙客户和服务发布环境下的直接访问

(2005-01-05 17:28)
来源:ISAServer.org

在下一张图中,我们将会看到一个环回路由的例子。何为环回路由,在ISA环境中,它指的是通过ISA防火墙来访问和自己处于ISA防火墙的相同网络中的主机,我们应该尽量避免环回路由

在这个网络图中,内部网络中的防火墙客户想连接到发布的Web服务器www.domain.com,此域名是通过外部的DNS服务器解析为ISA防火墙的外部网卡的IP地址。这样,当这个防火墙客户想访问此发布的Web服务器时,是通过ISA防火墙来进行中转,虽然此Web服务器和发起连接请求的防火墙客户处于同个网络(在此例中,发起请求的防火墙客户和需要连接的Web服务器都处于内部网络中),这样就出现了环回路由。

这个网络环境中的问题有:

  • 防火墙客户通过DNS服务器解析www.domain.com域名的结果是ISA防火墙的外部IP地址;
  • 通过ISA防火墙的环回路由来访问位于和自己处于ISA防火墙的相同网络中的服务器,这样大大的降低了ISA防火墙的性能;
  • 通过ISA防火墙的环回路由进行访问时可能出现故障。
  •  

    在任何情况下,都应该避免通过ISA防火墙的环回路由。

    下图描述了如何避免这一问题,通过分离的DNS服务,内部客户解析此域名www.domain.com的结果为内部网络中的Web服务器IP地址,所以可以越过ISA防火墙,直接访问此Web服务器。

    分离的DNS服务让外部网络和内部网络中的客户解析相同的名字到不同的主机上。在此例中,外部网络中的客户通过外部的DNS服务器解析此域名www.domain.com到ISA防火墙的外部IP地址上,通过ISA防火墙来访问发布的内部网络中的Web服务器;而内部网络中的客户通过内部的DNS服务器解析www.domain.com到内部网络中Web服务器的IP地址,所以可以直接访问此服务器而不需要经过ISA防火墙。这样可以避免环回路由,大大的提高了ISA防火墙的性能。

    在这种情况下,直接访问的关键在于客户的访问请求,具体在于客户机上TCP/IP的设置。注意此时需要正确的对内部客户的TCP/IP进行配置,让他们使用内部网络中的DNS服务。对于不需要直接访问的环境,你可以不对Web代理客户和防火墙客户配置DNS服务器的IP地址。不过在任何情况下,你都应该在内部网络中部署DNS服务,除非你的网络规模极小。关于如何部署DNS服务,请参见“建立内部的DNS服务器”一文。



    作者:Thomas W Shinder
    责任编辑:风间子

    <<上一页 [1] [2] [3] 下一页>>
    上一篇:配置直接访问的站点:第一部分 配置Web代理客户的直接访问
    下一篇:在拨号上网环境中部署ISA防火墙可能会出现的兼容性问题
    相关信息:

    How to :使用ISA Server 2004配置背靠背的防火墙环境
    关于ISA Server 2004中请求拨号的使用说明
    ISA Server 2004 FAQ: 发布
    ISA防火墙中的防火墙客户身份验证 v1.1
    升级到ISA 2004防火墙的原因

    热点信息 TOP 10
    ISA Server 2004标准版安装指南
    How to :在域环境中配置ISA Server 2004
    How to :使用公共IP地址来访问DMZ中的服务器
    ISA Server 2004 SP2 使用指南 v 1.06
    How To :配置ISA防火墙作为网络间的路由器
    How to :在ISA Server 2004中配置DMZ网络
    How to:在存在多条路由的内部网络中配置ISA Server 2004
    ISA2004 beta2 快速安装指南
    How to : 如何配置ISA Server 的网络环境 v2.0
    How to :在ISA Server 2004中同时使用多条路由

    搜索 SEARCH
    关键字:
    包含:
    搜索于:


    Copyright © ISACN.ORG 2004-2019 All Rights Reserved..