首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-服务器发布 > 使用Web代理模式的单网卡ISA Server 2004防火墙发布OWA站点
现在时间是: 2019-02-19 18:35
使用Web代理模式的单网卡ISA Server 2004防火墙发布OWA站点

(2004-08-15 22:04)
来源:ISAServer.org


使用Web代理模式的单网卡ISA Server 2004防火墙发布OWA站点

译自Thomas W Shinder , “Publishing OWA Sites with a Unihomed ISA Firewall (2004) in Web Proxy Mode: Placing the Web Proxy ISA Firewall in a DMZ Segment”
,有修改

 

一些组织希望利用ISA Server 2004防火墙中强大的应用层状态检查机制,但是他们可能已经有防火墙在使用了。对于这些已经拥有了防火墙结构的组织,我常常建议他们把现有的包过滤防火墙放置在ISA防火墙前面,构成一个背靠背的防火墙结构,这为防火墙管理员提供了更好的防火墙保护,这样他们可以在传统硬件防火墙的高速包过滤和ISA防火墙强大的应用层协议状态识别功能之间进行平衡。


但是对于这些防火墙管理员都会产生一个问题,他们可能不会把ISA防火墙和过去的防火墙放置在一起使用。原因可能有:

  • 未知的恐惧 ISA防火墙毕竟是一个新产品,许多防火墙管理员担心它不能像过去已有的防火墙一样安全。他们由于受到微软最近几年的安全漏洞的影响,所以对使用ISA防火墙感到不安。其实目前市场上最流行的两种防火墙每周都会有漏洞通报,所以不应该担心这个。
  • ISA防火墙缺少SIP支持 这是一个大问题,而且也是一个为什么一个组织不把ISA防火墙放置在他们的防火墙结构中的一个主要原因。我最近遇到一个大公司想使用ISA防火墙,以利用ISA防火墙强大的访问控制和报告/日志功能,但是因为他们需要SIP VoIP展示,而ISA防火墙缺乏SIP应用层网关,最后这个计划不得不放弃。
  • 改变现有网络结构的管理成本 许多组织防火墙管理员人手不足,超负荷工作。如果再放置ISA防火墙在现有的网络结构中,就算管理成本小,但是也会造成防火墙管理员也可能没有足够的时间去做。
  • 受到硬件防火墙销售商的欺骗 许多防火墙和网络管理员受到硬件防火墙销售商的影响,认为硬件防火墙比软件防火墙要好很多,事实上不是这样的。ISA防火墙要比许多硬件防火墙都要好,关于这个论点,可以看我的另外一篇文章:ISA Firewall Fairy Tales - What Hardware Firewall Vendors Don't Want You to Know ,URL为 http://isaserver.org/articles/2004tales.html


    因此,许多时候ISA防火墙只能作为Web代理服务器。ISA Server 2000有个安装选项,可以让你把它安装为“Cache Mode”。这种只缓存的ISA Server 2000防火墙只有一个网卡,用于前向和反向缓存。前向缓存特性允许ISA Server成为内部客户的代理,反向缓存特性允许ISA Server成为一个反向的Web代理,以发布内部的服务器。


    ISA Server 2004防火墙没有“只缓存”的安装选项。但是,你可以很轻松的把ISA Server 2004防火墙安装在一台只有一个网卡的计算机上,然后配置ISA Server 2004防火墙作为Web代理服务器。ISA防火墙安装程序会识别这台计算机只有一个网卡,然后自动渲肐SA防火墙只成为Web代理服务器。


    Web代理模式的ISA防火墙是只有一个网卡的计算机,提供前向和反向的缓存,为内部和外部的主机提供代理。你可以使用这个配置来发布OWA、OMA和基于HTTP的RPC站点。事实上,你可以发布任何类型的Web站点。使用ISA防火墙来作Web代理,主要是可以利用它的强大的应用层过滤中的HTTP安全过滤器。


    为了演示如何在已经拥有第三方防火墙的情况下、配置ISA防火墙作为Web代理模式,我们建立了以下的网络,然后基于下图进行配置:


     


    从图中,我们可以看出网络之间通信的路径:

    1. 外部客户发送 http://owa.msfirewall.org/exchange/ 的访问请求;
    2. 三周界的包过滤防火墙配置为转发进入的TCP 80/443端口的连接到位于DMZ网段的
      单网卡ISA防火墙上;
    3. 单网卡ISA防火墙配置了一个Web发布规则,将转发 http://owa.msfirewall.org/exchange/ 的请求转发到内部网络的OWA服务器。
      三周界的包过滤防火墙已经为DMZ和内部网段之间的连接进行了配置,所以单网卡的ISA防火墙转发请求到三周界的包过滤防火墙的DMZ接口。单网卡的ISA防火墙在hosts文件中配置了一项,将www.msfirewall.org映射到包过滤防火墙的DMZ网络接口的IP上。
    4. 三周界的包过滤防火墙配置为转发DMZ网络接口上的TCP 80/443端口的连接请求到内部的OWA服务器上;
    5. 内部OWA服务器将通过包过滤防火墙对单网卡ISA防火墙的请求进行回应;
    6. 单网卡ISA防火墙收到OWA服务器的回应后,因为它配置了默认网关为三周界的包过滤防火墙的DMZ接口的IP,
      单网卡的ISA防火墙将会转发回应到三周界的包过滤防火墙的DMZ接口(备注:这只是三周界的包过滤防火墙没有替换进入请求
      数据包的的源IP的情况,单网卡的ISA防火墙通过自己的默认网关将回应数据包直接发送给外部的客户;如果三周界的包过滤防火墙替换了进入请求的源IP,那么
      单网卡ISA防火墙只会把回应返回给三周界的包过滤防火墙
      )。
    7. 三周界的包过滤防火墙转发回应给初始化连接的外部客户。

    这个简单的示例网络配置的IP信息如图所示,我们将使用三周界的ISA防火墙来模拟非ISA的简单包过滤防火墙,就像硬件防火墙一样。为了尽量的模拟硬件防火墙,我们将在三周界的ISA防火墙上为HTTP连接建立从外部到DMZ和从DMZ到内部的服务器发布策略。

    另外,在这个讨论中,我们不会讨论PKI和证书分配的细节。我们将尽量像传统的包过滤防火墙一样来配置三周界的ISA防火墙,所以你可以从这篇文章中讨论的原理和过程来推测你的组织中现有的硬件防火墙。


    我们在这篇文章中会经历以下步骤:

    • 在三周界ISA防火墙上建立DMZ网络;
    • 建立从DMZ网络到外部网络的NAT网络规则;
    • 建立从内部网络到DMZ网络的NAT网络规则;
    • 在三周界ISA防火墙上建立服务器发布策略,转发发往三周界ISA防火墙的外部接口的TCP 80端口的请求到DMZ网络的ISA防火墙上;
    • 在三周界ISA防火墙上建立服务器发布策略,转发发往三周界ISA防火墙的DMZ接口的TCP 80端口的请求到内部网络的OWA服务器上;
    • 在DMZ网段的单网卡ISA防火墙上安装ISA防火墙软件;
    • 在DMZ网段的单网卡ISA防火墙上建立Web发布策略,发布内部网络的OWA站点;
    • 在DMZ网段的单网卡ISA防火墙的hosts文件中建立对应项,映射OWA站点的FQDN到三周界ISA防火墙的DMZ接口的IP上;
    • 从外部客户上建立连接。


    在这个例子中,我们只是建立了需要的策略,虽然很简单,但是已经完全够用了。


    作者:Thomas W Shinder
    责任编辑:风间子

[1] [2] [3] [4] [5] 下一页>>
上一篇:图解ISA2004 Web服务器发布
下一篇:ISA Server 2004 FAQ: 发布
相关信息:

扩展ISA 2004防火墙的SSL隧道端口范围
How to:在域环境中部署ISA Server 2004企业版
ISA Server 2004 VPN技术资料下载
设计ISA Server 2004计算机的Windows服务基础
在ISA Server 2004中发布VPN服务器

热点信息 TOP 10
使用ISA防火墙的OWA发布规则来发布OWA站点
How to:发布位于本地主机上的Web站点
How to:在ISA Server 2004中发布安全Web服务
How to :使用域名发布多个Web站点
使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器
在托管主机单网卡环境下如何进行web发布
How to :发布内部网络中的文件共享服务
通过ISA防火墙的安全Exchange RPC过滤器允许任何地点的Outlook客户访问
How to : 在ISA Server 2004中发布内部网络中的PcAnyWhere服务器
使用ISA Server 2004 发布Web站点

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..