ISA2006标准版常见问题(一)

  1. 云栖社区>
  2. 博客>
  3. 正文

ISA2006标准版常见问题(一)

像教授 2017-11-26 21:21:00 浏览637
展开阅读全文

  ISA (Internet Security Acceleration)互联网安全加速器,通过检测流经ISA之间的数据,为企业的信息安全提供了一定的保障,对于像RPC 这样 不固定端口的协议,ISA处理的是相当的完美!像这样一款功能强大的产品,对管理员的要求那可是相当”高”!
    下面是使用ISA时常见的一些问题,以下是俺个人见解,还请大家多多指教!
一、 发布的非WEB 服务器,外网用户无法访问
网络拓扑如下:


这是在工作组的环境下,SHANGHAI 做 ISA Server,内网接口ip:10.1.1.1 外网接口ip:192.168.3.1 BEIJING 是内网的服务器,ip:10.1.1.101 我们让TIANJIN 模拟外网 ip :192.168.3.107
现在我们发布BEIJING上的FTP 服务器
打开ISA 服务器管理:右键防火墙策略,选择“新建”—“非WEB 服务器协议发布规则”


为访问规则起个名字


输入BEIJING 的 ip 地址:10.1.1.101


协议选择发布 FTP 服务器的协议“FTP 服务器”协议

下一步我们选择 侦听 外网!

我们在内网来验证 FTP 服务器能否正常的工作!我们在BEIJING 上涌IE 做客户端!如图:FTP Server能正常工作!

测试:在外网TIANJIN 上 我们访问 ISA 的外网卡,会出现下面的提示:


这是怎么回事?FTP Server 能正常工作,ISA 中的策略也允许,不会问题在客户端上吧,更为 不可思议的是:我们现在发布BEIJING 上的 WEB 服务器外网用户很顺利的访问到!
我们将内网的BEIING 的网站 发布到 ISA 的 外网卡,!
在 ISA 服务器管理中,选择新建 “网站发布规则” –名称为“发布BEIJING WEB 服务器”
规则操作 ,我们选择“允许”:

发布类型:选择“发布单个网站或负载平衡器”

WEB 服务器 和 ISA 之间 ,我们使用 HTTP 连接


该站点名称 输入“BEIJING”, 我们再输入他的ip 地址, 确保 ISA 能够和 BEIJING
能够通信!

我们选择发布整个网站!

 公共名称我们允许 ip 和 域名 都可以访问

接下来我们新建一个 侦听 80 端口的侦听器

侦听器和外网用户之间,我们采用HTTP 连接


下面我们选择 侦听外网的 HTTP 请求!


我们采用 ISA Server不能做身份验证


不考虑单一登录的情况

身份验证委派,我们不委派ISA做身份验证,客户端也不能向 WEB Server做身份验证(用户已匿名用户访问)


我们对所有用户开放

我们在 TIANJIN 这台机器上 访问 ISA的外网卡!访问成功!如图:

这是怎么回事啊??怎么WEB 服务器能发布成功,而 FTP Server不能?FTP Server 、ISA Server 和 客户端 都没有问题啊!我们来比较一下 这两条策略
 

我们不难发现
“到发布的服务器的请求”这两个 不同,一个是“使请求显示来自ISA服务器计算机”,另一个是“使请求显示为来自初始客户端”
我们在来看看BEIJING 的 ip参数的设置

没有网关!!!!!当 请求显示为来自初始客户端的时候,FTP Server 怎么 发送信息啊!?? 原来问题在这啊!!!!
现在可以解决啦,要么 添加网关,要么 “使请求来自ISA Server”,
我们添加上网关吧!!!!!!!!
在TIANJIN 上 我们用FTP 访问!!

哦这次我们成功啦!如图:

注意:发布的非WEB Server 必须 配置好网关!
二、 FTP 服务器允许写入但是却不行!!
如图:FTP Server允许 写入

我们用外网的TIANJIN 测试一下!
怎么回事怎么还是不行???

我们到策略上看看!是否被过滤掉啦!!
右键策略 选择 “配置 FTP”

哦 原来是策略 阻止啦!


默认是不允许上传文件的,尽管FTP Server 允许!!!!
我们吧“只读”去掉!!
在来测试一下, 这下可以啦!!






本文转自 位鹏飞 51CTO博客,原文链接:http://blog.51cto.com/weipengfei/343212,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
像教授
+ 关注