ISA安全发布服务器（FTP）

ISA安全发布服务器

 　6.1　安全地发布服务器
　　 ISA Server使用服务器发布把传入请求处理到内部服务器上。请求向下游转发到位于ISA Server 计

算机以后的内部服务器上。

　　 服务器发布是经过服务器发布规则来配置的。使用ISA Management控制台中的New Server

Publishing Rule向导建立服务器发布规则。从控制台中建立的规则的属性对话框中修改现有服务器发布

规则。

　　 本节学习目标
　　 发布位于ISA Server以后的内部网络服务器

　　 在ISA Server计算机上安全地发布服务器

　　 在边界网络上安全地发布服务器

　　 估计学习时间：35 分钟
　　 6.1.1　发布策略规则
　　 可使用ISA Server来配置包含服务器发布规则和Web发布规则的发布策略。服务器发布规则筛选所

有的传入请求，而后把这些请求映射到适当的受ISA Server服务保护的服务器上。Web发布规则把进入请

求映射到ISA Server以后的适当的Web服务器上。

　　 安装ISA Server时，指定安装模式：Firewal、Cache、或者Integrated模式。所选的安装模式影响

发布策略规则类型的可用性，如表 6.1所示：
 
（图片较大 请放大查看）
　　 6.1.2　服务器发布规则
　　 服务器发布容许内部网上的计算机安全地把服务发布到Internet上。由于全部的传入请求和传出响

应都通过ISA Server，因此不会危及到安全。服务器是由ISA Server计算机发布时，所发布的IP地址就是

该ISA Server计算机的外部IP地址。远程用户请求发布的服务、文件或者对象，直接和ISA Server计算机

进行通讯——该ISA Server计算机的名称或IP地址由请求者指定。以后，ISA Server计算机表明用户向内

部网络上适当的发布服务器提出该请求。外部用户经过ISA Server间接地与受到保护的发布服务器通讯。

　　 服务器发布规则实质上筛选全部经过ISA Server 计算机的请求，而后将这些请求映射到ISA Server

计算机以后的适当的服务器上。这些规则动态地准许 (只有须要时)从Internet用户到适当发布服务器的

访问。

　　 发布服务器是一个安全网络地址翻译客户端机：它不须要安装和激活防火墙。由于发布服务器做为

安全网络地址翻译客户端来处理，在ISA Server 计算机上建立了服务器发布规则以后，发布服务器就不

须要其余特别的配置了。须要说明的是，分配给该ISA Server内部网络接口卡(NIC)的IP地址必须配置为

该发布服务器的默认网关。

　　 6.1.3　服务器发布的工做方式
　　 ISA Server采起以下步骤知足内部服务器的请求：

　　 1.　　 Internet上的客户机从一个认为是发布服务器的IP地址来请求对象。实际上，该IP地址是和

ISA Server计算机相关的，它是ISA Server计算机外部接口卡的IP地址。

　　 2.　　 ISA Server计算机处理该请求，将该IP地址映射到一个内部服务器的IP地址上。而后表明外

部客户端向内部服务器提出请求。

　　 3.　　 内部服务器将对象返回给ISA Server计算机，ISA Server计算机再将其传送到发出请求的客

户端。

　　 Ø　　　　　按以下步骤建立服务器发布规则：

　　 1.　　在ISA Management控制台树上，展开Publishing节点，右击Server Publishing Rules文件夹

，指向New，而后单击Rule。

　　 2.　　在New Server Publishing Rule向导中，输入该服务器发布规则的名称，而后单击Next。

　　 3.　　在Address Mapping屏幕中(如图 6.1所示)，输入发布的内部服务器的IP地址。同时，输入该

ISA Server的外部IP地址。
 
　　 4.　　在ProtocoSettings屏幕中(如图 6.2所示)，选择该规则应用的服务器协议。

　　 5.　　在Client Type屏幕中，指定该规则是应用到全部的客户端中，仍是应用到特定的客户端地址

集中。

　　 注意　对于阵列成员，若是企业策略设置配置为不容许发布，那么将不能建立服务器发布规则。
 
　　 6.1.4　服务器发布规则操做
　　 规则操做指应用到请求中的特定规则的操做。能够在New Server Publishing Rule向导的Address

Mapping and ProtocoSetting屏幕中配置一个新服务器发布规则的规则操做。也能够在规则属性的Action

选项卡中修改一个现有规则的规则操做。在ISA Management 中能够访问属性。不管是配置新操做仍是修

改现有规则，配置服务器发布规则操做时，都须要指定下列几项：

　　 ISA Server的IP地址　这是外部客户端可用的地址。外部客户端和发布服务器通讯时，实际上就是

在和该IP地址通讯。

　　 发布服务器的IP地址　全部到达ISA Server所指定IP地址的请求都被转发到该IP地址。

　　 映射服务器协议　传送到内部服务器的数据取决于此处指定的协议。能够从ISA Server 中配置的，

至少为入站方向的全部协议定义中选择。协议定义列在Policy Elements节点的ProtocoDefinitions文件

夹中，而且在其中配置。

　　 6.1.4.1 规则操做示例
　　 假设但愿容许外部客户端访问一个SMTP服务器。该SMTP服务器的IP地址是111.111.111.111，并在端

口25上侦听。建立一个具有如下参数服务器发布规则：

　　 将内部服务器的IP地址设置为111.111.111.111

　　 将ISA Server 上的外部地址设置为ISA Server 计算机的外部接口卡上的IP地址

　　 将映射服务器协议设置给SMTP Server

　　 Ø　　　　　按以下步骤为现有的服务器发布规则修改操做：

　　 1.　　在ISA Management控制台树上，打开Publishing节点，而后单击Server Publishing Rules文

件夹。

　　 2.　　在View菜单中，单击Advanced。

　　 3.　　在详细信息窗格中，右击适当的服务器发布规则，而后单击Properties。

　　 4.　　在Cache选项卡中，在IP Address Of InternaServer文本框中，输入但愿外部客户端也可以使

用的内部服务器的地址。

　　 5.　　在ExternaIP Address On ISA Server文本框中，把一个IP地址输入到一个ISA Server计算机

外部接口卡中。外部客户端将访问接口卡。

　　 注意　在Mapped Server Protocol下拉列表框中，单击一个外部客户端可用来访问该计算机的协议

定义。

ISA安全发布服务器
　　 6.1.5　客户端地址集
　　 配置应用到客户端地址集中的服务器发布规则时，限定该服务器发布规则的操做只能应用到指定的

发出请求的计算机集合中。这些客户端地址集不是在服务器发布规则自身内定义的，而是在ISA

Management 的Policy Elements节点中定义的。

　　 Ø　　　　　按以下步骤为现有的服务器发布规则配置客户端：

　　 1.　　在ISA Management控制台树上，展开Publishing节点，而后单击Server Publishing Rules文

件夹。

　　 2.　　在View菜单中，单击Advanced。

　　 3.　　在详细资料窗格中，右击现行规则，而后单击Properties。

　　 4.　　要为规则指定客户端，在Applies To选项卡上，选择操做如下步骤之一：

　　 u　　　　　单击Any Request单选按钮。

　　 u　　　　　单击Client Address Sets Specified Below单选按钮。

　　 5.　　若是选择了Client Address Sets Specified Below单选按钮，按以下步骤操做：

　　 u　　　　　要将客户端添加到Applies To Requests Coming From区，单击附随的Add按钮。

　　 u　　　　　要将客户端添加到Exceptions区，单击附随的Add按钮。

　　 注意　对于服务器发布规则而言，客户端地址集一般包括位于Internet的计算机的地址。

　　 6.1.6　服务器发布规则和IP数据包筛选器
　　 服务器发布规则和IP数据包筛选器都打开特定的端口，在局域网与Internet之间进行通讯。大多数

状况下，使用服务器发布规则让外部客户端访问内部服务器。

　　 可是，在有些状况下，必须使用IP数据包筛选器而不是发布规则，例以下列状况：

　　 发布位于边界网络上的服务器要使外部客户端能够访问该服务器时

　　 发布位于ISA Server计算机本机上的服务时

　　 6.1.6.1 在边界网络上发布服务器
　　 配置服务器发布规则容许外部客户端访问局域网上的服务器。例如，要发布一个内部FTP服务器。在

这种状况下，只需简单地建立一个服务器发布规则，使其具备以下配置：

　　 内部服务器的IP地址设置为该FTP服务器的IP地址

　　 ISA Server的外部IP地址设置为ISA Server计算机的外部接口卡的IP地址

　　 选定的FTP Server协议

　　 客户端类型设置为Any User, Group, Or Client Computer，容许全部的外部客户端访问该FTP服务

器

　　 假定要发布的服务器不在局域网上，而是在边界网络上。在这种状况下，必须使用IP数据包筛选器

在该服务器上打开一个端口。例如，假设您但愿发布一个位于边界网络上的FTP服务器。那么在New IP

Packet Filter向导中建立一个IP数据包筛选器，使其具备以下配置：

　　 在Servers屏幕中，筛选器设置为针对阵列中全部的ISA Server 计算机

　　 在Filter Mode屏幕中，选择建立容许数据包传输的筛选器

　　 在Filter Type屏幕中，选择一个自定义的筛选器

　　 在Filter Settings屏幕中，配置以下设置：

　　 u　　　　　将IP Protocol设置为TCP

　　 u　　　　　将Direction设置为Both

　　 u　　　　　将LocaPort Fixed设置为21

　　 u　　　　　将Remote Port设置为AlPorts

　　 在LocaComputer屏幕中，选择该选项用来指定边界网络上的一台计算机，而后输入FTP服务器的IP地

址

　　 在Remote Computers屏幕中，选择指定全部远程计算机的选项

　　 6.1.6.2 在ISA Server 计算机上的服务器
　　 还有一种状况要求使用IP数据包筛选器而不是发布规则来发布服务器。那就是要发布的服务器和ISA

Server 位于同一台计算机上。如要容许通讯通到发布服务器所使用的特定端口，那么必须建立IP数据包

筛选器而不是服务器发布规则。例如，ISA Server包含一个预先配置名称为DNS Filter的IP数据包筛选器

，它容许DNS在ISA Server计算机本机上查询。

ISA安全发布服务器
　　 6.1.7　练习：发布内部服务器
　　 在这个练习中，您练习在Server2上发布FTP服务。要使局域网外部的用户可以链接到Server2，您需

要在ISA Server中建立一个发布规则来容许请求传送到FTP服务器。

　　 要点　这个练习要求经过拨号上网链接到Internet上，并在一个拨号会话中完成如下3个练习。所以

，在开始以前，先双击Network And Dia-up Connections窗口中的拨号链接，创建一个拨号链接。

　　 同时，在开始这个练习以前，应该中止Server1上的FTP服务。能够经过在Internet Services

Manager中右击Default FTP Site图标，而后单击Stop来中止Server1上的FTP服务。

　　 练习1：在Server1上建立发布规则
　　 在这个练习中，建立一个发布规则，容许全部的FTP请求经过ISA Server 传送到Server2中。在

Server1中完成这个练习。

　　 1.　　 检验经过拨号链接，Server1是否链接到了Internet。若是尚未链接，如今就创建一个与

Internet相连的链接。

　　 2.　　打开ISA Management控制台。

　　 3.　　在控制台树上，展开MyArray，而后找到Publishing节点。

　　 4.　　展开Publishing节点。

　　 5.　　右击Server Publishing Rules文件夹，指向New，而后单击Rule。

　　 出现New Server Publishing Rule向导。

　　 6.　　在Server Publishing Rule Name文本框中，输入FTP Server，而后单击Next。

　　 出现Address Mapping屏幕。

　　 7.　　在IP Address Of InternaServer文本框中，输入192.168.0.2。

　　 8.　　单击Browse按钮。

　　 出现一个消息框，显示ISA Server 计算机的外部地址。

　　 9.　　肯定选中了外部IP地址，而后单击OK。

　　 该计算机的外部IP地址出如今ExternaIP Address On ISA Server文本框中。须要注意的是这个规则

只对当前Internet会话有效，由于每次拨号进入ISP时，IP地址均可能不一样。

　　 10.　 在此处输入外部IP地址：

　　 11.　 单击Next。

　　 出现ProtocoSettings屏幕。

　　 12.　 在Apply The Rule To This Protocol下拉列表框，选择FTP Server，而后单击Next。

　　 出现Client Type屏幕。

　　 13.　 保留默认设置为Any Request，而后单击Next。

　　 出现Complete The New Server Publishing Rule Wizard屏幕。

　　 14.　 单击Finish。

　　 15.　 在进行练习2以前，先在ISA Management 中从新启动ISA Server服务。

　　 练习2：检验FTP服务器链接
　　 在这个练习中，创建一个FTP链接，链接到ISA Server计算机的外部IP地址上。尽管您所发布的FTP

服务器是在内部服务器(Server2)上配置，而不是在ISA Server计算机本机上配置，但练习1中所建立的新

发布规则看起来FTP服务器好像寄存在Server1上。

　　 1.　　以Administrator身份登陆到Server1。

　　 2.　　指向Start，而后再指向Run。

　　 出现Run对话框。

　　 3.　　在Open框，输入cmd，而后单击OK，打开一个命名提示符。

　　 出现一个命令提示。

　　 4.　　 在命令提示中，输入ftp ，这里 是ISA Server 计算机经过您的ISP分配给您的外部IP地址

的，在练习1中的发布规则就是基于这个外部IP地址的。您在练习1的第10步记录过这个数值。

　　 5.　　按Enter键。

　　 在控制台屏幕中，您将接收到一个消息，显示您链接到了FTP服务器，而且提示您输入用户名。这个

消息说明新的发布规则容许您从Internet上链接到Server2中所配置的FTP服务。

　　 6.　　输入anonymous。

　　 您将接收到一个信息，显示容许匿名访问，但却提示您输入一个密码。

　　 7.　　直接按Enter键，输入一个空登密码。

　　 出现一个FTP提示。

　　 8.　　在FTP提示中，输入quit。

　　 您将返回到命令提示。

　　 9.　　关闭命令提示窗口。

　　 6.1.8　小结
　　 经过使用服务器发布规则，ISA Server处理那些向内部服务器(例如SMTP服务器、FTP服务器、以及

数据库服务器)所提出的传入请求。服务器发布容许内部网络上的任何计算机发布到Internet上。由于所

有的传入请求和传出响应都通过ISA Server，因此不会危及安全。和站点和内容规则以及协议规则同样，

服务器发布规则为服务请求动态地打开TCP端口，或者只有须要时才打开。

　　 一个服务器是由ISA Server发布时，外界能够看到的发布服务器IP地址实际上就是该ISA Server计

算机的IP地址或地址。服务器发布规则将这些传入请求从ISA Server 计算机上映射到局域网上适当的服

务器上。ISA Server表明外部客户端向本地服务器提出请求，而后表明本地服务器向外部客户端做出响应

。要建立服务器发布规则，可使用New Server Publishing Rule向导。修改现有的服务器发布规则，要

在ISA Management中该规则的Properties对话框中进行。

　　 但愿在边界网络上发布一个服务器，或者但愿在ISA Server 计算机本机上发布一个服务器，必须在

ISA Server 中配置IP数据包筛选器，而不是发布规则。（小节完）