首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > Forefront/TMG/ISA SERVER > 在 ISA Server 2006 中发布安全 Web 服务 > 正文

在 ISA Server 2006 中发布安全 Web 服务

出处:ISA中文站 作者:风间子 时间:2006-8-12 10:22:00

在ISA2006中发布安全 Web 服务和在ISA2004中进行发布基本一致。在进行发布之前,你需要进行以下准备工作:

1、确保在 ISA Server 上可以正常的访问内部的安全 Web 服务而不出现任何警告,如下图所示,我在 ISA Server 上可以正常的访问内部的两台安全 Web 服务器 Chicago.isacn.org10.1.1.7)和 Istanbul.isacn.org10.1.1.8);

2、将颁发安全 Web 服务的服务器证书的证书颁发机构的CA证书导入到 ISA Server 本地计算机的受信任的根证书颁发机构存储中,其实这一步应该是属于上一个步骤的。然后需要给 ISA Server 安装相应的服务器证书以实现外部客户和 ISA Server 之间的安全连接。从理论上说,绑定在 ISA Server 外部接口上的服务器证书和内部安全 Web 服务的服务器证书是没有任何关系的,但是通常都是配置 ISA Server 使用内部安全 Web 服务的服务器证书来实现外部客户和 ISA Server 之间的安全连接。

在此,我先导出被发布的安全 Web 服务的服务器证书,注意导出时必须导出私钥,然后导入到 ISA Server 的本地计算机的证书存储中以便使用,如下图所示:

在做好准备工作以后,我们就可以进行安全 Web 服务的发布了。

 

一、发布单个安全 Web 服务

首先我以对外发布位于 Istanbul.isacn.org10.1.1.8)上的安全 Web 服务为例,外部的DNS服务器将域名 Istanbul.isacn.org 解析到 ISA Server 的外部IP地址 172.16.0.248,外部客户通过访问此IP地址来访问被发布的安全 Web 服务。

在 ISA Server 2006 管理控制台中右击防火墙策略,指向新建,选择Web站点发布规则

在弹出的欢迎使用新建Web发布规则向导页,输入规则名称“Publish SSL”后点击下一步

选择规则动作页,选择允许,点击下一步

发布类型页,选择发布单个Web站点或负载均衡器,点击下一步


服务器连接安全性页,选择使用SSL来连接到被发布的Web服务器或服务器场(即使用HTTPS来连接被发布的服务器),点击下一步

内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称,ISA Server 将使用此名称来连接到被发布的安全 Web 服务器,并且此名字必须和对应的安全 Web 服务器所绑定的证书的公共名字相匹配;为了便于ISA连接到内部的安全Web服务器,建议你勾选使用计算机名或IP地址来连接到被发布的服务器,然后输入服务器的IP地址,完成后点击下一步

内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此直接点击下一步

公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择以下域名,输入外部域名 istanbul.isacn.org 后点击下一步

选择Web侦听器页,点击新建按钮;在弹出的欢迎使用新建Web侦听器向导页,输入侦听器名称后点击下一步

客户端连接安全性页,选择要求和客户端之间的SSL安全连接,点击下一步

Web侦听器IP地址页,勾选外部网络,然后点击选择IP地址按钮来配置Web侦听器侦听的IP地址;


ISA Server 的外部接口具有两个IP地址,由于在此我只想将发布的安全 Web 服务绑定在 172.16.0.248 这个IP地址上,因此选择指定位于被选择的网络中的ISA Server 计算机的IP地址,然后选择 172.16.0.248,点击添加,然后点击确定;然后在Web侦听器IP地址页点击下一步

侦听器SSL证书页,选择为每个IP地址分配一个证书,然后点击172.16.0.248,再点击选择证书

选择证书对话框,点击对应的服务器证书,然后点击选择

侦听器SSL证书页点击下一步

身份验证设置页,设置 ISA Server 2006 是否对请求访问的客户进行身份验证。需要注意的是,此身份验证是由 ISA Server 要求客户进行,和被发布的Web服务器没有任何关系。不过在 ISA Server 2006 中增强了对于身份验证委派的支持,因此你可以设置 ISA Server 要求客户身份验证,然后 ISA Server 再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器,从而避免客户端被提示要求进行多次身份验证。在此我不需要ISA2006对客户端进行身份验证,因此选择无身份验证,点击下一步

单点登录设置页,由于只有基于HTTP表单的身份验证才支持SSO,因此无法进行配置,直接点击下一步

正在完成新建Web侦听器向导页点击完成,然后在选择Web侦听器页点击下一步

身份验证委派页,由于被发布的安全 Web 服务可能会要求客户端进行身份验证,因此我选择无委派,但是客户端可以直接进行身份验证,点击下一步

用户集页,接受默认的所有用户,点击下一步

正在完成新建Web发布规则向导页点击完成,此时Web发布规则就创建好了,点击应用保存修改和更新防火墙策略。

我们在外部网络的客户上访问进行测试,访问成功,如下图所示:

而ISA2006上的日志如下图所示:


二、发布多个安全 Web 服务

在此,我将利用前面创建的安全 Web 服务发布规则和Web侦听器,通过复制规则再发布位于 Chicago.isacn.org10.1.1.7)上的安全 Web 服务,外部的DNS服务器将域名 Chicago.isacn.org 解析到 ISA Server 的另外一个外部IP地址 172.16.0.247,外部客户通过访问此IP地址来访问被发布的安全 Web 服务。

在ISA2006管理控制台的防火墙策略面板中右击刚才创建的“Publish SSL”规则,选择复制,然后再次右击,选择粘贴,此时复制出了一条安全 Web 发布规则,双击此规则打开规则属性对话框,首先在常规标签修改规则名称,然后在标签修改被发布的站点名和服务器IP地址;

公共名字标签,修改允许外部客户访问的公共名字;

然后在侦听器标签,点击属性

在弹出的侦听器属性对话框上,点击网络标签,选择外部网络,再点击地址按钮;在弹出的外部网络侦听器IP选择对话框上,点击172.16.0.247,然后点击添加,再点击确定

侦听器属性对话框上,点击证书标签,选择172.16.0.247,然后点击选择证书

选择证书对话框,点击对应的服务器证书,然后点击选择

然后在侦听器属性对话框上点击确定

最后在规则属性对话框上点击确定,然后点击应用保存修改和更新防火墙策略。

我们同样在外部网络的客户上访问进行测试,访问成功,如下图所示:

 

相关文章 热门文章
  • 使用Exchange Service Pack安装程序的/disasterrecovery开关
  • ISA Server发布具有Edge角色Exchange
  • ISA Server 2006 发布owa 2007 的注意事项和排错提示
  • Win2008应用之IIS 7中配置ISAPI和CGI限制
  • Win2008应用之IIS 7中ISAPI筛选器配置
  • 妙用DNS解析实现防火墙客户的重定向
  • ISA之发布Exchange OWA方法及故障分析
  • 使用ISA Server发布具有Edge角色的Exchange Server环境
  • 排除发布的SMTP服务器的故障
  • 关于在ISA Server中使用HTTP压缩的说明
  • 如何通过ISA2006防火墙发布启用了SSL的OWA
  • 双ISA 双CSS 进行NLB方案之4服务器实例
  • 使用ISA Server 2004禁止P2P软件
  • ISA安装设置全集
  • ISA 2004 Server快速安装指南
  • 图解ISA2004 Web服务器发布
  • ISA 2000实战入门之VPN的建立
  • ISA Server 2004完全上手指南
  • MS Proxy 2.0 使用教程
  • 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务..
  • 通过ISA防火墙(2004)来允许域内通信
  • 使用ISA 2004发布内部的邮件服务器
  • 在ISA Server 2004防火墙和D-link DI-804HV IPSec VP...
  • ISA常见问题解答
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号