ISA Server中的即时消息

注意：这篇文章是从微软Technet转载过来的，它详细的介绍了即时消息的特性，对于大家理解如何在防火墙中允许即时消息有很大的帮助。虽然这篇文章主要是针对ISA Server 2000的，不过里面提及的大部分知识对于ISA Server 2004一样有用。这篇文章是从英文资料翻译过来的，原文有些词句不顺，进行了修正。

概述

本文集中讨论使用Microsoft即时消息客户端（MSN Messenger 5.0+和 Windows Messenger）从公司向Internet发送即时消息的问题。Windows Messenger包含在Windows XP中。当您在安装Windows XP时，Windows Messenger就包含在操作系统中了。MSN Messenger 5.0包含在MSN 8.0中，也可以作为单独的下载来获得。更多有关Windows Messenger和MSN Messenger的信息，请参考“关于即时消息应用程序”一节。

概念和过程

本节内容包括：

企业中的即时消息问题
ISA Server问题
配置ISA Server允许即时文本消息
为即时消息配置防火墙

企业中的即时消息问题

即时消息应用程序正在变得越来越流行。人们开始习惯于即时消息应用程序所提供的快速响应时间，因此在商业环境中使用相同工具的推动力也在增长。即时消息应用程序提供了实时体验，有助于增强商业通讯。但是，在考虑使用这类应用程序之前，需要考虑这类系统所固有的安全性问题，这一点很重要。

MSN Messenger和Windows Messenger等即时消息应用程序并没有为通讯提供总体用户身份验证和加密，即使有些第三方解决方案能够增强这些特性。即时消息应用程序的体系结构使得它们很难以安全的企业设置来进行部署。这将带来很多安全性问题，您可能设置了一些安全性策略，用它们保护内部网络资源的安全，避免外部来源对这些信息进行直接访问，但即时消息应用程序所带来的安全性问题可能会危及这些安全性策略。潜在的安全性问题包括：

缺乏桌面控制.
用户可能无法独立地在他们的计算机上安装和使用消息客户端软件。这可能在缺少安全性管理员知识的情况下，引入潜在危险的流量。
暴露内部IP地址.
一些即时消息特性需要将客户端计算机的内部IP地址暴露给在Internet中的即时消息服务器，或直接暴露给其他即时消息客户端。
病毒. 当文件从外部来源发送到内部计算机时，文件传输机理可以将病毒引入到您的公司中。
性能. 由于无法控制即时消息特性的使用，带宽和磁盘问题都是潜在的隐患。
隐私. MSN Messenger和Windows
Messenger所使用的MSN协议具有基于ASCII的命令行语法，而且消息都是以纯文本传输的。由于在内部和外部网络之间传输的消息是非加密的文本，因此这可能引发隐私和法律问题。
访问控制. 远程协助使用与Windows终端服务中所用的协议相同，都是远程桌面协议（Remote Desktop Protocol， RDP），它允许管理员完全控制用户计算机，使他们能访问主机中的所有内部资源。取决于管理员的证书，这种访问可能会扩展到域上。
模仿. 虽然Windows Messenger和MSN Messenger使用护照证书来登录到服务，但在这些证书中用户并不强迫使用强健的密码。他们的联机“身份”可能被恶意人员借用。

ISA Server问题

有一些常见的问题会影响到具有防火墙设备的即时消息应用程序的使用。对于具有MSN Messenger和Windows Messenger的Microsoft Internet Security and Acceleration (ISA) Server而言，这些问题包括：

复杂的协议.MSN Messenger和Windows Messenger所使用的MSN Messenger使一个很复杂的协议，它可能会使用多个端口来连接到消息服务器，并通过这些端口为某些即时消息特性发送和接受数据。ISA Server SecureNAT客户端需要一个应用程序过滤器来处理复杂的协议，而ISA Server却无法提供这样的一个过滤器来适用于复杂的MSN Messenger协议。只有防火墙客户端可以不需要应用程序过滤器就能处理复杂协议。这意味着SecureNAT (以及Web Proxy客户端)只能使用MSN Messenger和Windows Messenger的文本消息聊天特性。
网络地址转换 (NAT). ISA Server NAT功能将私有地址转换为ISA Server外部接口的公共IP地址，并允许一个外部IP地址在多个内部客户端间共享，从而对内部私有IP地址进行保护。某些客户端到客户端的即时消息特性（例如VoIP、白板以及文件传输）需要在ISA Server计算机后的内部计算机向外部计算机公布其IP地址。由于外部客户端无法使用内部客户端地址来启动一个与内部计算机的通讯会话，因此这个连接将会失败。
UPnP.
基于UPnP的NAT设备和防火墙可能克服NAT问题，确定转换后的IP地址。ISA Server不支持UPnP。
SIPS.
声音、视频、应用程序共享和白板等特性需要在内部和外部客户端之间建立连接，并使用SIP Signaling (SIPS)来建立这个通讯会话，该会话会使用动态端口。例如，使用音频/视频（AV）需要开打所有5004和65535之间的UDP端口，允许SYP和媒体流（RTP）通过防火墙。没有相应应用程序过滤器的动态端口使用将会是一个问题，因为ISA Server没有任何有关哪个端口打开以及何时打开的信息。ISA Server同样不支持SIP。

ISA Server中可用的即时消息特性小结

作为上面所提问题的结果，通过ISA Server的MSN Messenger和Windows Messenger功能可以总结如下：

通常，在防火墙内的内部客户端之间的通讯应该能正常工作，不受ISA Server NAT问题的影响。(这并不能解决复杂的内部网络配置。) 一般，我们建议您不要使用ISA Server来控制内部通讯。
即时文本消息聊天特性从本质上说是一个客户端/服务器应用程序，客户端利用这个应用程序在TCP端口1863上登录到消息服务器，然后发送聊天会话请求。这个消息服务器会处理两个客户端之间的通讯，避免了由于外部客户端需要知晓内部客户端IP地址而引发的NAT问题。
即时文本消息聊天可以通过HTTP Web代理客户端进行，您可以创建一个内容组来添加即时消息MIME类型。
音频、视频和白板特性使用了一种变种的SIP协议，如果会话由ISA Server计算机后的内部客户端发起，那么它将无法顺利的通过ISA Server。只有在会话由外部Internet客户端发起时，才能产生有效的会话。
远程协助特性使用远程桌面协议（RDP），与Microsoft终端服务相同。如果不为每个远程协助会话应用特定的ISA Server配置，NAT将无法使这样的连接通过非UPnP设备（例如ISA Server）。
文件传输特性要求发送文件的计算机通过消息服务器将其IP地址发送给接受计算机，这将引起NAT问题。防火墙客户端可以更改防火墙客户端应用程序设置来使用文件传输，也可以创建具有第二连接的协议定义来定义文件传输所需的端口。

配置ISA Server允许即时文本消息

本节提供了用于下列操作的过程：

配置通过Web代理的文本消息
为SecureNAT客户端配置文本消息

配置通过Web代理的文本消息

为了使用通过Web代理服务的即时文本消息（聊天），您必须设置一个默认的协议规则来允许HTTP协议，然后将内容组添加到您HTTP可用的内容类型中。

在ISA Manager的控制台树中，点击扩展访问策略，右键点击策略规则，然后点击新建，规则。
在名称中，给定协议规则名次，然后点击下一步。
点击允许，然后点击下一步。
在应用这个规则到中，点击选择选定的协议，然后在协议中，选择HTTP。然后点击下一步。
在日程安排中，点击下一步接受默认值，或为应用该规则设置一个日程表。
在应用这个规则到来自于何处的请求中，选择任何请求，然后点击下一步。
点击完成，结束新协议规则的创建。