ISA 2004中使用域名发布多个Web站点
内容概要:在这篇文章中介绍了如何利用ISA防火墙强大的应用层状态过滤,通过域名使用TCP 80端口发布多个Web站点,而不再需要使用其他端口。
如果你的内部网络中具有多个Web站点,而你又想同时发布到外部网络中,你该如何做呢?在过去的包过滤防火墙中,由于发布(端口映射)时需要占用端口,你只能使用TCP 80端口发布一个Web站点,而其他的Web站点只有通过更换外部侦听端口(如TCP 81)来发布。
在这篇文章中我们不是探讨如何通过上面的步骤去实现,那样做一点技术含量都没有。利用ISA防火墙强大的应用层状态过滤,我们可以就使用TCP 80端口来发布我们所有的Web站点,而不再需要使用其他端口。
本文中的试验网络如下图所示:
ISA防火墙作为边缘防火墙,连接内部和外部网络;内部网络Denver和Istanbul是Web服务器,分别拥有1个和2个Web站点。各计算机的TCP/IP设置如下(DNS服务器均设置为空):
ISA防火墙:
External Inte易做图ce:
- IP:61.139.0.5/24
- DG:61.139.0.9
Internal Inte易做图ce:
- IP:10.2.1.254/24
- DG:None
Denver(Web Server):
- IP:10.2.1.2/24
- DG:10.2.1.254
- 1 Website :默认站点 (FQDN:www.isacn.org)
Istanbul(Web Server):
- IP:10.2.1.8/24
- DG:10.2.1.254
- 2 Website :默认站点 (FQDN:www2.isacn.org);
www3.isacn.org(FQDN:ww3.isacn.org);
External_Client:
- IP:61.139.0.9/24
- DG:None
在ISA防火墙中,利用强大的应用层状态过滤系统,可以让你按照域名进行Web服务器发布。在本文中,我们将发布Denver和Istanbul上的这三个Web站点,并且都使用标准的TCP 80端口进行发布。
在ISA防火墙中建立Web侦听器后,你可以在多个Web服务器发布规则中使用它;但是存在多条使用相同Web侦听器的发布规则时,ISA防火墙会根据规则的顺序进行评估,执行第一条匹配发布的域名(公共名称)的规则。所以在这种时候,你需要小心的对规则进行排序。例如,你使用相同的Web侦听器发布了www.isacn.org和所有域名,那么发布www.isacn.org的规则必须放在发布所有域名的规则前面,否则永远都不会执行发布www.isacn.org的Web服务器发布规则。
这儿需要注意一点的是,ISA防火墙默认情况下是不转发原始主机名头。这样如果被发布的Web服务器上具有多个站点,ISA防火墙总是会转发到默认站点上;发布Istanbul上的www3.isacn.org就是这样的情况,所以我们在发布www3.isacn.org时需要转发主机名头;而其他两个站点都是默认站点,不需要再转发主机名头。
在这篇文章中,我们将按照以下步骤进行:
- 建立Web侦听器;
- 建立Web服务器发布规则;
- 测试一;
- 修改Web服务器发布规则后进行测试;
建立Web侦听器
在ISA防火墙中,所有的相关任务都是集成的,你可以在建立Web发布规则时创建Web侦听器。不过为了更好的进行说明,我先建立Web侦听器,然后再建立Web服务器发布规则。
在ISA防火墙管理控制台,点击防火墙策略,在右边任务面板的工具箱中,点击网络对象,然后点击新建,再点击Web侦听器;
在弹出的欢迎使用新建Web侦听器向导页,输入Web侦听器的名字,在此我命名为Listen External 80,点击下一步;
在IP地址页,勾选外部网络,点击下一步;
在端口指定页,接受默认的80端口,点击下一步;
在正在完成新建Web侦听器向导页,点击完成;此时Web侦听器就建立好了。
建立Web服务器发布规则
1、发布www.isacn.org
我们先发布位于Denver上的默认站点www.isacn.org,右击防火墙策略,点击新建,选择Web服务器发布规则;
在弹出的欢迎使用新建Web发布规则向导页,输入规则名称,在此我命名为Publish www.isacn.org,点击下一步;
在规则操作页,选择允许,然后点击下一步;
在请定义要发布的网站页,输入Denver的IP地址10.2.1.2,点击下一步;
在公共名称细节页,在接受请求栏选择此域名(在以下输入),然后在下面的公共名称栏输入www.isacn.org,点击下一步;
在选择Web侦听器页,选择刚才我们建立的Listen External 80,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页,点击完成;
此时发布www.isacn.org的Web服务器发布规则就建立好了。
2、发布www2.isacn.org
再次右击防火墙策略,点击新建,选择Web服务器发布规则;
在弹出的欢迎使用新建Web发布规则向导页,输入规则名称,在此我命名为Publish www2.isacn.org,点击下一步;
在规则操作页,选择允许,然后点击下一步;
在请定义要发布的网站页,输入Istanbul的IP地址10.2.1.8,点击下一步;
在公共名称细节页,在接受请求栏选择此域名(在以下输入),然后在下面的公共名称栏输入www2.isacn.org,点击下一步;
在选择Web侦听器页,同样选择刚才我们建立的Listen External 80,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页,点击完成;
此时发布www2.isacn.org的Web服务器发布规则就建立好