在 ISA Server 2006 中发布 Web 服务
由于在身份验证方式上进行了增强,ISA Server 2006 中的 Web 服务发布方式和 ISA Server 2004 有所不同,在这篇文章中,我将给大家详细介绍如何在 ISA Server 2006 中发布 Web 服务。
一、发布单个Web站点
在 ISA 2006 管理控制台中右击防火墙策略,指向新建,选择Web站点发布规则;
在弹出的欢迎使用新建Web发布规则向导页,输入规则名称后点击下一步;
在选择规则动作页,选择允许,点击下一步;
在发布类型页,选择发布单个Web站点或负载均衡器,点击下一步;
在服务器连接安全性页,选择使用非安全连接来连接到被发布的Web服务器或服务器场(即使用HTTP协议进行连接),点击下一步;
在内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称(Web站点的主机名头),但是由于存在Web站点的主机名头和计算机名不一致的现象,为了便于ISA连接到内部的Web服务器,建议你勾选使用计算机名或IP地址来连接到被发布的服务器,然后输入服务器的IP地址,从而避免ISA不能正常解析内部Web站点名从而导致无法连接的现象,完成后点击下一步;
在内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此直接点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择任何域名,点击下一步;
在选择侦听器页,点击新建,在弹出的欢迎使用新建Web侦听器向导页,输入侦听器名称后点击下一步;
在客户端连接安全性页,选择不要求和客户端之间的SSL安全连接,点击下一步;
在Web侦听器IP地址页,勾选外部网络,你也可以点击选择IP地址按钮来配置Web侦听器侦听的IP地址,点击下一步;
在身份验证设置页,设置 ISA Server 2006 是否对请求访问的客户进行身份验证。需要注意的是,此身份验证是由 ISA Server 要求客户进行,和被发布的Web服务器没有任何关系。不过在ISA 2006中增强了对于身份验证委派的支持,因此你可以设置 ISA Server 要求客户身份验证,然后 ISA Server 再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器,从而避免客户端被提示要求进行多次身份验证。需要注意的是,默认情况下ISA拒绝通过HTTP协议进行任何身份验证,因此当客户使用HTTP协议访问时,如果ISA的其他配置或被发布的Web服务器要求客户进行身份验证,那么ISA会拒绝客户的访问。我将在以后撰文专门分析ISA Server 2006中的身份验证。
在此我是对Internet发布Web服务,不需要客户端进行身份验证,因此选择无身份验证,点击下一步;
在单点登录设置页,由于只有基于HTTP表单的身份验证才支持SSO,因此无法进行配置,直接点击下一步;
在正在完成新建Web侦听器向导页点击完成,然后在选择Web侦听器页点击下一步;
在身份验证委派页,由于我不要求客户进行身份验证,因此选择无委派,并且客户不能直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,此时Web发布规则就创建好了。
不过默认情况下ISA并未转发客户端原始IP地址给被发布的Web服务器,你可以在Web发布规则属性的到标签进行修改,如下图所示:
需要注意的是,由于在进行Web发布时,ISA需要占用TCP/IP上的相应端口,因此Web发布规则所侦听的端口如TCP 80需要