建立一個訪問原則以允許外網向DMZ傳送HTTP請求
下一步是建立一個訪問原則來允許外網向DMZ主機傳送HTTP請求。當你沒有從Web發佈原則提供的完全的防火牆特性集中受益,這個選項允許你把Web伺服器的實際IP保留在Internet之上,而且HTTP安全過濾器仍然套用到了這個訪問原則上。HTTP安全過濾器的基本配置提供了一個很好級別的保護,你可以自訂HTTP安全過濾器來對你使用訪問原則發佈的為Web伺服器提供增強級別的保護。
執行步驟和上面的一樣,不同的地方:
規則命名為Inbound to DMZ Web Server,傳輸協定只選項HTTP,
源網路選項為External ,目的地為新增一個Computer 項,命名為DMZ Web Server,IP為發佈的DMZ Web伺服器的電腦IP位址(在這個例子中,是172.16.0.2)。
建立一個訪問原則以允許外網向DMZ傳送SMTP請求
現在Web伺服器已經發佈了,我們將建立一個訪問原則以發佈位於DMZ網路的SMTP伺服器。執行步驟如上,不同的地方:
原則命名為Inbound to DMZ SMTP Server,傳輸協定選項為SMTP,源網路為External ,目的地為DMZ Web Server(此例中SMTP和Web服務位於同一台伺服器上)。
點擊Apply儲存修改並且更新防火牆原則,在Apply New Configuration 對話視窗上點擊OK 。
你的防火牆原則應該如下圖所顯示,
測試從外網到DMZ的訪問原則
現在我們來測試訪問原則,執行以下步驟來完成測試:
1. 在外部主機上開啟Web瀏覽器,然後輸入DMZ Web伺服器的IP位址。在這個例子中,DMZ Web伺服器的IP位址是172.16.0.2,所以我們在Web瀏覽器的位址欄中輸入http://172.16.0.2然後Enter鍵。
2. IIS Web站點的預設頁面將會顯示。在這個例子中,我們沒有指定一個特性的預設頁,所以我們看見Under Construction 頁(註:正在建設中),這個表明允許訪問DMZ 站點的訪問原則工作正常。
3. 現在,讓我們看看Web站點的log文件。開啟對應的日誌文件(C:\WINDOWS\system32\LogFiles\W3SVC1目錄下),你可以看見如下圖顯示的資訊。注意高亮的項,它指出在Web伺服器日誌中記錄下了源IP位址。在這個例子中,源IP是ISA Server 2004防火牆的DMZ接頭的IP位址。這不是讓我們可疑的,原因是Web Proxy過濾器自動和HTTP傳輸協定聯繫到了一起。我們可以後文章的後面看到如何禁止Web Proxy過濾器。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 05:47:14
2004-06-18 05:56:21 172.16.0.2 GET /iisstart.htm - 80 - 172.16.0.1 Mozilla/4.0+ (compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
2004-06-18 05:56:25 172.16.0.2 GET /pagerror.gif - 80 - 172.16.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
4. 接下來,到位於DMZ的Web Server上,開啟Internet Information Services (IIS) Manager 控制台。
5. 在 Internet Information Services (IIS) Manager 控制台,右擊 Default Virtual SMTP Server 然後點擊 Properties。在 General 勾選 Enable Logging ,點擊 Apply 然後點擊 OK。
6. 在外部電腦上,開啟一個命令提示字元,輸入 telnet 172.16.0.2 25 然後Enter鍵;
7. 你可以看見SMTP服務的資訊,輸入 help 然後Enter鍵,你可以看見伺服器支持的一些指令,然後輸入quit 中斷連線。
http://www.isaservercn.org/pic/pubdmz/image017.gif
8. 進入到DMZ主機的 C:\WINDOWS\system32\LogFiles\SMTPSVC1 目錄,開啟對應的日誌文件。你可以看到如下的一些資訊。這是訪問DMZ SMTP服務的外部主機IP。在這個例子中顯示的是原始的客戶IP資訊,因為沒有應用程式過濾器處理了這個連接和使用ISA Server 2004防火牆的IP位址替換了原始的IP位址。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 06:07:22
#Fields: time c-ip cs-method cs-uri-stem sc-status
06:07:22 192.168.1.187 QUIT - 240
測試DMZ到內部網路的DNS規則
在前面一節中,我們證明了從Internet到DMZ主機的訪問原則控制工作正常。下一步我們驗證伺服器發佈原則允許DMZ主機正常的訪問內部網路的DNS伺服器。
執行以下步驟測試DNS伺服器發佈原則:
1. 在DMZ主機上開啟一個命令提示字元,輸入nslookup
www.hotmail.com 然後敲Enter鍵。
2. 你將會看到下圖的結果。注意我們先觸發了Publish Internal DNS Server 原則,然後觸發了Outbound DNS Internal DNS Server 原則。這樣顯示了DMZ查詢了網路的DNS伺服器,並且局內網的DNS伺服器查詢了Internet的DNS伺服器來解析這個名字。
![http://www.isaservercn.org/pic/pubdmz/image018.gif[/imgl]<br />
<br />
3. 你可以在既時監控中看到如下圖顯示的內容<br />
<br />
[img]http://www.isaservercn.org/pic/pubdmz/image019.gif[/imgl]<br />
通過修改訪問原則禁止Web Proxy filter來允許外網向DMZ傳送資料<br />
<br />
你可能希望在你使用訪問原則發佈的Web伺服器中看見原始的IP位址資訊,而不是看見ISA Server 2004的外部接頭的IP位址。當你使用訪問原則,你可以通過禁止Web Proxy filter來達到這一目的,這個可以通過修改你在前面建立的HTTP訪問原則來實現。<br />
<br />
執行以下步驟:<br />
<br />
1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,右擊 Inbound to Web Server 原則,然後點擊 Properties。<br />
<br />
2. 在 Inbound to Web Server Properties 對話視窗,點擊 Protocols 標籤。<br />
<br />
3. 在 Protocols 標籤,點擊Protocols 列表中的HTTP項,然後點擊 Edit 按鈕。<br />
<br />
<br />
<br />
4. 在 HTTP Properties 對話視窗,點擊 Parameters 標籤,在 Parameters 標籤,不要勾選Application Filters 框中的Web Proxy Filter ,然後點擊 Apply 再點擊 OK。<br />
<br />
5. 在Inbound to Web Server Properties 對話視窗中點擊 OK 。<br />
<br />
6. 點擊Apply 儲存修改並更新防火牆原則。<br />
<br />
7. 在Apply New Configuration 對話視窗中點擊OK 。<br />
<br />
現在我們再重新連接一下Web站點:<br />
<br />
1. 在外部客戶電腦上開啟Web瀏覽器,然後在位址欄中輸入http://172.16.0.2 ,然後敲Enter鍵。<br />
<br />
2. 顯示出了 Under Construction (正在建設中)頁。按住 CTRL 鍵,然後點擊Refresh 按鈕。<br />
<br />
3. 回到DMZ的Web伺服器,然後開啟對應的日誌文件,你可以看見如下面所顯示的一些資訊,注意,顯示的是實際的客戶IP資訊。<br />
<br />
[img]http://www.isaservercn.org/pic/pubdmz/image020.gif](http://www.isaservercn.org/pic/pubdmz/image018.gif[/imgl]<br />
<br />
3. 你可以在既時監控中看到如下圖顯示的內容<br />
<br />
[img]http://www.isaservercn.org/pic/pubdmz/image019.gif[/imgl]<br />
通過修改訪問原則禁止Web Proxy filter來允許外網向DMZ傳送資料<br />
<br />
你可能希望在你使用訪問原則發佈的Web伺服器中看見原始的IP位址資訊,而不是看見ISA Server 2004的外部接頭的IP位址。當你使用訪問原則,你可以通過禁止Web Proxy filter來達到這一目的,這個可以通過修改你在前面建立的HTTP訪問原則來實現。<br />
<br />
執行以下步驟:<br />
<br />
1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,右擊 Inbound to Web Server 原則,然後點擊 Properties。<br />
<br />
2. 在 Inbound to Web Server Properties 對話視窗,點擊 Protocols 標籤。<br />
<br />
3. 在 Protocols 標籤,點擊Protocols 列表中的HTTP項,然後點擊 Edit 按鈕。<br />
<br />
<br />
<br />
4. 在 HTTP Properties 對話視窗,點擊 Parameters 標籤,在 Parameters 標籤,不要勾選Application Filters 框中的Web Proxy Filter ,然後點擊 Apply 再點擊 OK。<br />
<br />
5. 在Inbound to Web Server Properties 對話視窗中點擊 OK 。<br />
<br />
6. 點擊Apply 儲存修改並更新防火牆原則。<br />
<br />
7. 在Apply New Configuration 對話視窗中點擊OK 。<br />
<br />
現在我們再重新連接一下Web站點:<br />
<br />
1. 在外部客戶電腦上開啟Web瀏覽器,然後在位址欄中輸入http://172.16.0.2 ,然後敲Enter鍵。<br />
<br />
2. 顯示出了 Under Construction (正在建設中)頁。按住 CTRL 鍵,然後點擊Refresh 按鈕。<br />
<br />
3. 回到DMZ的Web伺服器,然後開啟對應的日誌文件,你可以看見如下面所顯示的一些資訊,注意,顯示的是實際的客戶IP資訊。<br />
<br />
[img]http://www.isaservercn.org/pic/pubdmz/image020.gif)
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 07:42:37
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2004-06-18 07:42:37 172.16.0.2 GET /iisstart.htm - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
2004-06-18 07:42:37 172.16.0.2 GET /pagerror.gif - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
當通過禁止Web Proxy過濾器來解決了使用訪問原則發佈Web伺服器的源IP位址問題後,你也對所有的不是通過Web Proxy產生的Web通信失去了安全過濾特性。它的意思是如果SecureNAT 和 Firewall clients發起的HTTP通信不會經過Web Proxy filter 的處理,它們將不能從Web Proxy快取和其他特性中受益。此外,可能還對Web發佈原則有一些意料不到的影響。也許是我在此胡說,因為我還沒有完全的測試完禁止Web Proxy filter後對於HTTP傳輸協定的影響。:-)
另外一個可以選項的方法是建立你自己的傳輸協定定義,定義出去的TCP 80。你可以通過訪問原則來使用自訂傳輸協定來發佈DMZ HTTP伺服器。但是這樣的大問題是你沒有受到HTTP安全過濾和Web Proxy filter的保護。在這種情況下,你手中真正的需要一個PIX防火牆。