建立一個訪問原則以允許外網向DMZ傳送HTTP請求
下一步是建立一個訪問原則來允許外網向DMZ主機傳送HTTP請求。當你沒有從Web發佈原則提供的完全的防火牆特性集中受益,這個選項允許你把Web伺服器的實際IP保留在Internet之上,而且HTTP安全過濾器仍然套用到了這個訪問原則上。HTTP安全過濾器的基本配置提供了一個很好級別的保護,你可以自訂HTTP安全過濾器來對你使用訪問原則發佈的為Web伺服器提供增強級別的保護。
執行步驟和上面的一樣,不同的地方:
規則命名為Inbound to DMZ Web Server,傳輸協定只選項HTTP,
源網路選項為External ,目的地為新增一個Computer 項,命名為DMZ Web Server,IP為發佈的DMZ Web伺服器的電腦IP位址(在這個例子中,是172.16.0.2)。
建立一個訪問原則以允許外網向DMZ傳送SMTP請求
現在Web伺服器已經發佈了,我們將建立一個訪問原則以發佈位於DMZ網路的SMTP伺服器。執行步驟如上,不同的地方:
原則命名為Inbound to DMZ SMTP Server,傳輸協定選項為SMTP,源網路為External ,目的地為DMZ Web Server(此例中SMTP和Web服務位於同一台伺服器上)。
點擊Apply儲存修改並且更新防火牆原則,在Apply New Configuration 對話視窗上點擊OK 。
你的防火牆原則應該如下圖所顯示,
測試從外網到DMZ的訪問原則
現在我們來測試訪問原則,執行以下步驟來完成測試:
1. 在外部主機上開啟Web瀏覽器,然後輸入DMZ Web伺服器的IP位址。在這個例子中,DMZ Web伺服器的IP位址是172.16.0.2,所以我們在Web瀏覽器的位址欄中輸入http://172.16.0.2然後Enter鍵。
2. IIS Web站點的預設頁面將會顯示。在這個例子中,我們沒有指定一個特性的預設頁,所以我們看見Under Construction 頁(註:正在建設中),這個表明允許訪問DMZ 站點的訪問原則工作正常。
3. 現在,讓我們看看Web站點的log文件。開啟對應的日誌文件(C:\WINDOWS\system32\LogFiles\W3SVC1目錄下),你可以看見如下圖顯示的資訊。注意高亮的項,它指出在Web伺服器日誌中記錄下了源IP位址。在這個例子中,源IP是ISA Server 2004防火牆的DMZ接頭的IP位址。這不是讓我們可疑的,原因是Web Proxy過濾器自動和HTTP傳輸協定聯繫到了一起。我們可以後文章的後面看到如何禁止Web Proxy過濾器。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 05:47:14
2004-06-18 05:56:21 172.16.0.2 GET /iisstart.htm - 80 - 172.16.0.1 Mozilla/4.0+ (compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
2004-06-18 05:56:25 172.16.0.2 GET /pagerror.gif - 80 - 172.16.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
4. 接下來,到位於DMZ的Web Server上,開啟Internet Information Services (IIS) Manager 控制台。
5. 在 Internet Information Services (IIS) Manager 控制台,右擊 Default Virtual SMTP Server 然後點擊 Properties。在 General 勾選 Enable Logging ,點擊 Apply 然後點擊 OK。
6. 在外部電腦上,開啟一個命令提示字元,輸入 telnet 172.16.0.2 25 然後Enter鍵;
7. 你可以看見SMTP服務的資訊,輸入 help 然後Enter鍵,你可以看見伺服器支持的一些指令,然後輸入quit 中斷連線。
http://www.isaservercn.org/pic/pubdmz/image017.gif
8. 進入到DMZ主機的 C:\WINDOWS\system32\LogFiles\SMTPSVC1 目錄,開啟對應的日誌文件。你可以看到如下的一些資訊。這是訪問DMZ SMTP服務的外部主機IP。在這個例子中顯示的是原始的客戶IP資訊,因為沒有應用程式過濾器處理了這個連接和使用ISA Server 2004防火牆的IP位址替換了原始的IP位址。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 06:07:22
#Fields: time c-ip cs-method cs-uri-stem sc-status
06:07:22 192.168.1.187 QUIT - 240
測試DMZ到內部網路的DNS規則
在前面一節中,我們證明了從Internet到DMZ主機的訪問原則控制工作正常。下一步我們驗證伺服器發佈原則允許DMZ主機正常的訪問內部網路的DNS伺服器。
執行以下步驟測試DNS伺服器發佈原則:
1. 在DMZ主機上開啟一個命令提示字元,輸入nslookup
www.hotmail.com 然後敲Enter鍵。
2. 你將會看到下圖的結果。注意我們先觸發了Publish Internal DNS Server 原則,然後觸發了Outbound DNS Internal DNS Server 原則。這樣顯示了DMZ查詢了網路的DNS伺服器,並且局內網的DNS伺服器查詢了Internet的DNS伺服器來解析這個名字。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 07:42:37
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2004-06-18 07:42:37 172.16.0.2 GET /iisstart.htm - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
2004-06-18 07:42:37 172.16.0.2 GET /pagerror.gif - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
當通過禁止Web Proxy過濾器來解決了使用訪問原則發佈Web伺服器的源IP位址問題後,你也對所有的不是通過Web Proxy產生的Web通信失去了安全過濾特性。它的意思是如果SecureNAT 和 Firewall clients發起的HTTP通信不會經過Web Proxy filter 的處理,它們將不能從Web Proxy快取和其他特性中受益。此外,可能還對Web發佈原則有一些意料不到的影響。也許是我在此胡說,因為我還沒有完全的測試完禁止Web Proxy filter後對於HTTP傳輸協定的影響。:-)
另外一個可以選項的方法是建立你自己的傳輸協定定義,定義出去的TCP 80。你可以通過訪問原則來使用自訂傳輸協定來發佈DMZ HTTP伺服器。但是這樣的大問題是你沒有受到HTTP安全過濾和Web Proxy filter的保護。在這種情況下,你手中真正的需要一個PIX防火牆。