史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-07-16, 10:44 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 淺談ISA Server 2004的身份認證

來源:ISAServerCN.org

今天我專門測試了ISA Server 2004中的身份認證。和ISA Server 2000相比,它的改進不大,但是採用了新的客戶端加密系統,在安裝ISA Server 2004的時候你需要選項是否啟用相容過濾老客戶端的加密方式。

配置的幾個要點:

1、需要在防火牆原則中新增用戶集。注意,這個用戶集和windows中的用戶組是兩個概念,它代表你可以在防火牆原則中套用到的用戶。你可以選項加入用戶集的用戶組,這兒可以選項域用戶,也可以選項本地機用戶。


但是在選項本地機用戶的時候,是採用的Windows整合身份驗證,即NTLM。

2、Web proxy客戶,即在IE內容裡面設定代理伺服器,IE會向ISA Server 2004提交你的用戶認證資訊,但是此時,也只有IE才能向ISA Server 2004提交這個用戶認證資訊。如果你通過了ISA Server 2004的身份認證,那麼你可以和外部通信。但是除了IE外,其它的應用程式是不能向ISA Server 2004提交身份驗證資訊,所以其它的應用程式訪問外部網路將會被拒絕,如使用UDP傳輸協定的QQ等。另外還需要注意的是,一些第三方的瀏覽器是不能向ISA Server 004提交這個身份驗證資訊的,就算它是使用的IE核心。

3、安裝了防火牆客戶端後,可以向ISA Server 2004提供身份認證資訊,讓其它應用程式訪問外部網路,使用UDP傳輸協定的QQ此時就可以連接伺服器了。但是防火牆客戶端關於Winsock轉換的,一些套用還不能完全轉換,如ICMP。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 10:48 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

淺談ISA Server 2004、KWF中的路由

無論是ISA Server 2004還是KWF,都可以讓你在你的局內網中劃分多個子網或者VLAN,然後讓這些VLAN通過ISA Server 2004或KWF所做的NAT Server 訪問外部網路。不過ISA Server 2004和KWF都建議你對不同的網路使用不同的網路接頭(網路卡),如果在同個網路接頭(網路卡)上實現不同的網路,那麼ISA Server 2004和KWF的部分網路間的路由功能將會受到限制。

一、同個接頭上實現多個網段

圖一是一個在相同網路接頭上實現多個網路的實例。在NAT Server的內部接頭上同時具有192.168.0.1/24和192.168.1.1/24兩個IP,而且內部網路中也存在這兩個回應的網段,內部兩個網段的客戶的預設網路閘道設定為NAT Server內部接頭上對應網段的IP。在具體的配置上,ISA Server 2004需要你在內部網路中明確這兩個網段,而KWF則是從接頭的IP配置中獲取這兩個網段的資訊,只要你明確允許這兩個網段的內部用戶訪問外部網路,那麼這兩個網段的電腦都可以正常的訪問外部網路。但是在這個時候,ISA Server 2004不能路由這兩個網段之間的資料包。例如,如果192.168.0.2這個客戶傳送一個資料包給192.168.1.3,因為沒有對應的路由,這個資料包會傳送到預設網路閘道,但是由於ISA Server 2004的包過濾特性,就算ISA Server 2004的路由表中存在192.168.1.0/24這個網路的路由,ISA Server 2004並不會將這個資料包轉發給192.168.1.3,因為如果這樣,ISA Server 2004收到、傳送這個資料包的網路接頭將會是同樣的接頭,從安全防禦的角度,這個是ISA Server 2004所不允許的。與之不同,KWF中專門有個路由定義的選項,如果你定義了這條路由,KWF會轉發給對應的客戶,就算收到、發出資料包的是同樣的接頭。

注意:在ISA Server 2004中,即使你在NAT Server 的內部接頭上只配置了192.168.0.1/24這個IP,你也可以在內部網路中加入192.168.1.1/24這個網段的定義。但是如果內部的192.168.1.1/24客戶把資料包傳送到ISA Server 2004要求轉發到外部網路,ISA Server 2004會提示配置錯誤,並且丟棄該資料包。

http://www.isaservercn.org/pic/routeoverisa/2.jpg

圖一 同個接頭多個網段


 

二、不同接頭不同網段

圖二是不同網路接頭連線到不同網段的情況(VLAN劃分的情況一樣),這也是ISA Server 2004和KWF的推薦方案。在ISA Server 2004中,你需要設定內部網路,KWF則會從網路接頭的內容中自動獲取網路的資訊,此時,只要你允許這些內部網路訪問外部網路,它們就可以進行正常的訪問。

 http://www.isaservercn.org/pic/routeoverisa/3.jpg

圖二 不同接頭不同網段


三、內部網路存在路由的情況

圖三是在內部網路中還存在路由的情況。和「同個接頭上實現多個網段「中描述的一樣,如果192.168.0.0/24網段的用戶想把資料包傳送到172.16.0.0/16網段,作為它們的預設網路閘道,ISA Server 2004是不會進行資料包轉發的。而如果在KWF中定義了這條路由,它會進行轉發。

對於使用ISA Server 2004而又是這種網路拓樸接頭的情況,只有一種辦法,就是在ISA Server2004上增加一個接頭,連線到172.16.0.0/16網段。

 

圖三 內部網路存在路由的情況


http://www.isaservercn.org/pic/routeoverisa/4.jpg
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 10:53 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

使用ISA Server 2004 發佈Web站點

在此例中,我們將發佈位於局內網IP為192.168.0.41/24的web伺服器上的站點,其中ISA Server 2004伺服器的內部接頭為192.168.0.1/24。

首先,我們開啟ISA Server 2004的管理控制台,展開你的伺服器,在Firewall Policy上麵點擊右鍵,選項新增,然後點擊Web Server Publishing Rule..;
http://www.isaservercn.org/pic/webpub/webpub_159.jpg

http://www.isaservercn.org/pic/webpub/webpub_160.jpg

在New Web Publishing Rule Wizard上,輸入原則的名字,這個地方,我以「Publish 192.168.0.41's website"為名,點擊「下一步」。



在Select Rule Action頁,選項Allow;點擊「下一步」。

http://www.isaservercn.org/pic/webpub/webpub_161.jpg

在Define Website to Publish頁,輸入你想發佈的web伺服器的IP;

Forward the original host header instead of the actual one (specified above)選項指的是在和外部客戶進行通信時,使用該web伺服器的IP頭,如果不勾選,則使用ISA Server 2004機的IP頭。建議不勾選。
http://www.isaservercn.org/pic/webpub/webpub_162.jpg
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:00 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

至於下面的Folder,則是你發佈的目錄名,如果你輸入了,則只能以site中顯示的形式進行訪問;

http://www.isaservercn.org/pic/webpub/webpub_163.jpg

點擊「下一步」。

在Public Name Details頁,輸入你想發佈的域名,如果想發佈這台web伺服器上的全部站點,則選項Any domain name;


http://www.isaservercn.org/pic/webpub/webpub_164.jpg
如果你只想發佈這個web伺服器上的某個域,則選項This domain name(type blow):,然後在Public name輸入域名;Path與Folder同義。


http://www.isaservercn.org/pic/webpub/webpub_165.jpg
 

點擊「下一步」。

在Select Web Listener頁,由於沒有可用的Web偵聽器,點擊「New」,
http://www.isaservercn.org/pic/webpub/webpub_166.jpg


在彈出的New Web Listener Definition Wizard頁,輸入Web偵聽器的名字,在此,我取名為Listen on tcp port 80,點擊「下一步」;

http://www.isaservercn.org/pic/webpub/webpub_167.jpg

在IP位址選項頁,選項你需要偵聽Web請求的網路。如果只是對外發佈,只需選項External,如果想對局內網用戶開放,也可以勾選Internal。這點是ISA Server 2004與其他NAT軟體的不同之處。一般的NAT軟體,只能做到對外部網路發佈局內網的伺服器,可以讓外部網路的客戶來訪問;對於局內網的用戶,則不能直接通過發佈伺服器的外部IP來訪問這個發佈的伺服器。而ISA Server 2004則可以做到這一點,可以通過偵聽內部客戶的請求,讓內部客戶通過外部IP來訪問發佈到外部的內部伺服器。



http://www.isaservercn.org/pic/webpub/webpub_168.jpg
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:03 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

點擊「下一步」後,進入「Port Specification」頁,在此,選項你需要偵聽的連接阜。由於我們是發佈的Web伺服器,勾選Enable HTTP,接受預設的80連接阜,如果你還需要發佈HTTP with SSL,則勾選下面的Enable SSL。點擊「下一步」後,點擊「完成」。

http://www.isaservercn.org/pic/webpub/webpub_169.jpg

此時,Web listener已經建立好了,點擊「下一步」繼續。

http://www.isaservercn.org/pic/webpub/webpub_170.jpg

在User Sets頁,接受預設的All Users,點擊「下一步」;

http://www.isaservercn.org/pic/webpub/webpub_171.jpg

在Completing the New Web Publishing Rule Wizard 頁,點擊「完成」;
http://www.isaservercn.org/pic/webpub/webpub_172.jpg


最後,點擊Apply儲存修改並更新防火牆原則,此時,這條Web伺服器發佈原則已經生效了。

http://www.isaservercn.org/pic/webpub/webpub_173.jpg
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:10 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

通過ISA2004使用其他連接阜發佈FTP站點
來源:isaservercn.org

(譯自Thomas W Shinder M.D. "Publishing FTP Sites with an Alternate Port using ISA Server 2004 Firewalls")

 

  有許多原因讓人考慮到使用其他連接阜來發佈ftp站點,特別是有些管理員從安全形度考慮,想使用非標準的21連接阜來訪問發佈ftp伺服器。但是ISA2000不支持使用其他連接阜來發佈ftp站點,因為ftp是一個需要在isa2000防火牆上使用套用過濾器的複雜傳輸協定。如果是在isa2000上使用其他連接阜發佈ftp站點,你必須在ftp伺服器上使用防火牆客戶端,並且編輯wspcfg.ini以設定ftp伺服器的程序目錄,但是這個令人討厭的,並且也不可靠。

  在Isa2004中,只要傳輸協定被應用程式過濾器安裝了,例如ftp傳輸協定,它允許你在伺服器發佈中自訂任何傳輸協定使用的連接阜。這種伺服器發佈的擴展性允許你使用其他連接阜發佈ftp伺服器而不需要設定配置文件或者在ftp伺服器上安裝防火牆客戶端。

程序是很簡單的,在這篇文章中,只需要以下步驟就可以完成使用其他連接阜來發佈ftp站點:

1、安裝並且配置ftp站點;

2、建立ftp伺服器發佈原則;

3、建立ftp連接;

下圖為本次實驗所使用的基本網路:

http://www.isaservercn.org/pic/pubftp/image004.gi

安裝和配置ftp站點

首先是安裝ftp伺服器和在ftp伺服器上配置ftp站點。在本次實驗中,我們將在一台windows2003伺服器上安裝ftp站點(使用IIS原有的的ftp伺服器),包含以下步驟:



1、安裝ftp服務,通過「開始」表單的「控制台」中的「增加/刪除windows程序」,來增加「windows元件」,安裝IIS下的ftp服務;



2、配置預設站點:

http://www.isaservercn.org/pic/pubftp/image005.gif

(1)開啟「開始」表單中的「系統管理工具」裡的「Internet資訊服務」系統管理工具;

(2)展開ftp站點,在「預設站點」上點右鍵,選項「內容」


http://www.isaservercn.org/pic/pubftp/image006.gif[/img]
(3)在ftp站點的內容對話視窗中,點擊ftp站點頁,然後在IP位址欄,選項ftp站點的實際IP;

http://www.isaservercn.org/pic/pubftp/image006.gif

(4)在資訊頁,輸入伺服器的標誌資訊(註:為了便於驗證伺服器);
http://www.isaservercn.org/pic/pubftp/image007.gif




(5)在主目錄頁,輸入預設本機ftp目錄,在此例中我們使用預設的c:\interpub\ftproot目錄,並勾選Write ,以便可以上傳文件,

http://www.isaservercn.org/pic/pubftp/image008.gif

(6)點擊套用,並點擊OK關閉ftp站點內容對話視窗,使用按鈕條上的按鈕來重啟ftp服務。


http://www.isaservercn.org/pic/pubftp/image009.gif
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:14 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

建立服務器發佈原則

在ftp服務器設定好後(註:可在本地機網路中加以驗證),我們來在isa2004中建立ftp服務器發佈原則。這條原則將會演示在使用isa2004的服務器發佈時傳輸協定行為的可擴展性。

執行以下步驟以建立一條使用TCP 99連接阜來發佈ftp服務器的原則:

1、開啟Microsoft Internet Security and Acceleration Server 2004管理界面,展開你的服務器,點擊Firewall Policy。

2、右擊Firewall Policy,指向New 並且點擊Server Publishing Rule。

3、在Welcome to the New Server Publishing Rule Wizard頁,在Server publishing rule name 輸入原則的名稱,在這兒我們起名為FTP Server TCP Port 99 ,點擊Next。


http://www.isaservercn.org/pic/pubftp/image010.gif
4、在Select Server頁,在Server IP address 輸入內部ftp服務器的IP位址,點擊 Next。

http://www.isaservercn.org/pic/pubftp/image011.gif

5、在Select Protocol 頁,從Selected protocol 列表中選項FTP Server,然後點擊Ports 按鈕。

http://www.isaservercn.org/pic/pubftp/image012.gif[/img]

6、在Ports 對話視窗,在Firewall Ports 框裡面選項 Publish on this port instead of the default port 選項,然後輸入連接阜號99,點擊OK。

http://www.isaservercn.org/pic/pubftp/image013.gif

7、在Select Protocol 頁點擊Next。
http://www.isaservercn.org/pic/pubftp/image014.gif


8、在IP Addresses頁,選項External ,然後點擊Address 按鈕。



9、在External Network Listener IP Selection 對話視窗,選項Selected IP addresses in this network Selected IP addresses in this network 選項,在 Available IP Addresses 中選項你想在ISA Server 2004外部接頭上偵聽進入的ftp連接的IP位址,然後點擊Add,這個IP將會在Selected IP Addresses 列表中顯示出來,點擊OK。

http://www.isaservercn.org/pic/pubftp/image015.gif

10、在IP Addresses 頁點擊Next 。

11、在Completing the New Server Publishing Rule Wizard 頁點擊Finish 。

12、點擊Apply 以儲存修改並且更新防火牆原則。

13、你現在將可以在細節面板中看見FTP服務器發佈原則。
http://www.isaservercn.org/pic/pubftp/image016.gif
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:18 PM   #8 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

建立ftp連接

現在我們來測試剛才發佈的ftp站點,我已經建立好了一個名叫ftplog 的文件,用於上傳到ftp站點上。執行以下步驟建立連接:

1、開啟一個命令提示字元視窗,輸入ftp 並Enter鍵(註:因為不是使用ftp標準的21連接阜,只能先進入ftp指令,再使用open子指令來建立連接),然後輸入open 192.168.1.70 99 (ISA Server 2004的外部接頭)並Enter鍵,用戶名為anonymous,並且隨意輸入一個密碼,此時,我們已經成功的連接上去了。你可以使用get 指令來下載文件,但是,如果此時你使用put 指令來上傳文件,你會看見拒絕訪問的錯誤資訊,因為你的ISA Server拒絕了這個操作。下圖是詳細的程序:
http://www.isaservercn.org/pic/pubftp/image017.gif


2、發生錯誤的原因是,你沒有在FTP發佈原則中允許上傳。你可以在ftp服務發佈原則中允許它。回到ISA Server管理界面,在ftp服務發佈原則上點擊右鍵,選項Configure FTP。

http://www.isaservercn.org/pic/pubftp/image018.gif


3、在Configures FTP protocol policy 對話視窗,去掉Read Only 的選項,然後點擊Apply ,再點擊OK 。

http://www.isaservercn.org/pic/pubftp/image019.gif


4、點擊Apply 儲存並更新防火牆原則。

5、回到命令提示字元下,重複上傳文件的動作,你會看見,現在可以上傳文件到ftp站點了。


http://www.isaservercn.org/pic/pubftp/image020.gif<br />
6、如果你在ISA Server 2004的既時監控中觀察,你會看看一些有趣的事情。雖然外部客戶是連線到是TCP連接阜99,然後既時監控顯示的卻是外部客戶直接連線到內部電腦的TCP 21連接阜,不過你可以從log文件的字段中看出,它們和FTP Server TCP Port 99 原則是相關的。<br />
<br />
[img]http://www.isaservercn.org/pic/pubftp/image021.gif


7、關閉Microsoft Internet Security and Acceleration Server 2004 管理界面。

註:除了ftp,只要在ISA Server 2004中有對應應用程式過濾器的傳輸協定,如RDP等,都可以使用此辦法發佈到非標準連接阜,這樣可以提高網路的安全性。目前ISA Server 2004存在一個很大的bug:如果要發佈內部本來就不是使用21連接阜進行ftp的連接的ftp伺服器,那麼要麼使用應用程式過濾器來發佈該伺服器,但是這樣只能是只讀,不能上傳文件;或者另外定義一個傳輸協定來使用,這樣可以寫,但是這樣只能讓客戶端和ftp伺服器進行PASV連接,不能使用port模式連接。已經在beta2和RC版上測試,都未能解決這個問題。

具體如何發佈使用非標準21的ftp伺服器,會在以後的帖子中介紹。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:20 PM   #9 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

ISA2000 HTTP重轉發IP過濾器使用詳解

小斌斌


近期有許多朋友均對HTTP重轉發IP過濾器的使用有少許的疑問,在這裡也說說我對這個過濾器的理解,大家共同探討一下,如有不對的地方,請大家指正。

HTTP重轉發IP過濾器為Firewall及SecureNAT客戶端機提供了對web Proxy代理的訪問。而且,只要啟用了HTTP重轉發IP過濾器,則SecureNAT及Firewall都可以利用Web快取了。這對節省ISA外出的帶寬也有重要的意義。

HTTP重轉發IP過濾器的設定位置在ISA的控制台-服務器-Extensions。點擊 Application Filters(套用程式過濾器),雙按HTTP Redirector Filter(HTTP重轉發IP過濾器)。再點擊Options選項項,就會看到如圖所顯示的對話視窗。
http://www.isaservercn.org/upload/file/2_20040615222500_httpfilter.jpg


上面有幾個選項:

Redirect to local Web Proxy Service(重轉發IP到本地機Web代理服務):選項了這項,就將SecureNAT及Firewall客戶端機的HTTP請求重轉發IP到Web Proxy Service 。一旦求被重轉發IP,客戶端機就可利用Web 快取了。這是個預設選項。

Send to requested Web Server(傳送到所請求的Web服務器):這個選項將使SNAT及Firewall客戶端不使用HTTP過濾器,直接進行Web訪問。選項了這個選項,Friewall Service會強制進行客戶端機用戶身份認證。

Reject HTTP requests from Friewall and SecureNAT clients(拒絕從防火牆和SecureNAT客記機傳送來的請求):這個選項不允許SecureNAT的Firewall客戶端機用戶訪問任何HTTP內容,如要訪問Web,就必須要再將它們配置為Web Proxy客戶端機了。

  需要說明的是,SecureNAT並不能將客戶端用戶身份證明資訊傳送到ISA,因而如要在SecureNAT客戶端中允許Web訪問,就只能是匿名訪問,即只能新增允許匿名訪問的站點內容和傳輸協定規則(在規則中的Applies To中只能選項Any request 或 Client address sets specified below而不能選項 Users and groups specified below)。如啟用了過濾器,並允許SecureNAT和Firewall客戶端機訪問WebProxyService,而又沒有新增匿名訪問規則,則SecureNAT和Firewall客戶端機所傳送的請求就會失敗,也不會有可以輸入身份證明的對話視窗彈出來。這就是有些網友反映,為什麼SecureNAT客戶端老是不能進行Web訪問的問題癥結所在。

  HTTP重轉發IP過濾器基本的選項就上面三個,第一個選項能利用到ISA的Web快取,效率比較好。第二個選項使SNAT及Firewall客戶端機繞過了Web Proxy Services(WEB代理服務)。第三個則強制SNAT及Firewall客戶端機再配置成Web Proxy客戶端機才能進行HTTP訪問,適用於對Web訪問的控制水準比較嚴格的用戶。三個選項,選項那一種方案,就視乎你的需要了。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用

相似的主題
主題 主題作者 討論區 回覆 最後發表
主要 Microsoft 伺服器產品使用的網路連接阜 psac 網路軟硬體架設技術文件 4 2004-09-19 07:44 AM
Windows server 2003設置使用必備技巧 sgpsdavid 作業系統操作技術文件 5 2004-09-02 05:41 PM
Hack Proofing Your Network[下] mic64 網路軟硬體架設技術文件 1 2004-06-21 04:32 PM
如何架設CS伺服器  psac 網路軟硬體架設技術文件 0 2003-07-24 01:13 AM
Windows server 2003使用指南 psac 作業系統操作技術文件 4 2003-06-24 02:54 PM


所有時間均為台北時間。現在的時間是 09:26 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1