1. 在 Microsoft ISA Server 管理中,先展开 ISA_1 ,再单击防火墙策略。 2. 在任务窗格的任务选项卡上,单击发布 Web 服务器启动“新建 Web
发布规则向导”。 3. 在欢迎页面上的Web 发布规则名称栏内,输入规则名称: Allow External to Perimeter_IIS 。单击下一步。 4. 在选择规则操作页面上,先选择允许,再单击下一步。
5. 在定义发布网站页面上的计算机名称或 IP 地址栏内,输入用于发布
的 Web 服务器 IP 地址或计算机名称,然后,单击下一步。
注意:您可在“定义发布网站”页面上的“文件夹”栏内指定专用发布文件夹。 6. 在发布名称详情页面上,确认这个域名已被选中。在这个域名下方的
文本框内,输入已发布站点的公用域名或 IP 地址。这就是用户为访问您的网站而需要输入浏览器地址栏的信息。在没有可供解析名称的实验设置中,应使用 ISA Server 计算机外部网站的 IP 地址。您可指定一个文件夹,这个文件夹将被加入名称并显示在站点栏内。单击下一步。 7. 在选择 Web 侦听器页面上,单击新建启动“新建 Web 侦听器向导”。 8. 在“新建 Web 侦听器向导”欢迎页面上的 Web 侦听器名称栏内,
输入 Web 侦听器名称: Listen on Port 80 of External Network 。然后,单击下一步。 9. 在 IP 地址页面上,先选择外部,再单击下一步。这个侦听器将负责
接收来自外部网络的请求。 10. 在端口指定页面的HTTP 端口栏内,输入 80 。如果您需要基于
HTTPS 发布,则可选择启用 SSL ,并指定一个 SSL 端口。这会要求您使用选择按钮在页面上选取一个证书。单击下一步。 11. 查对摘要页面,然后,单击完成关闭“新建 Web 侦听器向导”。 12. 在选择 Web 侦听器页面上,单击下一步。
13. 在用户集页面上,确认所有用户已被列入此规则应用于来自下列用户
集的请求。单击下一步。 14. 查对摘要页面,然后,单击完成。
15. 在详细信息窗格中,单击应用使所做修改生效。
注意:您可独立于 Web 发布规则创建并修改 Web 侦听器。针对当前 Web 侦听器的访问主要通过“防火墙策略”任务窗格“工具箱”选项卡上的“Web 侦听器”文件夹实现。如需新建 Web 侦听器,则应在“防火墙策略”任务窗格的“工具箱”选项卡上单击“新建”,并选择“ Web 侦听器”。 4.5.2 测试情境
为确认情境配置已经生效,我们将使用外部客户端 External1 访问基于外围网络 (PerimeterNet) 的 HTTP 服务器 Perimeter_IIS 。为此,应
External1 上依次执行下列步骤: 1. 打开 Internet Explorer 。
2. 确认不存在已经过配置的代理客户端。为此,应在工具菜单上选择
Internet 选项。在连接选项卡上,单击局域网设置。确认以下复选框均未被选中:自动检测设置、使用自动配置脚本和为 LAN 使用代理服务器。单击确定关闭 Internet 选项。 3. 在地址栏内,输入 ISA Server 计算机外部网络适配器的IP地址。 如果客户端访问到基于 Perimeter_IIS 的默认站点,则表明您已成功实现情境配置。
4.6 情境 6:基于内部网络发布 Web 服务器
您可通过这个情境将基于内部网络的 Web 服务器提供给基于 Internet 的外部用户。为此,需要配备以下计算机: ? ISA_1,至少配备两块网络适配器。
? InternalWebServer,充当 Web 服务器,情境测试专用。 ? External1,基于 MockInternet 的外部客户端,情境测试专用。 为了配置这个情境,应依次执行下列步骤: ? 4.6.1 创建网络规则 ? 4.6.2 发布 Web 服务器 ? 4.6.3 测试情境 4.6.1 创建网络规则
在对定义内部网络与外部网络之间关系的网络规则进行确认之前,应按4.2.1提供的操作说明对内部网络配置有效性加以验证。
安装过程曾创建过一个默认网络规则,它定义了从内部网络到外部网络的 NAT 关系。如需确认这个规则是否得到正确配置,应在 ISA_1 上执行下列步骤:
1. 在Microsoft ISA Server 管理上,先展开 ISA_1 ,再展开配置节点,
然后,单击网络查看“网络”详细信息窗格。 2. 在详细信息窗格内,单击网络规则选项卡。您既可在详细信息窗格内
核实规则配置状态,又可执行下列步骤打开规则属性。 3. 双击Internet访问规则,打开Internet 访问属性。 4. 在常规选项卡上,确认规则已得到启用。
5. 在源网络选项卡上,确认内部网络已被列示出来。 6. 在目标网络选项卡上,确认外部网络已被列示出来。 7. 在网络关系选项卡上,确认网络地址转换已被选中。 4.6.2 发布 Web 服务器
运用 Web 发布规则允许外部客户端访问基于内部网络的 Web 服务器。
Web 服务器的发布依赖于 Web 发布规则的创建。您还将在规则创建过程中,生成一个 Web 侦听器,以便为 ISA Server 指定接收内部网站访问请求的 IP 地址。如果您仍拥有一个专为外围 Web 发布情境创建的侦听器,则应在这个情境中继续使用它,而不必新建侦听器。
注意:您可创建并修改独立于 Web 发布规则的 Web 侦听器。针对现有 Web 侦听器的访问主要通过“防火墙策略”任务窗格中“工具箱”上的 Web 侦听器文件夹实现。如需新建 Web 侦听器,则应在“防火墙策略”任务窗格的“工具箱”选项卡上单击“新建”,并选择“Web 侦听器”。 如需创建 Web 发布规则,以允许基于 Internet(External1) 的客户端计算机访问基于内部网络 (InternalWebServer) 的 Web 服务器,则应依次执行下列步骤:
1. 在 Microsoft ISA Server 管理中,先展开 ISA_1 ,再单击防火墙策略。 2. 在任务窗格的任务选项卡上,单击发布 Web 服务器启动“新建 Web
发布规则向导”。 3. 在欢迎页面上的Web 发布规则名称栏内,输入以下规则名称: Allow External to InternalWebServer 。然后,单击下一步。 4. 在选择规则操作页面上,先选择允许,再单击下一步。
5. 在定义将要发布的网站页面上的计算机名称或 IP 地址栏内,输入所
需发布 Web 服务器的 IP 地址或计算机名称。您应在不具备可供解析名称的实验设置中,使用 ISA Server 计算机的外部网卡 IP 地址。接着,单击下一步。
注意:您可在“定义将要发布的网站”页面上的“文件夹”栏内,指定需要发布的特定文件夹。在不具备 DNS 服务器的实验设置环境下,您将运用同一 IP 地址识别基于外围和内部网络的 Web 服务器,所以,每次只有一个服务器可供访问——究竟哪个服务器可供访问主要取决于规则的排列顺序。在生产部署环境或具备 DNS 服务器的实验部署环境下,DNS 服务器将承担名称解析任务,从而消除这个问题。
6. 在公用名称详情页面上,确认这个域名已被选中。在这个域名下方的
文本框内,输入已发布站点的公用域名或 IP 地址。这就是用户为访问您的网站而需要输入浏览器地址栏的信息。您可指定一个文件夹,这个文件夹将被加入名称并显示在站点栏内。单击下一步。 7. 在选择 Web 侦听器页面上,单击新建启动“新建 Web 侦听器向导”。 8. 在“新建 Web 侦听器向导”的欢迎页面上,将以下 Web 侦听器名
称输入 Web 侦听器名称栏内: Listen on Port 80 of External Network ,然后,单击下一步。 9. 在 IP 地址页面上,先选择外部,再单击下一步。这个侦听器将从此
接收来自外部网络的请求。 10. 在端口规格页面上的HTTP 端口栏内,输入 80 。如果您需要基于
HTTPS发布,则可选择启用 SSL ,并指定一个 SSL 端口。这会要
求您使用选择按钮在页面上选取一个证书。 单击下一步。 11. 查对摘要页面,然后,单击完成。 12. 在选择 Web 侦听器页面上,单击下一步。
13. 在用户集页面上,确认所有用户已被列入此规则应用于来自下列用户
集的请求。单击下一步。 14. 查对摘要页面,然后,单击完成。
15. 在详细信息窗格中,单击应用使所做修改生效。 4.6.3 测试情境
为确认情境配置成功,您将使用外部客户端 External1 访问位于内部网络 (CorpNet) 的 HTTP 服务器 InternalWebServer。ISA_1 将侦听以 InternalWebServer 名义发出的请求,并根据 Web 发布规则将它们转换至 InternalWebServer。
为此,应在 External1 上执行下列步骤: 1. 打开 Internet Explorer 。
2. 在地址栏内,输入基于 ISA_1 的外部适配器的IP地址。
如果客户端访问到基于 InternalWebServer 发布的网站,则表明这个情境配置成功。
4.7 情境 7:配置虚拟专用网络
ISA Server 将在这个情境中为连接至企业(内部)网络的远程客户端充当 VPN 服务器。为此,需要配备以下计算机: ? ISA_1 ,至少配备两块网络适配器。
? External1,基于 MockInternet 的 VPN 客户端,情境测试专用。 ? InternalClient1,基于 Corpnet ,情境测试专用。 以下章节描述了这个情境的配置方法: ? 4.7.1 启用 VPN 客户端访问 ? 4.7.2 创建访问规则
? 4.7.3 创建具备拨号权限的 Windows 用户 ? 4.7.4 创建网络拨号连接 ? 4.7.5 测试情境
4.7.1 启用 VPN 客户端访问
您将在这个步骤中启用 VPN 客户端访问。您必须为启用 VPN 连接而激活虚拟专用网络特性。其它全部 VPN 客户端属性均假定为默认设置。这当中包括从内部网络动态指派的 IP 地址池默认设置——可供连接至 ISA Server 的客户端使用。这个解决方案还假设内部网络上存在可供 VPN 客户端用于解析名称的动态指派名称解析服务器。 如需配置 VPN 属性,请依次执行下列步骤:
1. 在Microsoft ISA Server 管理中,先展开 ISA_1 ,再单击虚拟专用网
络(VPN)。 2. 在任务窗格的任务选项卡上,单击启用 VPN 客户端访问。 3. 在详细信息窗格中,单击应用使所做修改生效。
注意:ISA Server 已在安装过程中生成了用于在 VPN 客户端和内部网络之间创建路由关系的网络规则。如果您希望特定 VPN 客户端有权访问其它网络,则必须新建一个网络规则。由于我们的目的在于以透明方式将 VPN 客户端转变成内部网络组成部分,并使之有权查看基于内部网络的计算机,因此, VPN 客户端与内部网络之间的关系是一种路由关系。 如果您的实验配置不包括为 VPN 客户端指派 IP 地址的 DHCP 服务器,则应创建从中指派 IP 地址的静态地址池。为此,请依次执行下列步骤:
1. 在 Microsoft ISA Server 管理中,先展开ISA_1,再单击虚拟专用网络
(VPN)。 2. 在任务窗格内的任务选项卡上,单击位于常规 VPN 配置下方的定义地址分配。这个操作将打开虚拟专用网络(VPN)属性页面的地址分配选项卡。 3. 选择静态地址池。
4. 单击添加。在IP 地址范围属性对话框内,设定将被分配给 VPN 客户
端的 IP 地址范围。请注意,这些地址不可出自内部网络所涵盖的地址范围。 5. 单击“确定”。
6. 在详细信息窗格中,单击应用使所做修改生效。 4.7.2 创建访问规则
如果允许 VPN 客户端访问内部网络资源,则必须创建专用访问规则。为此,请依次执行下列步骤:
1. 在Microsoft ISA Server 管理中,先展开 ISA_1 ,再单击防火墙策略。 2. 在任务窗格内的任务选项卡上,单击新建访问规则启动“新建访问规
则向导”。 3. 在欢迎页面上,输入规则的名称。例如,输入 Allow VPN clients access to Internal 。然后,单击下一步。 4. 在规则操作页面上,先选择允许,再单击下一步。
5. 在协议页面上的此规则应用于列表中,选择所有出站协议,以允许
VPN 客户端访问基于任务协议的内部网络。单击下一步。 6. 在访问规则源页面上,单击添加。
7. 在添加网络实体页面上,先单击网络,再选择 VPN 客户端。然后,
依次单击添加和关闭。接着,在访问规则源页面上,单击下一步。 8. 在访问规则目标页面上,单击添加。