| ISA Server 2006高級(jí)應(yīng)用指南 |
| 2009-4-15 16:38:42 哈爾濱百姓網(wǎng) 來(lái)源:51CTO.com 瀏覽 次 【大 中 小】【打印】【關(guān)閉】 |
|
引言:
ISA Server 2006是微軟公司在企業(yè)網(wǎng)絡(luò)邊界安全上的代表產(chǎn)品,ISA Server系列產(chǎn)品實(shí)現(xiàn)了集高級(jí)應(yīng)用層防火墻����、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN,Virtual Private Network)和網(wǎng)絡(luò)緩存于一體的解決方案���,能夠提高網(wǎng)絡(luò)安全和網(wǎng)絡(luò)性能從而最大化企業(yè)的IT投資收益���。ISA Server 2006通過(guò)增強(qiáng)的對(duì)HTTP協(xié)議和FTP協(xié)議以及遠(yuǎn)程過(guò)程調(diào)用(RPC,Remote Process Call)連接的過(guò)濾與控制實(shí)現(xiàn)對(duì)應(yīng)用層的過(guò)濾�;它提供了擴(kuò)展的協(xié)議支持、增強(qiáng)的用戶(hù)認(rèn)證��、增強(qiáng)的對(duì)用戶(hù)和用戶(hù)組的支持�、增強(qiáng)的FTP支持、增強(qiáng)的網(wǎng)絡(luò)發(fā)布等功能�����,從而提高了企業(yè)的安全性�����。
應(yīng)用層過(guò)濾、高級(jí)防火墻以及企業(yè)級(jí)的VPN是ISA Server系列產(chǎn)品最為關(guān)鍵的應(yīng)用����。本文將從實(shí)際應(yīng)用出發(fā),針對(duì)ISA Server 2006在應(yīng)用層過(guò)濾上的具體應(yīng)用���,闡述ISA Server 2006口令變更功能配置優(yōu)化�����、ISA Server 2006內(nèi)部客戶(hù)端Web訪問(wèn)應(yīng)用優(yōu)化以及Outlook Web Access應(yīng)用優(yōu)化三個(gè)關(guān)鍵應(yīng)用優(yōu)化���。本文假設(shè)讀者已經(jīng)完成了ISA Server 2006的部署工作,并熟悉ISA Server 2006的主要應(yīng)用和操作���,本文不涉及ISA Server的安裝和管理,僅提供ISA Server 2006在應(yīng)用層過(guò)濾上最優(yōu)的應(yīng)用方法�。
一、ISA Server 2006口令變更功能配置
ISA Server 2006提供了允許用戶(hù)通過(guò)基于表單的認(rèn)證授權(quán)連接到Outlook Web訪問(wèn)來(lái)修改他們的口令���,ISA Server管理員可以提醒用戶(hù)其口令將會(huì)在一個(gè)指定的日期內(nèi)過(guò)期�、并允許用戶(hù)創(chuàng)建新的口令�,用戶(hù)同樣可以修改已經(jīng)過(guò)期的口令�。
1�����、口令變更功能基本配置
口令修改的功能在客戶(hù)端輸入基于表單的認(rèn)證授權(quán)的授信時(shí)被啟用��,ISA Server將通過(guò)使用Windows授權(quán)認(rèn)證(基于Active Directory)或者LDAP(Lightweight Directory Access Protocol��,基于Active Directory)授權(quán)認(rèn)證����,在進(jìn)行配置之前,注意以下的點(diǎn):
1)���、必須使用一個(gè)LDAPS鏈接到LDAP服務(wù)器或者域控制器�。為使用一個(gè)安全的LDAP鏈接�����,一個(gè)服務(wù)器證書(shū)必須安裝在LDAP服務(wù)器上或者域控制器上�,證書(shū)名稱(chēng)必須與用戶(hù)將要應(yīng)用于授權(quán)認(rèn)證服務(wù)器上的FQDN(Fully Qualified Domain Name)相匹配;
2)�����、ISA Server計(jì)算機(jī)必須有一個(gè)CA的根證書(shū),該根證書(shū)被置于服務(wù)器證書(shū)的本地計(jì)算機(jī)信任證書(shū)授權(quán)存儲(chǔ)目錄中����;
3)、在使用LDAP授權(quán)認(rèn)證的時(shí)候�,用戶(hù)必須創(chuàng)建一個(gè)LDAP服務(wù)器裝置,該服務(wù)器將會(huì)被用以授權(quán)用戶(hù)����,為使授權(quán)認(rèn)證的功能很好地發(fā)揮功能,為該LDAP服務(wù)器進(jìn)行以下配置:
a�、啟用采用安全連接的連接到LDAP服務(wù)器的連接;
b�����、為L(zhǎng)DAP服務(wù)器指定一個(gè)FQDN名稱(chēng)��。確保FQDN與安裝在LDAP服務(wù)器上的或者域控制器上的證書(shū)的名稱(chēng)一致��,指定至少一個(gè)日志表達(dá)式用以分派LDAP服務(wù)器到一個(gè)特定的用戶(hù)組�����;
c����、禁止使用全局日志(GC,Global Catalog)�����;
d���、指定一個(gè)用以識(shí)別用戶(hù)帳號(hào)和帳號(hào)細(xì)節(jié)的域���,域中的帳號(hào)將會(huì)被用以綁定到LDAP服務(wù)器以及查詢(xún)登錄用戶(hù)的授信;
e����、必須要有一個(gè)帳號(hào)才能夠綁定到授權(quán)認(rèn)證服務(wù)器,以及確認(rèn)用戶(hù)名和口令狀態(tài)���。在域授權(quán)認(rèn)證情況下���,該帳號(hào)必須為一個(gè)具有修改Active Directory權(quán)限的域帳號(hào)。
在創(chuàng)建的用以發(fā)布Outlook Web訪問(wèn)的Web監(jiān)聽(tīng)器的屬性欄�����,配置用戶(hù)修改口令的選項(xiàng),同時(shí)配置一個(gè)口令過(guò)期時(shí)間���。在正確配置Web發(fā)布規(guī)則以后�,用戶(hù)在使用基于表單的授權(quán)認(rèn)證進(jìn)行登錄的時(shí)候�����,如果口令過(guò)期時(shí)間臨近����,則會(huì)收到相應(yīng)的警告。
以上屬于ISA Server 2006在口令管理上的基礎(chǔ)應(yīng)用��,為避免可能出現(xiàn)的問(wèn)題���,以下是一些優(yōu)化的配置方法�����。
2��、優(yōu)化口令變更配置
1)口令變更前確保必要的證書(shū)已安裝
在進(jìn)行口令變更的操作時(shí),如果必要的證書(shū)未被安裝,則會(huì)出現(xiàn)口令變更功能性失敗的問(wèn)題��。不管是否使用LDAP授權(quán)認(rèn)證或者Windows Active Directory授權(quán)認(rèn)證��,必須要有一個(gè)基于TPC端口636的到授權(quán)認(rèn)證服務(wù)器的LDAPS連接����。
在進(jìn)行口令變更配置之前,對(duì)于Windows授權(quán)認(rèn)證��,首先獲取一個(gè)域控制器上的證書(shū)�����;對(duì)于LDAP授權(quán)認(rèn)證�����,首先獲取一個(gè)LDAP服務(wù)器上的證書(shū)��。確保證書(shū)的通用名稱(chēng)與授權(quán)認(rèn)證服務(wù)器上的名稱(chēng)一致�。
2)禁用證書(shū)的客戶(hù)端授權(quán)認(rèn)證
如果用以Web發(fā)布的服務(wù)器證書(shū)采用默認(rèn)的目的配置“服務(wù)器授權(quán)認(rèn)證”和“客戶(hù)端授權(quán)認(rèn)證”,那么在客戶(hù)端進(jìn)行登錄的時(shí)候則會(huì)出現(xiàn)緩慢的情況����。其原因是在Windows Server 2003檢測(cè)到“客戶(hù)端授權(quán)認(rèn)證”的默認(rèn)目的設(shè)置時(shí)�,操作系統(tǒng)將嘗試通過(guò)共有的授權(quán)認(rèn)證的方式來(lái)連接域控制器執(zhí)行TLS的功能����。
共有的授權(quán)認(rèn)證處理需要ISA Server能夠訪問(wèn)啟用“客戶(hù)端授權(quán)認(rèn)證”的服務(wù)器證書(shū)中的私鑰,但是ISA Server并不(而且應(yīng)該不)具備這樣的訪問(wèn)權(quán)限���。為優(yōu)化服務(wù)器證書(shū)應(yīng)用�����,提高客戶(hù)端登錄速度�����,ISA Server管理員應(yīng)當(dāng)禁用服務(wù)器證書(shū)中的默認(rèn)“客戶(hù)端授權(quán)認(rèn)證”��。以下是具體的操作過(guò)程:
a�、打開(kāi)Certificates Microsoft Management Console(mmc)面板����,首先添加證書(shū)管理器(CM,Certificate Manager)到mmc中:
① 點(diǎn)“開(kāi)始”�,然后點(diǎn)“運(yùn)行”;
② 輸入“mmc”��,然后點(diǎn)“Enter”;
③ 選中“文件”菜單���,然后選擇“添加/刪除插件”;
④ 在“添加/刪除插件”面板中�,點(diǎn)“添加”按鈕;
⑤ 雙擊“證書(shū)”插件���,選中“計(jì)算機(jī)帳號(hào)”���,然后點(diǎn)“結(jié)束”
⑥ 選中“本地計(jì)算機(jī)”,然后點(diǎn)“結(jié)束”���;
⑦ 關(guān)閉對(duì)話(huà)框����。
b�����、在證書(shū)mmc中���,點(diǎn)擊以展開(kāi)“證書(shū)”節(jié)點(diǎn)�����,然后展開(kāi)“專(zhuān)有”節(jié)點(diǎn)��;
c����、右鍵點(diǎn)擊相關(guān)的證書(shū),選擇“屬性”���;
d����、在“細(xì)節(jié)”一欄中�����,點(diǎn)“編輯屬性”���;
e��、選中“僅啟用以下目的地”��,然后清理掉“客戶(hù)端授權(quán)認(rèn)證”目的地����。
注意:在成功完成新口令的配置以后,Active Directory允許新口令和舊口令同時(shí)使用一個(gè)小時(shí)的時(shí)間��,在這段時(shí)間內(nèi)���,使用這兩個(gè)口令中的任意一個(gè)都可以成功登錄。
二�、ISA Server 2006內(nèi)部客戶(hù)端Web訪問(wèn)應(yīng)用指南
ISA Server的網(wǎng)絡(luò)訪問(wèn)控制是ISA Server作為企業(yè)防火墻最重要的功能之一,因此在進(jìn)行內(nèi)部客戶(hù)端網(wǎng)絡(luò)訪問(wèn)的配置之前�,首先要理解如何進(jìn)行網(wǎng)絡(luò)配置才是最優(yōu)的,能夠最大程度發(fā)揮ISA Server的功能而又不對(duì)網(wǎng)絡(luò)性能帶來(lái)影響�。
1、理解ISA Server網(wǎng)絡(luò)模型和默認(rèn)規(guī)則
1)ISA 網(wǎng)絡(luò)模型
在進(jìn)行網(wǎng)絡(luò)規(guī)則配置之前����,首先必須對(duì)ISA Server的網(wǎng)絡(luò)模型有比較透徹的理解,然后再進(jìn)行不同網(wǎng)絡(luò)配置以及啟用不同網(wǎng)絡(luò)之間的傳輸?shù)扰渲�。ISA Server需要以下規(guī)則以進(jìn)行不同網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸:
a、網(wǎng)絡(luò)規(guī)則
ISA Server的網(wǎng)絡(luò)邊界需要一個(gè)網(wǎng)絡(luò)規(guī)則以進(jìn)行通信���。網(wǎng)絡(luò)規(guī)則決定了嘗試進(jìn)行通信的兩個(gè)網(wǎng)絡(luò)之間的相互關(guān)系�,以及被定義的關(guān)系的類(lèi)型��。如果在兩個(gè)網(wǎng)絡(luò)之間沒(méi)有網(wǎng)絡(luò)規(guī)則的定義,ISA Server將會(huì)禁止所有的網(wǎng)絡(luò)間的通信�����。
b�����、訪問(wèn)規(guī)則
當(dāng)網(wǎng)絡(luò)間的關(guān)系以網(wǎng)絡(luò)規(guī)則的方式進(jìn)行定義以后�����,必須再定義一個(gè)特別允許處于不同網(wǎng)絡(luò)中的主機(jī)進(jìn)行通信的訪問(wèn)規(guī)則��,所有的網(wǎng)絡(luò)訪問(wèn)必須依據(jù)該規(guī)則展開(kāi)����。
2)ISA Server默認(rèn)規(guī)則
在ISA Server安裝以后,采用的默認(rèn)的安全規(guī)則�����,且客戶(hù)端訪問(wèn)被阻止��,具體定義了一下兩條規(guī)則:
a、Internet Access規(guī)則
Internet Access定義了所有預(yù)定義的ISA Server網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT�,Network Address Translation)關(guān)系。這意味著網(wǎng)絡(luò)之間能夠通信����,而且網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸并且應(yīng)用NAT以實(shí)現(xiàn)。
b���、Last規(guī)則
Last規(guī)則阻止所有的傳輸�,這一規(guī)則通常在規(guī)則列表的最后一個(gè)執(zhí)行�����,而且它不能夠被刪除�����,ISA Server管理員必須特別地創(chuàng)建一個(gè)訪問(wèn)規(guī)則以允許內(nèi)部用戶(hù)訪問(wèn)Internet�。
2���、創(chuàng)建出界訪問(wèn)規(guī)則
要實(shí)現(xiàn)內(nèi)部客戶(hù)端的出界訪問(wèn)����,必須首先創(chuàng)建一個(gè)訪問(wèn)規(guī)則以允許內(nèi)部客戶(hù)端出界訪問(wèn)到Internet,ISA Server提供了兩種創(chuàng)建出界訪問(wèn)規(guī)則的方法:
1)�、應(yīng)用網(wǎng)絡(luò)訪問(wèn)規(guī)則模板
ISA Server 2006包含一系列網(wǎng)絡(luò)模板,這些模板與常見(jiàn)的網(wǎng)絡(luò)拓?fù)湎嗥ヅ����。ISA Server管理員可以應(yīng)用一個(gè)與其網(wǎng)絡(luò)配置最為接近的網(wǎng)絡(luò)規(guī)則模板,在應(yīng)用一個(gè)網(wǎng)絡(luò)規(guī)則模板時(shí)����,可以選擇一系列的用以模板的策略以自動(dòng)地創(chuàng)建訪問(wèn)規(guī)則。
當(dāng)啟動(dòng)網(wǎng)絡(luò)模板向?qū)б詰?yīng)用一個(gè)模板時(shí)����,ISA Server網(wǎng)絡(luò)管理員需要定義網(wǎng)絡(luò)IP地址,然后選擇一個(gè)與該模板相匹配的預(yù)定義的防火墻策略��,在應(yīng)用模板以后���,ISA Server管理員可以配置其他的網(wǎng)絡(luò)實(shí)體��、網(wǎng)絡(luò)規(guī)則和訪問(wèn)規(guī)則��。
應(yīng)用網(wǎng)絡(luò)模板將會(huì)刪除除了預(yù)定義的系統(tǒng)策略之外的所有現(xiàn)有的規(guī)則���,因此在應(yīng)用模板之前對(duì)當(dāng)前的配置進(jìn)行備份,而且在運(yùn)行網(wǎng)絡(luò)模板向?qū)r(shí),ISA Server管理員仍有機(jī)會(huì)在應(yīng)用一個(gè)新的模板之前保存當(dāng)前的配置���。
2)�����、手動(dòng)創(chuàng)建網(wǎng)絡(luò)訪問(wèn)規(guī)則
除應(yīng)用網(wǎng)絡(luò)模板以外���,ISA Server管理員可以手動(dòng)創(chuàng)建訪問(wèn)規(guī)則。以下是詳細(xì)的操作步驟:
a���、在ISA Server管理器中��,右鍵點(diǎn)擊“防火墻策略”節(jié)點(diǎn)�,點(diǎn)擊“新建”���,然后點(diǎn)擊“訪問(wèn)規(guī)則”;
b���、在新訪問(wèn)規(guī)則向?qū)У摹皻g迎”頁(yè)面上�,輸入規(guī)則的名稱(chēng)����,然后點(diǎn)擊“下一步”����;
c�、在“規(guī)則執(zhí)行”頁(yè)面上,點(diǎn)擊“允許”���,然后點(diǎn)擊“下一步”��;
d�、在“協(xié)議”頁(yè)面上����,放棄默認(rèn)的“選中的協(xié)議”,然后點(diǎn)“添加”���;
e��、在“添加協(xié)議”對(duì)話(huà)框中��,展開(kāi)“Web”����;
f、選中需要的協(xié)議�,如:允許HTTP、HTTPS���、以及FTP出界訪問(wèn)���,首先選中FTP,然后點(diǎn)擊“添加”�����;選中HTTP��,然后點(diǎn)擊“添加”���,選中HTTPS�����,然后點(diǎn)擊“添加”。注意FTP服務(wù)器和HTTPS服務(wù)器協(xié)議不能被用以出界訪問(wèn)����,然后點(diǎn)“關(guān)閉”�,在“協(xié)議”頁(yè)面上���,點(diǎn)“下一步”���。
g、在“訪問(wèn)規(guī)則源網(wǎng)絡(luò)”頁(yè)面上�����,點(diǎn)“添加”���;
h�����、在“添加網(wǎng)絡(luò)實(shí)體”對(duì)話(huà)框中�����,展開(kāi)“網(wǎng)絡(luò)”��;
i���、選中將會(huì)創(chuàng)建傳輸?shù)木W(wǎng)絡(luò)源��。如���,如果想要允許位于內(nèi)部網(wǎng)絡(luò)的客戶(hù)端訪問(wèn)Internet,選中“內(nèi)部網(wǎng)絡(luò)”�����,點(diǎn)擊“添加”�����,然后點(diǎn)擊“關(guān)閉”����。在“訪問(wèn)規(guī)則源網(wǎng)絡(luò)”頁(yè)面上,點(diǎn)擊“下一步”�����;
j����、在“訪問(wèn)規(guī)則目的網(wǎng)絡(luò)”頁(yè)面上,點(diǎn)擊“添加”;
k��、在“添加網(wǎng)絡(luò)實(shí)體”對(duì)話(huà)框中��,展開(kāi)“網(wǎng)絡(luò)”�����;
l���、選中傳輸要到達(dá)的網(wǎng)絡(luò)。例如�,如果想要允許內(nèi)部網(wǎng)絡(luò)環(huán)境中的客戶(hù)端訪問(wèn)Internet,選中“外部網(wǎng)絡(luò)”���,點(diǎn)擊“添加”���,然后點(diǎn)擊“關(guān)閉”。在“訪問(wèn)規(guī)則目的網(wǎng)絡(luò)”頁(yè)面上��,點(diǎn)擊“下一步”�����;
m���、在“用戶(hù)設(shè)置”頁(yè)面上����,制定能夠使用此規(guī)則進(jìn)行Internet訪問(wèn)的用戶(hù)。如果要允許所有用戶(hù)的匿名訪問(wèn)�����,保留默認(rèn)的“所有用戶(hù)”設(shè)置�。要指定只有被授權(quán)用戶(hù)才能使用此規(guī)則進(jìn)行Internet訪問(wèn),點(diǎn)擊“添加”�,在“添加用戶(hù)”對(duì)話(huà)框中,選中“所有授權(quán)用戶(hù)”�,點(diǎn)擊“添加”,然后點(diǎn)擊“關(guān)閉”����。在“用戶(hù)設(shè)置”對(duì)話(huà)框中,選中“所有用戶(hù)”��,然后點(diǎn)擊“移除”�����,然后點(diǎn)擊“下一步”����!八惺跈(quán)用戶(hù)”設(shè)置代表了所有可以被授權(quán)的用戶(hù),而并不需要考慮使用的授權(quán)認(rèn)證方式��。
n����、在“完成創(chuàng)建新訪問(wèn)規(guī)則向?qū)А表?yè)面上���,檢查所有的配置��,然后點(diǎn)“完成”以結(jié)束向?qū)А?nbsp;
o����、在ISA Server管理器中���,點(diǎn)“應(yīng)用”以應(yīng)用新的規(guī)則���。
3、檢查訪問(wèn)規(guī)則
在創(chuàng)建完新的網(wǎng)絡(luò)訪問(wèn)規(guī)則以后����,為確保網(wǎng)絡(luò)訪問(wèn)能夠按照預(yù)期的目的開(kāi)始數(shù)據(jù)傳輸��,需要按照以下步驟檢查訪問(wèn)規(guī)則:
1)��、全局阻止規(guī)則����,查看新創(chuàng)建的規(guī)則是否與該規(guī)則沖突�����;
2)��、全局允許規(guī)則����,該規(guī)則允許所有用戶(hù)到特定站點(diǎn)的訪問(wèn);
3)��、允許或阻止到特定計(jì)算機(jī)的訪問(wèn)規(guī)則���;
4)�、允許或阻止特定用戶(hù)�、URLs����、和多用途互聯(lián)網(wǎng)郵件擴(kuò)展(MIME���,Multipurpose Internet Mail Extensions)等類(lèi)型的規(guī)則�;
5)���、其他相關(guān)的允許規(guī)則;
6)���、默認(rèn)阻止規(guī)則�����,這些規(guī)則位于規(guī)則列表的底層���,不符合其他任何規(guī)則的請(qǐng)求將會(huì)被此規(guī)則阻止。
經(jīng)過(guò)以上符合最優(yōu)網(wǎng)絡(luò)訪問(wèn)規(guī)則創(chuàng)建和檢查過(guò)程的配置以后��,用戶(hù)可以實(shí)現(xiàn)利用ISA Server進(jìn)行內(nèi)部客戶(hù)端的網(wǎng)絡(luò)訪問(wèn)控制�����。
作為ISA Server在企業(yè)防火墻功能上最為重要的應(yīng)用,與內(nèi)部客戶(hù)端網(wǎng)絡(luò)訪問(wèn)相關(guān)的應(yīng)用非常之多�����,因此相應(yīng)的可優(yōu)化的應(yīng)用點(diǎn)也比較多���,比如特定站點(diǎn)訪問(wèn)配置優(yōu)化�����、客戶(hù)端配置優(yōu)化���、單個(gè)網(wǎng)絡(luò)適配器環(huán)境配置優(yōu)化、基礎(chǔ)架構(gòu)優(yōu)化等�����,限于本文的篇幅�����,將不再對(duì)其他的應(yīng)用做深入的介紹��,如果讀者需要了解相關(guān)應(yīng)用及其最優(yōu)配置的話(huà)�����,建議參考微軟TechNet的ISA Server知識(shí)中心。
三�����、ISA Server 2006 Outlook Web Access應(yīng)用指南
1�、理解ISA Server默認(rèn)發(fā)布規(guī)則
默認(rèn)情況下,ISA Server會(huì)阻止內(nèi)部客戶(hù)端對(duì)網(wǎng)絡(luò)的訪問(wèn)�,因此為實(shí)現(xiàn)最大程度實(shí)現(xiàn)網(wǎng)絡(luò)控制和網(wǎng)絡(luò)性能,在ISA Server正式啟用之前�,需要進(jìn)行相應(yīng)規(guī)則的創(chuàng)建和檢查。以下是具體操作過(guò)程:
1)����、確定制定發(fā)布規(guī)則
確定存在允許外部客戶(hù)端訪問(wèn)Outlook Web Access站點(diǎn)的規(guī)則���。新規(guī)則可以通過(guò)“新發(fā)布規(guī)則創(chuàng)建向?qū)А眲?chuàng)建���;
2)、檢查規(guī)則順序
如果存在阻止規(guī)則禁止了對(duì)站點(diǎn)的訪問(wèn)����,而且該規(guī)則的順序在允許規(guī)則之前���,則該阻止規(guī)則的將會(huì)被首先處理,ISA Server管理員應(yīng)當(dāng)按照以下順序檢查規(guī)則順序:
a�����、全局阻止規(guī)則�����。該規(guī)則阻止到所有用戶(hù)的訪問(wèn)����;
b、全局允許規(guī)則�����,該規(guī)則允許所有用戶(hù)到特定站點(diǎn)的訪問(wèn)�����;
c�����、允許或阻止到特定計(jì)算機(jī)的訪問(wèn)規(guī)則;
d�����、允許或阻止特定用戶(hù)����、URLs、和多用途互聯(lián)網(wǎng)郵件擴(kuò)展等類(lèi)型的規(guī)則�;
e、其他相關(guān)的允許規(guī)則�;
f、默認(rèn)阻止規(guī)則�,這些規(guī)則位于規(guī)則列表的底層,不符合其他任何規(guī)則的請(qǐng)求將會(huì)被此規(guī)則阻止��。
2����、優(yōu)化網(wǎng)絡(luò)連接設(shè)置
優(yōu)化網(wǎng)絡(luò)連接設(shè)置能夠確保符合網(wǎng)絡(luò)發(fā)布規(guī)則的連接都能夠順利建立���,并達(dá)到最優(yōu)的網(wǎng)絡(luò)傳輸�����,可采用以下具體步驟檢查網(wǎng)絡(luò)連接并優(yōu)化特定配置:
1)��、常用設(shè)置檢測(cè)
分別嘗試使用符合規(guī)則的客戶(hù)端和不符合規(guī)則的客戶(hù)端連接到Outlook Web Access站點(diǎn)�;如果沒(méi)有計(jì)算機(jī)能夠訪問(wèn)Outlook Web Access站點(diǎn),檢查站點(diǎn)是否在運(yùn)行并且可用�。
2)、DNS檢測(cè)和確認(rèn)
對(duì)于DNS的檢測(cè)可以發(fā)現(xiàn)DNS的設(shè)置是否達(dá)到了規(guī)則定義的需求���,從而確保在計(jì)算機(jī)名稱(chēng)獲取和解析時(shí)得到正確的計(jì)算機(jī)位置��,以下是具體操作步驟:
a�����、外部Internet客戶(hù)端請(qǐng)求一個(gè)有效的公共DNS入口來(lái)實(shí)現(xiàn)請(qǐng)求�。域名可以通過(guò)一個(gè)公共DNS服務(wù)器來(lái)實(shí)現(xiàn)從域名到ISA Server計(jì)算機(jī)IP地址的轉(zhuǎn)換(通常是外部適配器的IP地址)����;
b、外部客戶(hù)端請(qǐng)求指定的用以O(shè)utlook Web Access站點(diǎn)訪問(wèn)的名稱(chēng)必須與ISA Server使用的用以進(jìn)行客戶(hù)端授權(quán)認(rèn)證的服務(wù)器證書(shū)FQDN指定的通用名稱(chēng)字段相匹配���;
c���、為優(yōu)化應(yīng)用����,ISA Server管理員可以在主機(jī)文件中指定解決信息的名稱(chēng)����,當(dāng)成功連接到Outlook Web Access站點(diǎn)的時(shí)候,應(yīng)當(dāng)出現(xiàn)一個(gè)登錄界面����,允許用戶(hù)輸入授信信息;
d�����、使用Nslookup.exe命令行工具來(lái)檢測(cè)外部Web站點(diǎn)名稱(chēng)是否按照預(yù)期被解析�����。
3)����、單個(gè)網(wǎng)絡(luò)適配器配置
ISA Server提供了對(duì)只有單個(gè)網(wǎng)絡(luò)適配器的Outlook Web Access站點(diǎn)發(fā)布的支持�����,在相應(yīng)的配置中,檢測(cè)以下配置以使應(yīng)用效果最佳:
a����、確保ISA Server按照單個(gè)網(wǎng)絡(luò)適配器網(wǎng)絡(luò)模板進(jìn)行了配置;
b�����、當(dāng)安裝ISA Server到只有單個(gè)網(wǎng)絡(luò)適配器的計(jì)算機(jī)上時(shí)��,ISA Server只能夠識(shí)別兩個(gè)網(wǎng)絡(luò):代表了ISA Server計(jì)算機(jī)本身的本地主機(jī)網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)����,在內(nèi)部網(wǎng)絡(luò)中包括了所有不屬于本地主機(jī)網(wǎng)絡(luò)的IP地址。確保選中的進(jìn)行Outlook Web Access發(fā)布規(guī)則的Web監(jiān)聽(tīng)器被配置以監(jiān)聽(tīng)內(nèi)部網(wǎng)絡(luò)��。
如果網(wǎng)絡(luò)連接設(shè)置沒(méi)有按照預(yù)期的進(jìn)行配置�����,則可能在應(yīng)用過(guò)程中出現(xiàn)連接相關(guān)的問(wèn)題���,在完成檢測(cè)以后�,應(yīng)當(dāng)根據(jù)需求調(diào)整相應(yīng)的配置,本文將不詳細(xì)介紹配置過(guò)程����。
ISA Server Outlook Web Access發(fā)布應(yīng)用部分同樣涉及了ISA Server相當(dāng)重要的應(yīng)用,針對(duì)其應(yīng)用的優(yōu)化同樣涉及證書(shū)設(shè)置優(yōu)化�����、電子郵件配置優(yōu)化��、授權(quán)和登錄配置優(yōu)化等����,限于本文的篇幅,將不再介紹詳細(xì)的設(shè)置過(guò)程����,如果讀者有需要可以參考微軟TechNet上ISA Server操作相關(guān)的知識(shí)。
四��、小 結(jié)
本文從實(shí)際應(yīng)用的角度出發(fā)�,針對(duì)ISA Server 2006在應(yīng)用層過(guò)濾上的實(shí)際操作,闡述ISA Server 2006口令變更功能配置優(yōu)化�、ISA Server 2006內(nèi)部客戶(hù)端Web訪問(wèn)應(yīng)用優(yōu)化以及Outlook Web Access應(yīng)用優(yōu)化三個(gè)關(guān)鍵應(yīng)用優(yōu)化涉及到的知識(shí)。筆者希望能夠盡量帶給讀者在ISA Server應(yīng)用程序過(guò)濾功能上的詳細(xì)操作指導(dǎo)���。但限于本文篇幅���,忽略了部分應(yīng)用優(yōu)化的詳細(xì)操作過(guò)程,筆者建議對(duì)于想要深入了解ISA Server特定操作優(yōu)化的用戶(hù)����,可以參考微軟TechNet上相應(yīng)的知識(shí)。 |
|
| [責(zé)任編輯:佚名] |
|
| 【信息發(fā)布】【論壇交流】【留言反饋】【打印網(wǎng)頁(yè)】【大 中 小】【↑頂部】 |
|
|
|
|
|
|
