利用ISAServer2020发布DMZ区服务器

利用ISAServer2020发布DMZ区服务器利用ISAServer2006公布DMZ区服务器上次咱们通过设置防火墙策略使内网用户能够上网了，同时通过配置缓存加快了访咨询Internet的速度。今天我们的任务确实是把外围区域（DMZ）的服务器公布出去。我重点会去讲web服务器的公布。其它的服务比如：mail、FTP、DNS差不多上一样的，大伙儿把握一种方法其它的就都学会了啊。拓扑图在下面，前面两次尽管也是这幅图，但我们一直没有讲到的一个地点，确实是DMZ区域，在ISAServer中它又叫外围区域。接下来我们就要把那个区域中的服务器公布到外部供Internet上的朋友们访咨询。什么缘故不让他们直截了当访咨询而要通过公布的方式呢？因为假如没有防火墙的爱护，直截了当暴露在外网的话，估量不到两分种就歇菜了。什么病毒啊，黑客啊全来了。因此我们要把它们公布出去，如此Internet上的用户访咨询外网接口，就等于访咨询了DMZ区域中的服务器。我想大伙儿在路由器上都应该做过NAT，NAT有个技术叫PAT，它也能够用来公布服务器，通过端口来定位服务。咱这和那个道理是一样的。我们还要把这些服务器公布到内网——而不是让他们直截了当访咨询，什么缘故呢？“家贼难防”！，就不用讲明了。来看看具体的步骤吧！第一依旧分析一下拓扑。为了大伙儿看起来方便我把大致的的信息排列到下面：1.

DMZ区域中有两台服务器，分不是：1>.web服务器主机名：IP:0/16GW:2>.mail服务器主机名：IP:0/16GW:2.

ISAServer的三块网卡IP分不为：1>.内网卡LANIP：/242>外围网卡DMZIP：/163>外网卡WANIP:/8要紧的TCP/IP参数确实是上面排列的那些，其他没讲到的咱们边做边讲吧。前面一直是那个图，但事实上DMZ区我们并没有去用到它，因此这之前我们一直是一种边缘防火墙的部署方式。这次们就来开创这块非军事化区（DMZ）。使之成为三向外围部署方式。1．打开“ISA服务治理器”，展开“配置”，选择“网络”，在右边的模板栏里选择3向外围网络，就会显现下图的界面。如图：2.连续单击两个下一步，就到了指定内网卡的地点，点击添加适配器，加入内网卡（LAN）确定确实是如下的界面。（注意可不添错了啊）3.依旧一样，那个地点确实是添加外围网卡（DMZ），单击添加适配器，把DMZ网卡添进来就能够了。5.好了，确认一下设置的内部和外围等信息，看看有没有什么咨询题，没有的话就能够单击完成了。也许您会咨询，什么缘故没有让选择外部网卡？您想啊，总共三块网卡。定义了内部和外围之后剩下的因此是外部喽！6.到那个界面时，我们点击应用之后确定即可。至此，咱们的网络环境就从原先的边缘网络，变成了三向外围的网络。第二部分：公布web服务器在各类服务器的公布中，web服务器的公布是最多的。其步骤也相对较多一些，把握了web服务的公布，其它的就简单的多了。这次重点以公布web服务器为主。下面是步骤：1.在ISA治理操纵台里，点击一下防火墙策略，再点击任务栏中的公布网站，如图，咱们将会在那个界面下做设置。2.在弹出的web公布规则向导界面中，我们给它取个名子叫“web服务公布规则”，如此做个标识，不人一看就明白是干什么用的。如图：3.在“请选择规则条件”选项卡中选择“承诺”。记住，ISA里面的规则操作除了承诺确实是拒绝。6.现在到了配置内部公布详细信息那个地点，把站点名写到内部站点名称那个地点，然后勾选“使用运算机名称或IP地址连接到公布的服务器”，同时不忘了把IP写上去，如图：7.上面步骤完了之后下一步就到那个地点了，这是在咨询我们要公布哪些内容，咱们全部都公布因此用个“/*”代替就能够了。8.此处设置的是公共名称细节，在接收要求那个地点选择“任何域名”。下面的路径保持默认即可。假如有其它的能够单独指定。9.现在选择Web侦听器，因为没有因此就选择新建，来创建一个。（侦听器用来指定ISA服务器侦听传入Web要求的IP和端口）10.下面是新建web侦听器的向导界面，依旧一样先取个名子，做个标识。11.那个地点和刚才上面设置的时候意思是一样的，依旧选择第二项“不需要与客户端建立SSL安全连接”，如图：12.这一步就比较关键了，它让我们选择web侦听器的IP地址。假如只选择外部，就只能把服务器公布到外部，咱这儿是要把服务器从DMZ发到内网和Internet因此就勾两项。如图：13.身份验证那个地点选择“没有身份验证”即可。那个一样用的不多。因此为了安全性更高也能够设置带身份验证的。14.好了，现在把web侦听器的配置在检查一下，就能够点击完成了。15.有了web侦听器，我们连续公布服务器，注意应在次确认一下侦听器的属性。看看有无错误，没有就能够单击下一步了，如图：16.在身份验证委派那个地点选择“无委派，客户端无法直截了当进行身份验证”。17.用户集那个地点选择所有用户即可，因为咱们是让所有人访咨询，假如有专门要求，可依照实际情形去设置。18.OK，现在策略设置好了，点击应用之后确定，就能够测试结果了。第三部分：测试内网用户和外网用户访咨询DMZ区域的web服务器在测试之前先确保缓存开着没有，尽管并不是必要的，但如此会提高访咨询速度。何乐而不为呢！下图显示缓存是开着的。现在内网的职员只能通过内网接口（LAN）来访咨询Web站点。然后再通过ISAServer转到真正的web服务器0上。因此我们要在内网中添加一个DNS主机记录，FQDN为IP为。如图：在IE中输入主机名.能够看到我们能够正常的访咨询web站点。（注意我那个地点开了一台Linux并启动了httpd来模拟DMZ区域中的web服务器）如图：Ping一下域名能够看到ping的事实上是IP为的内网卡（LAN）。以此讲明，DMZ区中的web服务器公布到内部网络中成功现在到外网客户机上来测试一下，（注意：外网客户机的DNS我用的是hosts文件的方式，因此真实环境下，确信是要在公网DNS服务器上注册的）。下图是用外网客户机ping出的结果，如图，能够看到ping事实上实在ping外网口的地址。现在通过那个域名访咨询，能够看到能够成功访咨询。讲明DMZ区域中的web公布到外网成功。现在大伙儿看到了web服务器的公布，相信公布其它服务器也不成咨询题了，事实上都专门简单。下面我再介绍一下邮件服务器的公布。1.如图，这次就选择防火墙策略中的“公布邮件服务器”。3.选择服务那个地点我们能够依照需求选择相应的服务。如图：4.服务器地址那个地点设置的确实是DMZ区域中的邮件服务器真实的IP地址。此处是：05.和公布web服务器一样，此处也是指定公布到哪些地点去。6.现在邮件服务器就算公布好了。公布邮件服务器够简单的吧！感受还没做就完了。测试我这就不做了啊，方法确实是如此。测试前依旧一样。确保内网DNS服务器上有A记录。FQDN：IP:;外网除了要去注册