ISA教程

ISAServer2006新特性介绍我更愿意将“ISAServer2006”称为“ISAServer2004R2”，因为ISAServer2006更像是基于ISAServer2004的一个featurepack，它修正了ISAServer2004中的一些错误并增加了部分新功能，但是并没有进行架构上的升级。ISAServer2006的安装过程和ISAServer2004一致，和ISAServer2004相比，ISAServer2006在以下方面进行了增强：1、针对应用发布的保护在ISAServer2006中，新增了SharePoint站点的发布功能，并对原有发布功能进行了改进，例如针对ExchangeWeb客户访问的发布进行了较大修改，支持各种版本的Exchange服务器；在发布Web服务时，ISAServer2006支持通过服务器场的方式进行发布，从而可以实现一种简单的负载平衡和容错功能。针对Web服务发布，除了过去ISAServer2004所支持的身份验证方式外，ISAServer2006还增加了对Ldap身份验证方式的支持；和ISAServer2004只支持基于基本身份验证的身份验证委派相比，ISAServer2006支持更多的身份验证委派方式。另外，ISAServer2006还支持自定义客户端显示的登录表单；支持基于相同Web侦听器、相同域名后缀的单点登录（SingleSign-On）；以及在做安全Web服务发布时，支持在不同的IP地址上绑定不同的服务器证书；2、针对安全访问的增强ISAServer2006中集成了ISAServer2004SP2中所提供的BITS缓存、HTTP压缩支持和基于DifferServ协议的QoS功能，另外还极大的强化了抗御拒绝式服务攻击的能力，和ISAServer2004中你只能限制客户的最大TCP/UDP并发连接数相比，在ISAServer2006中你可以限制每个IP进行每分钟的最大TCP连接请求数、最大TCP并发连接数、最大TCP半开连接数、每分钟的最大HTTP连接请求数、最大UDP并发连接数等等；3、针对分部网络的支持在ISAServer2006中极大的增强了对分部网络的支持。在ISAServer2004中做站点到站点VPN连接时，复杂的操作步骤可能让很多朋友头痛不已，也间接导致了配置的失败。ISAServer2006中极大的简化了站点到站点VPN连接的配置步骤，在创建远程站点时可以自动配置远程访问VPN服务（如果需要）和创建相应的网络规则、访问规则，如下图所示：并且极具智能化的向导会提示你成功完成远程站点配置还需要的步骤，并且在ISAServer2006企业版中提供了一个分部网络VPN连接向导，它可以通过创建应答文件的方式来简化分部网络中远程站点的配置。以上只是ISAServer2006中的部分新增特性。除此之外，ISAServer2006在人性化界面上又进一步进行了增强，例如在保存修改并应用时，ISAServer2006会提示你修改后的配置不会影响到现有的客户端连接；并且在警告方面，ISAServer2006从不同的细节上增加了警告的数量和类型，从而可以让你更方便的进行管理。Howto：升级到ISAServer2006微软一向注重同系列产品间的纵向升级，ISAServer也不例外。ISAServer2006支持从ISAServer2004的无缝升级，升级路径如下表所示：原有版本新版本ISA2006SEISA2006EEISA2000SE--ISA2000EE--ISA2004SE支持-ISA2004EE-支持ISA2006BetaSE支持-ISA2006BetaEE-支持ISA2006RCSE支持-ISA2006RCEE-支持1、标准版升级在升级标准版本时，你可以采用以下两种方式：备份原有配置，全新安装ISAServer2006标准版，然后恢复原有配置；直接运行ISAServer2006安装进行升级；不过同样建议你先备份原有配置；在此我以使用第二种方式为例，给大家介绍如何进行升级。需要注意的是，由于当前Build的ISAServer2006中并没有防火墙客户端安装共享和SMTP消息筛选器这两个组件，因此在进行升级之前，必须保证当前的ISAServer2004服务器上没有安装这两个组件，如果已经安装，则需要先卸载这两个组件，然后再进行升级。在ISAServer2004服务器上运行ISAServer2006安装程序，ISAServer2006的安装程序会识别当前ISAServer2004的服务器配置，并自动调用升级向导，在欢迎使用ISAServer2006升级向导页，向导提示你会对ISAServer2004服务和管理控制台进行升级，点击下一步；在协议许可页，选择我接受许可协议，点击下一步；在用户信息页，输入用户信息和产品序列号后点击下一步；在升级检查清单页，提示你在进行升级之前需要进行的操作，点击下一步；在服务警告页，向导提示你需要重启和禁用的服务，点击下一步；在准备安装程序页，点击安装，此时向导开始进行升级；在安装向导完成页，点击完成；此时在ISAServer2006管理控制台中，可以看到原有配置已经成功进行了复制。2、企业版升级企业版升级比标准版稍显复杂，在升级过程中需要注意以下几点：服务器操作系统必须为WindowsServer2003SP1及以上；在运行升级之前，卸载原有的防火墙客户端安装共享和SMTP消息筛选器组件；配置存储服务器不能直接升级，必须先备份原有配置，然后安装ISAServer2006的配置存储服务器，再将原有配置导入；在安装配置存储服务器的过程中，应保持企业名和阵列名和原有配置一致；ISAServer服务可以直接运行升级向导进行升级，也可以直接安装全新的ISAServer服务加入到当前阵列；具体的过程在此我就不详细描述了。不过在可能的情况下，建议大家最好全新安装ISAServer2006。在ISAServer2006中发布Web服务由于在身份验证方式上进行了增强，ISAServer2006中的Web服务发布方式和ISAServer2004有所不同，在这篇文章中，我将给大家详细介绍如何在ISAServer2006中发布Web服务。一、发布单个Web站点在ISA2006管理控制台中右击防火墙策略，指向新建，选择Web站点发布规则；在弹出的欢迎使用新建Web发布规则向导页，输入规则名称后点击下一步；在选择规则动作页，选择允许，点击下一步；在发布类型页，选择发布单个Web站点或负载均衡器，点击下一步；在服务器连接安全性页，选择使用非安全连接来连接到被发布的Web服务器或服务器场（即使用HTTP协议进行连接），点击下一步；在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称（Web站点的主机名头），但是由于存在Web站点的主机名头和计算机名不一致的现象，为了便于ISA连接到内部的Web服务器，建议你勾选使用计算机名或IP地址来连接到被发布的服务器，然后输入服务器的IP地址，从而避免ISA不能正常解析内部Web站点名从而导致无法连接的现象，完成后点击下一步；在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此直接点击下一步；在公共名字细节页，选择接受外部访问请求的外部域名，在此我在接收请求栏选择任何域名，点击下一步；在选择侦听器页，点击新建，在弹出的欢迎使用新建Web侦听器向导页，输入侦听器名称后点击下一步；在客户端连接安全性页，选择不要求和客户端之间的SSL安全连接，点击下一步；在Web侦听器IP地址页，勾选外部网络，你也可以点击选择IP地址按钮来配置Web侦听器侦听的IP地址，点击下一步；在身份验证设置页，设置ISAServer2006是否对请求访问的客户进行身份验证。需要注意的是，此身份验证是由ISAServer要求客户进行，和被发布的Web服务器没有任何关系。不过在ISA2006中增强了对于身份验证委派的支持，因此你可以设置ISAServer要求客户身份验证，然后ISAServer再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器，从而避免客户端被提示要求进行多次身份验证。需要注意的是，默认情况下ISA拒绝通过HTTP协议进行任何身份验证，因此当客户使用HTTP协议访问时，如果ISA的其他配置或被发布的Web服务器要求客户进行身份验证，那么ISA会拒绝客户的访问。我将在以后撰文专门分析ISAServer2006中的身份验证。在此我是对Internet发布Web服务，不需要客户端进行身份验证，因此选择无身份验证，点击下一步；在单点登录设置页，由于只有基于HTTP表单的身份验证才支持SSO，因此无法进行配置，直接点击下一步；在正在完成新建Web侦听器向导页点击完成，然后在选择Web侦听器页点击下一步；在身份验证委派页，由于我不要求客户进行身份验证，因此选择无委派，并且客户不能直接进行身份验证，点击下一步；在用户集页，接受默认的所有用户，点击下一步；在正在完成新建Web发布规则向导页点击完成，此时Web发布规则就创建好了。不过默认情况下ISA并未转发客户端原始IP地址给被发布的Web服务器，你可以在Web发布规则属性的到标签进行修改，如下图所示：需要注意的是，由于在进行Web发布时，ISA需要占用TCP/IP上的相应端口，因此Web发布规则所侦听的端口如TCP80需要保证没有被其他应用程序所占用，这个可以通过netstat-bfind:80来观察。最后点击应用保存修改并更新防火墙策略，此时Web发布规则就创建好了。二、发布多个Web站点在ISAServer2006中你可以同时发布多个Web站点，针对每个Web站点创建一个Web发布规则。不过被发布的这些Web站点最好具有相同的域名后缀，否则你需要对创建的Web发布规则进行修改。前面的操作过程是一样的，只是在发布类型页，选择发布多个Web站点，点击下一步；在指定发布的Web站点页，点击添加按钮添加被发布的Web站点的名字，需要注意的是，ISA将使用这个名字来连接到这些Web站点，并且也将这个名字和后面提供的域名后缀相结合以指定Web发布规则中的公共名称。添加完成后点击下一步；在发布的Web站点公共名称页，输入Web站点的域名后缀，然后点击下一步；在选择Web侦听器页，在此我选择一个已有的Web侦听器，然后点击下一步；在身份验证委派页，同样选择无委派，并且客户不能直接进行身份验证，点击下一步；在用户集页，接受默认的所有用户，点击下一步；在正在完成新建Web发布规则向导页点击完成，此时Web发布规则就创建好了，如下图所示，不过建议你再检查一下Web发布规则，你可能需要对Web发布规则进行修改。三、发布服务器场服务器场是一个包含多个服务器对象的网络对象，在ISAServer2006中新增了发布服务器场的功能，用于实现一种简单的容错和负载均衡机制，它的工作原理是这样的：当发布服务器场以后，ISAServer2006将客户访问请求分布到服务器场中的不同Web服务器上，以实现负载均衡；在创建服务器场发布规则的同时，ISA创建一个连接性验证工具，每隔30秒对被发布的服务器场中的每个Web服务器使用HTTP/HTTPSGET进行连接性验证；如果某个Web服务器连接失败，则将客户的访问请求转发到服务器场中其他连接正常的Web服务器，以实现容错；如果服务器场中的所有Web服务器均连接失败，则服务器场发布规则失败。前面的操作过程是一样的，只是在发布类型页，选择发布一个Web服务器负载均衡服务器场，点击下一步；在客户端连接安全性页，选择不要求和客户端之间的SSL安全连接，点击下一步；在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称（Web站点的主机名头），完成后点击下一步；在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此点击下一步；在指定服务器场页，点击新建按钮，在弹出的欢迎使用新建服务器场向导页，输入服务