请输入您要查询的百科知识:

 

词条 服务器发布规则
释义

使用Web发布规则发布Web服务器时,出现在您的Web服务器的日志文件中的IP源地址将是运行ISA Server的计算机的内部地址。如果您想在Web服务器日志中获取相关请求的实际IP源地址,就必须使用服务器发布规则。ISA服务器使用服务器发布来处理内部服务器的传入请求,如文件传输协议fFTP)服务器、结构化查询语言(SQL)服务器等。请求被转发到下游位于ISA服务器计算机后面的内部服务器。

服务器发布规则服务器发布规则Microsoft Internet Security and Acceleration (ISA) Server 2004 使用服务器发布来处理内部服务器 [如文件传输协议 (FTP) 服务器、结构化查询语言 (SQL) 服务器等] 的传入请求。请求被转发到下游位于 ISA 服务器计算机后面的内部服务器。

服务器发布实际上允许内部网络上的任何计算机发布到 Internet。由于所有传入请求和传出响应都要通过 ISA 服务器,因此这样并不会危及安全性。由 ISA 服务器计算机发布服务器时,发布的 IP 地址实际上是 ISA 服务器计算机的 IP 地址。请求对象的用户认为他们是在与 ISA 服务器计算机(其名称或 IP 地址在用户请求对象时被指定)进行通讯,实际上他们是请求发布服务器中的信息。从访问发布服务器的客户端所在的网络到发布的服务器所在的网络存在网络地址转换 (NAT) 关系时,也是如此。在配置路由网络关系时,客户端使用发布的服务器的实际 IP 地址来访问它。有关网络关系的详细信息,请参阅网络规则。

服务器发布规则决定服务器发布的执行方式,它实际上是筛选通过 ISA 服务器计算机的所有传入和传出请求。服务器发布规则将传入请求映射到 ISA 服务器计算机后面的相应服务器。这些规则将按照指定,动态授予从 Internet 用户到特定发布服务器的访问权限。

发布的服务器是 SecureNAT 客户端。因此,在 ISA 服务器计算机上创建服务器发布规则之后,则无需对发布的服务器进行特殊配置。请注意,必须将 ISA 服务器配置为发布的服务器上的默认网关。

注意

不支持发布 IP 级别和 Internet 控制消息协议 (ICMP) 首要协议。一个例外情况是点对点隧道协议 (PPTP),该协议是传输控制协议 (TCP) 连接和一般路由封装 (GRE) 数据包的组合形式,并且受支持。 新规则仅应用于新连接。 有关说明,请参阅创建服务器发布规则。

服务器发布规则适用于一个协议。有关说明,请参阅为服务器发布规则配置协议。

服务器发布的工作方式

ISA 服务器在服务器发布过程中执行下列步骤:

Internet 上的客户端计算机从被认为是发布服务器的 IP 地址请求对象。该 IP 地址实际上与 ISA 服务器计算机相关联。这是属于 ISA 服务器计算机的外部网络适配器的 IP 地址。 ISA 服务器计算机处理该请求,将该 IP 地址映射为内部服务器的内部 IP 地址。 内部服务器将对象返回到 ISA 服务器计算机,通过它将对象传递给发出请求的客户端。

记录匹配规则的请求

监视哪些规则拒绝或允许特定通讯的有效方式是对每一条规则启用日志记录。但是,日志记录会增加 ISA 服务器计算机上的负载,并会对性能造成不利的影响。要消除此性能顾虑同时确保安全性,可采用的一种方法是标识将记录哪些规则。这样,如果记录了有关特定协议或源的大量数据,便可以新建一个应用于该类型的通讯、但不为其记录请求的规则。例如,假设您的策略不允许 DHCP 请求,因此,您会看到许多 DHCP 请求被拒绝。在这种情况下,您可以新建一个访问规则来拒绝 DHCP 请求,但并不记录该请求。

通过对特定的规则禁用日志记录,可以有效地减少 ISA 服务器计算机在受到攻击时的负载。但是,请注意,如果对默认的拒绝规则禁用日志记录,ISA 服务器将无法检测到端口扫描攻击。

每条规则筛选

基于每条规则应用应用程序筛选。这意味着您可以选择最适合于您的特定安全需求的防火墙策略。每条规则筛选可用于 Exchange RPC 筛选器的服务器发布规则。

改写默认端口

使用 ISA 服务器发布服务器时,默认情况下防火墙将侦听相应协议标准端口上的传入请求,并且将传入连接传递到发布服务器上的相同标准端口。例如,在发布 FTP 服务器时,ISA 服务器将侦听端口 21(与 FTP 协议相关联的端口)上的传入请求,并将传入连接传递到发布的服务器上的端口 21。通过在发布规则中指定其他端口,可以改写标准端口。

注意

在发布网络之间存在路由网络关系的远程过程调用 (RPC) 接口时,将忽略端口改写。发布规则将使用原始 IP 地址和端口。 有关说明,请参阅为服务器发布规则改写默认端口。

服务器发布规则的使用

在很多情况下,可以使用访问规则而不是服务器发布规则来使客户端可以访问服务器。关于服务器发布规则的使用,请注意以下几点:

从发布的服务器的网络到客户端网络存在 NAT 网络关系时,必须使用服务器发布规则。 一个服务器发布规则只能发布一个标识的服务器。要发布多个服务器,需要多个规则。 使用服务器发布规则,可以配置端口改写。有关详细信息,请参阅改写默认端口。

发布 DNS 服务器

ISA 服务器不转换 DNS 服务器的 IP 地址。要发布 DNS 服务器,需在本地主机网络和包含 DNS 服务器的网络之间配置路由网络关系。同样,ISA 服务器必须知道 DNS 服务器的 IP 地址。

禁用规则

禁用服务器发布规则之后,将拒绝任何尝试连接到服务器的请求。但是,请注意,ISA 服务器不会关闭活动的连接。有关说明,请参阅禁用防火墙策略规则。

可以通过断开相关的会话来停止活动的连接。有关说明,请参阅断开会话。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/24 8:50:53