ISA+花生殼發(fā)布WEB+Mail+FTP服務(wù)器到Internet(單網(wǎng)卡部署WEB+Mail+FTP+ISA服務(wù)之終結(jié).doc

在我的上一篇博文中（/872263/196413 ） 發(fā)布的服務(wù)器沒(méi)有任何保護(hù)，實(shí)際上在裸奔。這一次我們用岳雷老師講的在單網(wǎng)卡下通過(guò)安裝一個(gè)虛擬的loopback(環(huán)回網(wǎng)卡)網(wǎng)卡來(lái)實(shí)現(xiàn)雙網(wǎng)卡（相關(guān)部分請(qǐng)查看岳雷老師的力作：讓你的Web服務(wù)器不再裸奔：ISA2006系列之十二），從而滿(mǎn)足ISA的防火墻安裝要求，利用ISA的強(qiáng)大的安全保護(hù)來(lái)為裸奔的服務(wù)器加上一塊遮羞布，本篇博文其實(shí)是對(duì)岳雷老師的“讓你的Web服務(wù)器不再裸奔：ISA2006系列之十二”的一個(gè)實(shí)例，為一些僅有一臺(tái)電腦、單網(wǎng)卡而又要發(fā)布有安全保護(hù)的多個(gè)服務(wù)的朋友提供一個(gè)參考。一、目的：在共享上網(wǎng)、單網(wǎng)卡環(huán)境下利用花生殼軟件和ISA發(fā)布WEBMail+FTP服務(wù)器到Internet，實(shí)現(xiàn)網(wǎng)絡(luò)知識(shí)學(xué)習(xí)大練兵。二、網(wǎng)絡(luò)環(huán)境：三、準(zhǔn)備工作1、安裝環(huán)回網(wǎng)卡并設(shè)置IP及子網(wǎng)掩碼。（具體步驟請(qǐng)安照岳雷老師的力作：讓你的Web服務(wù)器不再裸奔：ISA2006系列之十二中的方法操作）安裝完后loopback網(wǎng)卡IP設(shè)為：50，子網(wǎng)掩碼：，設(shè)置后的截圖如下：物理網(wǎng)卡的設(shè)置如下：2、配置好IIS中的FTP服務(wù)，WEB服務(wù)，以及在WEB服務(wù)中工作的winwebmail郵件服務(wù)。FTP使用默認(rèn)站點(diǎn)，匿名登陸，對(duì)根目錄完全控制，設(shè)置如下圖：在IIS的網(wǎng)站中建一個(gè)WEB站點(diǎn)，用來(lái)發(fā)布一個(gè)網(wǎng)站，因WEB服務(wù)使用的80端口會(huì)和ISA的相沖突，而又準(zhǔn)備使用ISA的端口重定向來(lái)發(fā)布WEB站點(diǎn)，所以這里Web站點(diǎn)服務(wù)使用81端口。另外IP地址不用設(shè)置，或設(shè)為50，一會(huì)會(huì)在ISA中設(shè)置把50：80的請(qǐng)求轉(zhuǎn)發(fā)到50：81上來(lái)，但高級(jí)中的主機(jī)頭一定不要設(shè)置，因?yàn)镮SA沒(méi)有把主機(jī)頭中的域名轉(zhuǎn)發(fā)過(guò)來(lái)，若這里設(shè)置了主機(jī)頭中的域名，會(huì)導(dǎo)致站點(diǎn)無(wú)法訪(fǎng)問(wèn)，如下圖：另外又建了一個(gè)WEB網(wǎng)站叫mail，用來(lái)發(fā)布winwebmail中的郵件服務(wù)，其設(shè)置相同，僅TCP端口改為82，如下圖：winwebmail的主目錄及權(quán)限設(shè)置：winwebmail需要Active Server Pages的支持：3、安裝花生殼軟件，并申請(qǐng)幾個(gè)域名，如下圖，域名5151用于訪(fǎng)問(wèn)WEB網(wǎng)站用，用于訪(fǎng)問(wèn)FTP使用（當(dāng)然這三個(gè)域名都可以訪(fǎng)問(wèn)FTP），mymail.imbbs.in用于訪(fǎng)問(wèn)winwebmail的郵件服務(wù)用。4、設(shè)置路由器中的IP和端口映射及防火墻允許通過(guò)。因FTP使用21端口，WEB使用80端口，而我們用的是winwebmail可以通過(guò)網(wǎng)頁(yè)來(lái)收發(fā)郵件，也是用的80端口，這里不考慮winwebmail客戶(hù)端使用非網(wǎng)頁(yè)方式。(比如設(shè)置SMTP使用的25端口和POP3使用的110端口。)在路由器中設(shè)置了“虛擬服務(wù)器”后，在它的防火墻中自動(dòng)的允許了虛擬服務(wù)器的IP及端口。 準(zhǔn)備工作完成。四、安裝ISA2006標(biāo)準(zhǔn)版。1、單擊“安裝ISA Server 2006”開(kāi)始安裝。2、一路點(diǎn)擊下一步，直到內(nèi)部網(wǎng)絡(luò)設(shè)置窗口，單擊“添加”按鈕。3、在彈出的對(duì)話(huà)框中1處單擊“添加適配器”，鉤選2處的“虛擬網(wǎng)卡”（就是我們添加的LoopBack網(wǎng)卡），它的IP范圍自動(dòng)在下邊詳細(xì)信息中顯示，單擊3處“確定”后再單擊地址窗口的“確定”。4、這是選擇的環(huán)回網(wǎng)卡的地址范圍，如下圖：5、單擊“下一步”，不要鉤選“允許不加密的防火墻客戶(hù)端連接”，再單擊“下一步”、“下一步”，直到出現(xiàn)“安裝”按鈕單擊，系統(tǒng)開(kāi)始安裝，等待一會(huì)安裝完成。五、ISA2006的設(shè)置。1.1、建立允許花生殼登陸規(guī)則。在“防火墻策略”右側(cè)的“工具箱”中，選新建協(xié)議，如下圖。1.2、輸入?yún)f(xié)議定義名稱(chēng)“允許花生殼登陸”，單擊“下一步”。1.3、在對(duì)話(huà)框中單擊“新建”按鈕，設(shè)置TCP，出站，6060到6060端口后，單擊確定。1.4、再次單擊“新建”按鈕，設(shè)置UDP，發(fā)送接收，6060到6060端口后，再單擊確定按鈕，再單擊“下一步”（花生殼客戶(hù)端和服務(wù)器端通信主要靠TCP和UDP協(xié)議的6060端口，但在獲取用戶(hù)域名列表時(shí)還要用到TCP的80端口）。1.5、是否使用輔助連接，選擇“否”，再單擊“下一步”然后再單擊“完成”按鈕，完成新建協(xié)議。1.6、在主界面上單擊“應(yīng)用”按鈕，應(yīng)用剛才建立的新協(xié)議。1.7、應(yīng)用后稍等一會(huì)再單擊“確定”按鈕。1.9、對(duì)“防火墻”右鍵單擊，選“新建訪(fǎng)問(wèn)規(guī)則”進(jìn)入規(guī)則創(chuàng)建向?qū)А?.10、在訪(fǎng)問(wèn)規(guī)則名稱(chēng)中輸入“允許花生殼通過(guò)”(當(dāng)然這個(gè)名字可隨便輸，只要能代表設(shè)置的意思就行了)，單擊“下一步”按鈕。1.11、規(guī)則操作選“允許”，再單擊“下一步”按鈕。1.12、選擇1處“所選的協(xié)議”，單擊2處的“添加”按鈕，在添加協(xié)議窗口中，對(duì)“用戶(hù)定義”左側(cè)的加號(hào)單擊展開(kāi)，選“允許花生殼登陸”，單擊4處的“添加”按鈕，然后單擊“關(guān)閉”，在協(xié)議窗口中再單擊“下一步”按鈕。1.13、在“訪(fǎng)問(wèn)規(guī)則源”單擊1處“添加”在“添加網(wǎng)絡(luò)實(shí)體”的“網(wǎng)絡(luò)”中選2處“本地主機(jī)”，單擊3處“添加”，再單擊4處“關(guān)閉”，最后單擊5處“下一步”按鈕。1.14、在訪(fǎng)問(wèn)規(guī)則目標(biāo)中單擊1處“添加”在“添加網(wǎng)絡(luò)實(shí)體”的“計(jì)算機(jī)集”中選2處“任何地點(diǎn)”，單擊3處“添加”，再單擊4處“關(guān)閉”，最后單擊5處“下一步”按鈕。1.15、用戶(hù)集，使用默認(rèn)“所有用戶(hù)”，單擊“下一步”按鈕，最后單擊“完成”按鈕完成訪(fǎng)問(wèn)規(guī)則的創(chuàng)建。1.16、在ISA的主界面中1處單擊“應(yīng)用”應(yīng)用新建的規(guī)則，然后再單擊2處“確定”按鈕。這時(shí)花生殼解析已經(jīng)生效，但讀取域名列表信息失敗，它還需要用到TCP的80端口，而我們的網(wǎng)頁(yè)也要用TCP的80端口，正好，在下面一次性創(chuàng)建允許規(guī)則。2.1、創(chuàng)建允許WEB頁(yè)瀏覽的HTTP協(xié)議。同建立上一個(gè)規(guī)則相同，先新建個(gè)訪(fǎng)問(wèn)規(guī)則，如下圖：2.2、取一個(gè)規(guī)則名“允許WEB頁(yè)瀏覽”。、取一個(gè)規(guī)則名“允許WEB頁(yè)瀏覽”。 2.3、規(guī)則操作選“允許”，”，再單擊“下一步”按鈕。2.4、允許所選的協(xié)議為HTTP，按12345順序設(shè)置，然后進(jìn)入下一步。2.5、訪(fǎng)問(wèn)規(guī)則源為“本地主機(jī)”，按12345順序設(shè)置，然后進(jìn)入下一步。2.6、在訪(fǎng)問(wèn)規(guī)則目標(biāo)中設(shè)為“任何地點(diǎn)”，按12345順序設(shè)置，然后進(jìn)入下一步。2.7、用戶(hù)集，使用默認(rèn)“所有用戶(hù)”，單擊“下一步”按鈕，最后單擊“完成”按鈕完成訪(fǎng)問(wèn)規(guī)則的創(chuàng)建。2.8、應(yīng)用并確定剛建立的規(guī)則。2.9、這時(shí)候花生殼可以正常登陸，并獲得域名列表信息。3、新建網(wǎng)站發(fā)布規(guī)則。3.1、對(duì)“防火墻策略”右鍵單擊，選“新建”中的“網(wǎng)站發(fā)布規(guī)則”。3.2、發(fā)布規(guī)則名稱(chēng)：Web站點(diǎn)發(fā)布，單擊“下一步”按鈕。3.3、操作規(guī)則：允許，單擊“下一步”按鈕。操作規(guī)則：允許，單擊“下一步”按鈕。3.4、發(fā)布類(lèi)型：發(fā)布單個(gè)網(wǎng)站或負(fù)載平衡器，單擊“下一步”按鈕。3.5、服務(wù)器連接安全：使用不安全的連接連接發(fā)布的WEB服務(wù)器或服務(wù)器場(chǎng)，單擊“下一步”按鈕。3.6、內(nèi)部站點(diǎn)名稱(chēng)為發(fā)布服務(wù)器的名稱(chēng)，我們這里是：PDC，下面鉤選“使用計(jì)算機(jī)名稱(chēng)或IP地址連接到發(fā)布的服務(wù)器”，IP地址輸入我們?cè)O(shè)置的LoopBack網(wǎng)卡的IP：50，然后單擊“下一步”按鈕。3.7、內(nèi)部發(fā)布詳細(xì)信息的路徑為：/*，表示發(fā)布根目錄下的所有內(nèi)容，然后單擊“下一步”按鈕。3.8、公共名稱(chēng)細(xì)節(jié)中的公用名稱(chēng)輸入：5151，這是在花生殼中申請(qǐng)的域名，這里設(shè)置后ISA只有偵聽(tīng)到這個(gè)域名才會(huì)允許指定的站點(diǎn)發(fā)布。3.9、選擇Web偵聽(tīng)器，這里沒(méi)有現(xiàn)成的，單擊“新建”來(lái)新建一個(gè)偵聽(tīng)器。3.10、新建偵聽(tīng)器，取個(gè)名子：偵聽(tīng)80，然后單擊“下一步”按鈕。3.11、客戶(hù)端連接安全設(shè)置選擇“不需要與客戶(hù)端建立SSL安全連接”，然后單擊“下一步”按鈕。3.12、Web偵聽(tīng)器IP地址設(shè)置，選擇傳入Web請(qǐng)求的地址為：外部，也就是連接到局域網(wǎng)的物理網(wǎng)卡。3.13、身份驗(yàn)證設(shè)置為：沒(méi)有身份驗(yàn)證，然后單擊“下一步”，再“下一步”，直到完成偵聽(tīng)器的建立完成。3.14、建好偵聽(tīng)器后，單擊“下一步”按鈕。3.15、身份驗(yàn)證委派設(shè)置為：無(wú)委派，客戶(hù)端無(wú)法直接進(jìn)行身份驗(yàn)證，然后單擊“下一步”按鈕。3.16、用戶(hù)集為：所有用戶(hù)，然后單擊“下一步”按鈕，再單擊下一個(gè)窗口中的“結(jié)束”按鈕，完成Web的發(fā)布規(guī)則的建立。3.17、建立好Web站點(diǎn)發(fā)布規(guī)則后，先不要應(yīng)用，這里還要設(shè)置橋接，把外網(wǎng)來(lái)自80口的請(qǐng)求轉(zhuǎn)發(fā)到LoopBack網(wǎng)卡的81口上，因?yàn)镮IS在81口上建了偵聽(tīng)，只有這樣才能打開(kāi)網(wǎng)站。3.18、對(duì)著“Web站點(diǎn)發(fā)布”右擊選“屬性”。3.19、找到屬性窗口中的“橋接”選項(xiàng)卡，在“將請(qǐng)求重定向到HTTP端口”填入：81，然后單擊“確定”按鈕。3.20、到ISA的主界面后單擊“應(yīng)用”按鈕應(yīng)用，然后再單擊“確定”完成應(yīng)用。3.21、WEB網(wǎng)站已經(jīng)發(fā)布成功，在其它電腦的IE中輸入5151,已經(jīng)能正常訪(fǎng)問(wèn)發(fā)布的網(wǎng)站。4、發(fā)布WinWebMail的郵件服務(wù)器。4.1、雖然是郵件服務(wù)器，但它使用的是HTTP來(lái)工作的，所以也只需要新建一個(gè)網(wǎng)站發(fā)布規(guī)則來(lái)發(fā)布這個(gè)WinWebMail就行了，而剛才我們已經(jīng)發(fā)布了一個(gè)網(wǎng)站，所以把這個(gè)“Web站點(diǎn)發(fā)布”復(fù)制一個(gè)，再修改一下就行了。說(shuō)干就干，先復(fù)制粘貼一個(gè)“Web站點(diǎn)發(fā)布”規(guī)則，如下圖：4.2、對(duì)復(fù)制的規(guī)則右擊選“屬性”。4.3、把“常規(guī)”選項(xiàng)卡中的名稱(chēng)改為：WinWebMail發(fā)布。4.4、單擊“公共名稱(chēng)”選項(xiàng)卡，選擇1處域名，單擊2處編輯，在3處填入為WinWebMail準(zhǔn)備的域名：mymail.imbbs.in，單擊4處“確定”。4.5、在“橋接”選項(xiàng)卡中把“將請(qǐng)求重定向到HTTP端口”填入：82，再單擊2處確定關(guān)閉屬性。4.6、在ISA的主界面，單擊1處“應(yīng)用”應(yīng)用此規(guī)則，然后再單擊“確定”完成應(yīng)用。4.7、WinWebMail發(fā)布完成，在其它電腦上測(cè)試一下，成功!如下圖：5、發(fā)布FTP服務(wù)器。5.1、在“防火墻策略”上右擊選“新建”中的“非Web服務(wù)器協(xié)議發(fā)布規(guī)則”，來(lái)建一個(gè)FTP服務(wù)發(fā)布規(guī)則。5.2、名稱(chēng)就叫：FTP發(fā)布，然后單擊“下一步”按鈕。5.3、服務(wù)器IP地址為L(zhǎng)oopBack網(wǎng)卡的IP：50，然后單擊“下一步”按鈕。5.4、在選擇協(xié)議中選擇“FTP服務(wù)器”，然后單擊“下一步”按鈕。5.5、在“偵聽(tīng)來(lái)自這些網(wǎng)絡(luò)的請(qǐng)求”選“外部”，然后單擊“下一步”按鈕，直到結(jié)束。5.6、完成FTP的發(fā)布規(guī)則后，在ISA的主界面，單擊“應(yīng)用”按鈕應(yīng)用，再單擊“確定”完成應(yīng)用。這時(shí)FTP服務(wù)器已經(jīng)發(fā)布成功，但即使你對(duì)FTP的用戶(hù)設(shè)置了所有權(quán)限，現(xiàn)在登陸FTP服務(wù)器也只能讀，因?yàn)镮SA默認(rèn)的FTP協(xié)議是只讀的，我們還要關(guān)閉對(duì)ISA的只讀。5.7、現(xiàn)在來(lái)關(guān)閉對(duì)FTP的只讀：對(duì)“FTP發(fā)布”右擊選“配置FTP”。5.8、去掉彈出的“配置FTP協(xié)議策略”窗口中“只讀”的鉤，再單擊“確定”完成設(shè)置，最后回到ISA的主界面單擊“應(yīng)用”按鈕應(yīng)用，再單擊“確定”完成設(shè)置。5.9、FTP服務(wù)發(fā)布成功，在其它能上網(wǎng)電腦的瀏覽器中輸入為FTP準(zhǔn)備的域名：FTP:/ffttp