serv-u怎样通过isa2000发布出去

jj_zhangliguo

各位大虾：<br>有谁知道怎样通过MS的ISA2000发布SERV-U FTP，大致情况是这样的：我公司的邮件服务器和其他的都是装在内网上的，出去通过一台ISA2000服务器发布出去，现在我安装了一台FTP服务器（用Serv-U做在内网上）现在想把它通过ISA发布怎么弄啊，谢谢

７９００５９

6-3　<br>
对ISA Server来说，不论是哪一种服务器（例：WEB、FTP、MAIL、SQL..），本质上都是SecureNAT Client，所以发布（Publish）类似反向缓存，将内部网络的服务器，在ISA Server上伪装一份，或者让Request Traffic直接穿过防火墙，除了提升性能外，让外部（Internet）的用户以为连结到服务器，而实际上只接触到ISA Server，如此也能保障服务器的安全，本章将提供三种一般常用的服务器Publish的步骤。<br>
6-3-1　网站发布设置<br>
在开始说明网站发布（Web Publishing）之前，我们必须先了解整个铺设的网络架构，如图6-25是一个案例架构，我们以此为例做Publishing的说明。<br>
<br>
图6-25　WEB Publishing网络架构<br>
设置网站发布必须先把准备动作做好，准备动作共有五个，依序如下说明：<br>
准备1：网站Domain Name（正式申请的，例：www.xxxxx.com.tw）的DNS Server的IP位置，指向ISA Server的外部网卡（203.203.203.1）。<br>
准备2：网站（100.100.100.5）本机上的TCP Port（如图6-26），预设是80，请变更为1025~65535中任选一个，本例设为3333 Port。<br>
<br>
图6-26　WEB Site Port<br>
准备3：先在Policy Element里的Destination Sets增加一个此Web Site的Destination Sets，并且输入路径，如果是网站根目录的话，只需输入「/*」即可，如果此Web Site是虚拟目录，只需输入「/目录/*」即可，相关操作可参考第4-3节：Destination Sets的新建步骤。<br>
准备4：先在Policy Element里的Client Address Sets增加一个此Web Site的「用户集合」，如果Internet用户都可以使用此Web Site，可以不必设置此「Client Address Sets」，否则请参考第4-4节：Client Address Sets新建操作步骤。<br>
准备5：ISA Server本身的对外「监听」位置必须设置好，如图6-27按下ISA Server本身的属性设置窗口。ISA Server的属性设置窗口（如图6-28），有两个选项卡「Incoming Web Requests」及「Outgoing Web Requests」，分别说明如下：<br>
<br>
图6-27　ISA Server对外监听位置<br>
●「Incoming Web Requests」指的是外部网络（Internet）向内部网络访问网站的请求。<br>
●「Outgoing Web Requests」指的是内部网络用户向外部网络（Internet）访问网站的请求。<br>
「网站发布」的主要对象是外部网络（Internet）的用户，所以只需要设置「Incoming Web Requests」的监听动作。<br>
选择「Configure listeners individually per IP address」因为只需要一个对外独立的IP监听位置，TCP Port预设是80，一般不需要更改，因为Internet上的网站预设都是80 Port，如果需要SSL连接，可以勾选「Enable SSL listeners」，最后按下「ADD」按键，新建一个IP监听位置。<br>
<br>
图6-28　ISA Server的属性设置窗口<br>
当按下「ADD」按键，新建一个IP监听位置，会出现图6-29的画面，选择「Server」菜单后，「IP Address」会自动出现菜单（如果对外有两个IP以上），此处监听IP是选203.203.203.1，并且将「Basic with this domain」及「Integrated」认证，勾选起来。<br>
当按下「OK」钮，再按下「确定」后，会出现图6-30画面，有两个选项，说明如下：<br>
●「Save the changes But don't restart the service」：储存你的设置，但是不重新启动service，意思是你的设置不会立即生效。在此，service是指「控制台」里「服务」的ISA相关项目，可参考第9-2节：ISA Server服务的依存关系。要启动service，重新开机也可以。<br>
●「Save the changes and restart the service」：储存你的设置，并且重新启动service，意思是你的设置会立即生效。<br>
<br>
图6-29　新建一个IP监听位置<br>
<br>
图6-30　重新启动服务<br>
以上五个准备动作完毕，前后应该花不到你五分钟时间吧！现在至「Publishing」下的「Web Publishing Rules」，选择右边窗口的「Create Web Publishing Rules」（如图6-31）新建一个「网站发布」项目，共有五个向导步骤，说明如下：<br>
<br>
图6-31　Create Web Publishing Rules<br>
步骤1：要求输入「网站发布」的名称，你可以任意输入一个名称，本案例输入「myweb1」，然后按「下一步」钮。<br>
<br>
图6-32　网站发布步骤1<br>
步骤2：这里的Destinations Sets是选择网站服务器，下拉窗口中共有五个选择，说明如下：<br>
●All Destinations：所有内部网络及外部网络的网站服务器。<br>
●All Internal Destinations：所有的内部网络的任何网站服务器。<br>
●All External Destinations：所有的外部网络的任何网站服务器。<br>
●Select Destination Sets：选择一个事先已经定义好的网站服务器设置，也就是在Policy Element里的「Destination Sets」项目，如果选择此项，会自动显示服务器Detail数据的画面。<br>
●All Destinations Except Select Set：所有内部网络及外部网络的网站服务器都可以，除了已被选择事先已经定义好的网站服务器以外，如果选择此项，将会自动显示服务器数据的画面。<br>
然后按「下一步」钮。<br>
<br>
图6-33　网站发布步骤2<br>
步骤3：这里可以指定能访问此网站的Client端计算机或用户组，共有三个选项，说明如下：<br>
●Any Request：如果你要Publishing的网站，是允许Internet的任何用户访问的公众网站，选取此项即可。<br>
●Specific Computers：选择一个或多个事先在Policy Element里定义的「Client Address Sets」项目。<br>
●Specific Users And Groups：选择一个W2K的AD里的用户，或是事先已经定义好的用户组。<br>
然后按「下一步」钮。<br>
<br>
图6-34　网站发布步骤3<br>
步骤4：这是网站发布最重要的一个步骤，如果选取「Discard the request」，即是明确指出此网站拒绝访问。<br>
一般要Publishing，当然是要选择「Redirect the request to this internal web server」，接着输入网站的IP位置，本例是输入100.100.100.5，或者按「Browse」钮，选取网站服务器亦可，还有一项是「Connect to this port when bridging request as HTTP」，前面的准备工作已将网站的TCP Port设置为3333，所以这里必须设置为3333；如果SSL或FTP要更改Port的话，同样是在准备工作时先行设置完成，然后按「下一步」钮。<br>
<br>
图6-35　网站发布步骤4<br>
步骤5：最后按下「完成」钮。<br>
可将图6-36的滚动条部分，用鼠标圈选起来，贴至备份纪录上；也可做成报表，以利呈报或交接文件使用。<br>
<br>
图6-36　网站发布步骤5<br>
如果依照前面的准备工作并正确执行了Web Publishing，外部网络（Internet）的用户仍然不能看到网站，请检查ISA Server的Routing Rules以及IP Packet Filter是否都允许通过。<br>
网站发布在执行上是有顺序的，预设只有一笔「Last」项目，而且不能删除及修改，「Last」项目是预设所有的Web Publishing全部关闭，所以当你加入一个新的网站发布项目后，Order字段排序会为1，执行顺序大于「Last」项目，当新建二笔「网站发布」项目后（如图6-37），执行顺序以此类推排序；如果要调整执行顺序，可以直接使用鼠标右键，在弹出窗口中选择「UP」或「DOWN」即可，如果弹出窗口没有「UP」或「DOWN」，也可以按下「执行」下拉菜单（如图6-37左上角圈圈），一样会有「UP」或「DOWN」可以调整执行顺序。<br>
<br>
图6-37　调整网站发布的执行顺序<br>
6-3-2　邮件服务器发布设置（Mail Server Publishing）<br>
邮件服务器（Mail Server）几乎是每家公司必备的服务器之一，当架设网络防火墙之后，往往Mail Server都不能使用，很多公司会把它放到防火墙外面，以保持运行，却因而失去了保护的作用，最后发现很多的问题都是由邮件产生。ISA server提供了一个Mail Server的向导，只要五分钟，保证Mail Server畅通无阻，还可以过滤垃圾邮件、检查附带文件、信件关键词检查等功能，就连骇客攻击（Buffer Overrun）也能防范，如果还觉得不满意，在第11章：防毒墙与防火墙中将会说明能过滤邮件病毒及骇客木马等。<br>
在进行邮件服务器发布设置之前，我们必须先了解整个铺设的网络架构，如图6-38是一个案例架构，我们以此为例做Publishing的说明。<br>
<br>
图6-38　Mail Serve Publishing网络架构<br>
设置邮件服务器发布必须先把准备动作做好，准备动作只有三个，依序如下说明：<br>
准备1：如果内部的邮件服务器使用Microsoft Exchange Server，先请安装好，并在内部网络先自我测试（传送、接收）正常，包含：<br>
●Mail Serve网域：必须是注册的合法网域，可以与ISA Server同网域，也可以自己独立一个网域。<br>
●该有的用户帐号建立，以及是否要认证或使用SSL编码传送邮件等决策，都请事先做好决定。<br>
准备2：邮件服务器本机必须启动DNS Server，应是内部的DNS Server，而不是Internet的DNS Server，因为相同的Mail Server网域，内、外DNS Server设置的IP会不同，Internet的DNS Server是ISA Server上的DNS Server。<br>
准备3：邮件服务器本机的预设网关（Gateway）指向ISA Server的「内」网卡，此案例是100.100.100.1，惯用的DNS Server可以设置任何一个外界的DNS Server（或ISA Server上的DNS Server，此案例是203.203.203.1）。<br>
以上三个准备动作都集中在邮件服务器上，现在回到ISA Server，启动向导，至「Publishing」，选择右边窗口的「Secure Mail Server」向导（如图6-39），整个向导操作共有五个步骤，说明如下：<br>
<br>
图6-39　Secure Mail Server向导<br>
步骤1：启动向导后，出现欢迎画面，直接按「下一步」钮即可。<br>
<br>
图6-40　Secure Mail Server向导步骤1<br>
步骤2：这是重要的一步，左边有一个打勾选项「Apply content filtering」，如图6-41画圈圈处，指的是「Application Filters」的「SMTP Filter」，预设是关闭的，如果要有众多的邮件过滤与检查功能，就把它勾起来吧！稍后会对于「SMTP Filter」设置有详细介绍，先说明左边几个Protocol：<br>
●SMTP：SMTP是传送邮件用的Protocol，对ISA Server来说，有Incoming及Outgoing两种方向之分，因为不论是从内部发信出去或外部发信进来，都是使用SMTP的Protocol，如果有勾选Outgoing，向导会自动新建一个Protocol Rule给邮件服务器单独使用，一般正常的邮件服务器用途，都会把Incoming及Outgoing两种都勾选起来。<br>
●POP3及IMAP4：POP3及IMAP4都是接收邮件用的Protocol，一般使用POP3就可以了，IMAP4有许多功能，例如：共享数据夹访问等，如果勾选POP3及IMAP4，会多两个Server Publishing项目。<br>
●NNTP及RPC：NNTP是新闻组用的Protocol，如果勾选「Incoming Microsoft Exchange/Outlook」，会多一个RPC的Server Publishing项目。<br>
如果要使用SSL编码传送邮件，可以勾选右边的SSL项目，否则勾选左边即可，然后按「下一步」钮。<br>
<br>
图6-41　Secure Mail Server向导步骤2<br>
步骤3：此步骤只需输入ISA Server「外」网卡的IP位置即可，也就是邮件服务器合法网域指定的IP，此案例是203.203.203.1。<br>
<br>
图6-42　Secure Mail Server向导步骤3<br>
步骤4：此步骤只需输入内部网络邮件服务器的IP位置即可，如果你的邮件服务器不在内部网络或DMZ区，而是在ISA Server本机上（ISA Server与Exchange Server安装在同一台服务器上），就请选择下方的「On the local host」选项。<br>
<br>
图6-43　Secure Mail Server向导步骤4<br>
步骤5：按下「完成」钮。<br>
可将图6-44的滚动条部分，用鼠标圈选起来，贴至备份纪录上；亦可做成报表，以利呈报或交接文件使用。<br>
图6-44下方（画圈圈处）有一个勾选项「Restart firewall service now」，因为Publishing向导会自动为ISA Server增加许多安全项目，所以必须重新启动「firewall服务」，才能生效，勾选后向导会自动为你重新启动。<br>
<br>
图6-44　Secure Mail Server向导步骤5<br>
现在，你应该可以从内部、外部两个网段去测试邮件服务器的收、发信件是否正常；如果想修改「Secure Mail Server向导」的设置值，最起码应该知道向导在ISA Server上新建了哪些设置，说明如下：<br>
新设置一：Protocol Rule<br>
Secure Mail Server向导新建了一个名称为「Mail wizard rule-SMTP」的Protocol Rule，此Protocol Rule只提供一个用途，就是内部网络用户可以发信出去，因为指定使用TCP的25 Port，方向为Outbound，Client Set只准许邮件服务器（100.100.100.6）使用。<br>
当邮件服务器发布到ISA Server时，以ISA Server来说，只有一种状况需要「Outgoing」，就是「用户发信出去时」，所有的「Incoming」都由「Server publishing rules」负责接收处理，也就是稍后将说明的新设置四：Protocol Rule。<br>
<br>
图6-45　向导新建的Protocol Rule<br>
新设置二：Policy Elements<br>
Secure Mail Server向导在Policy Elements新建了一个Client Address Sets，叫做「Mail Wizard set」，里面只有指定一个Client，就是邮件服务器（100.100.100.6），新设置一已经使用了。<br>
Policy Elements里Protocol Definitions也新建了很多Protocol，大致有以下五种：<br>
●MAPI（Messaging Application Programming Interface）<br>
●POP3（Post Office Protocol 3）<br>
●IMAP4（Internet Messaging Access Protocol 4）<br>
●NNTP（Network News Transfer Protocol）<br>
●Secure NNTP<br>
<br>
图6-46　向导新建的Policy Elements<br>
新设置三：Protocol Rule<br>
Application Filters里的SMTP Filters预设是关闭的（Not Enable），图6-41选项「Apply content filtering」如果勾选的话，会Enable此SMTP Filter。<br>
<br>
图6-47　向导启动的SMTP Filter<br>
新设置四：Protocol Rule<br>
图6-41的打勾选项「Default Authentication」，每一个勾选对应产生一个「Server Publish Rules」，本例共产生五个「Server Publish Rules」，分别为RPC、IMAP4、NNTP、SMTP、POP，全部是TCP Inbound，Port各有不同，不限Client端。<br>
<br>
图6-48 向导新建的Server Publish Rules<br>
之前「Secure Mail Server向导」是当Exchange Server本机在内部网络（DMZ）时的执行前、后情况，如果Exchange Server在ISA Server本机上时（ISA Server与Exchange Server安装在同一台服务器上），选择图6-43下方的「On the local host」选项，「Secure Mail Server向导」会在「IP Packet Filter」里新建四个项目，如下：<br>
●SMTP Filter：「TCP」、「Local Port 25」、「Inbound」、「Remote Port Any」。<br>
●SMTP Filter：「TCP」、「Local Port Any」、「outbound」、「Remote Port 25」。<br>
●POP Filter：「TCP」、「Local Port 110」、「Inbound」、「Remote Port Any」。<br>
●POP Filter：「TCP」、「Local Port Any」、「outbound」、「Remote Port 110」。<br>
最后介绍重要的邮件过滤器，它可以过滤垃圾邮件、检查附带文件、信件关键词检查等功能，也能防范骇客攻击（Buffer Overrun）。选择Extension下的Application Filter，右边窗口的九大过滤器之一「SMTP Filter」，开启后共有五个设置选项卡，说明如下：<br>
General选项卡<br>
「SMTP Filter」的General选项卡里有四个信息：<br>
●提供厂商是Microsoft。<br>
●版本3.0。<br>
●说明文字：邮件过滤器。<br>
●Enable The Filter如果取消勾选，就可以关闭此过滤器。<br>
<br>
图6-49　SMTP Filter的General选项卡<br>
Attachments选项卡<br>
「SMTP Filter」的Attachments选项卡，主要是针对邮件附带文件的过滤与检查功能，本案例笔者新建了三个项目以供参考，右下角有「上」、「下」箭头按键，可以调整过滤顺序，按下「Add」钮，会出现如图6-51的画面，可设置详细的过滤内容，说明如下：<br>
<br>
图6-50　SMTP Filter的Attachment选项卡<br>
●「Enable attachment rule」开启附带文件的过滤与检查功能。<br>
●对于「附带文件」可以过滤如下三种Type：<br>
．Attachment name：过滤「附带文件」的名称。<br>
．Attachment Extension：过滤「附带文件」的扩展名，一般病毒都是由「附带文件」带进来的，而且都是.exe执行文件，可以由此一律过滤，以免不知情的用户再度犯错。<br>
．Attachment Size Limit：输入以Byte为单位的数字，表示大于此数字的「附带文件」一律过滤。<br>
●过滤「附带文件」的处理方式，可以直接删除（Delete Message）、或保留（Hold Message）、或继续传送（Forward Message to），一般都是直接删除（Delete Message）。<br>
<br>
图6-51　SMTP Filter的Attachment选项卡内页<br>
Users/Domains选项卡<br>
「SMTP Filter」的Users/Domains选项卡，主要是针对发件者或信件来源的网域（Domain），可以由此过滤清除掉，譬如：垃圾邮件等，说明如下：<br>
●Senders：对于要拒绝的「发信者」，先输入于「Sender's name」方格中，再按「Add」钮加入右边的拒绝清单中。<br>
●Domains：对于要拒绝的「信件来源」的网域（Domain），先输入于「Domain's name」方格中，再按「Add」钮加入右边的拒绝清单中。<br>
<br>
图6-52　SMTP Filter的Users/Domains选项卡<br>
Keywords选项卡<br>
「SMTP Filter」的Keywords选项卡，主要是针对邮件内容的过滤与检查功能，在本例，笔者新建了一个项目以供参考（I love you病毒），右下角有「上」、「下」箭头按键，可以调整过滤顺序，按下「Add」钮，会出现图6-54画面，可设置详细的过滤内容，说明如下：<br>
<br>
图6-53　SMTP Filter的Keywords选项卡<br>
●「Enable Keywords Rule」开启「关键词」的过滤检查功能。<br>
●对于「关键词」可以由三种位置过滤，如下：<br>
．Message header or body：过滤信件的标头主旨以及信件内容。<br>
．Message header ：过滤信件的标头主旨。<br>
．Message body：过滤信件的内容。<br>
●过滤「关键词」的处理方式，可以直接删除（Delete Message）、或保留（Hold Message）、或继续传送（Forward Message to），一般都是直接删除（Delete Message）。<br>
<br>
图6-54　SMTP Filter的Keywords选项卡内页<br>
SMTP Commands选项卡<br>
「SMTP Filter」的SMTP Commands选项卡，主要是针对邮件「Buffer Overrun」的攻击作防范设置，可以直接选择「EDIT」钮，修改任何一个Commands的Maximum Length，或者新建Commands，或删除Commands。<br>
<br>
图6-55　SMTP Filter的SMTP Commands选项卡<br>
当安装ISA Server时，如果没有勾选「Message Screener」的话，此邮件过滤器（SMTP Filter），会不能使用「附带文件」的过滤及「关键词」的过滤两种功能。<br>
如果要新建、删除ISA Server部分功能，可以至W2K系统的「控制台」→「新建、删除程序」执行。<br>

jj_zhangliguo

老大，你的图例我怎么看不见啊

７９００５９

用isa server 同上的方法发布出去就可以了,记得装好花生壳的客户端.