|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體����,實現資源的全面共享和有機協作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息��。資源包括高性能計算機�����、存儲資源、數據... 網絡技術是從1990年代中期發展起來的新技術�����,它把互聯網上分散的資源融為有機整體����,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息��。資源包括高性能計算機、存儲資源、數據資源����、信息資源��、知識資源、專家資源、大型數據庫��、網絡�����、傳感器等�����。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。
1.ISA下FTP的解決辦法
有很多人對FTP的問題多多��,大家參考��、討論一下。
我的環境:
SERVER:ISA SP1��,IIS
CLIENT:Windows 2000 and XP, CuteFTP
主要討論ISA和FTP在同一臺機器上的處理辦法��。
FTP的特殊性:
大多數的TCP服務是使用單個的連接����,一般是客戶向服務器的一個周知端口發起連接����,然后使用這個連接進行通訊。但是�����,FTP協議卻有所不同��,它使用雙向的多個連接��,而且使用的端口很難預計。一般����,FTP連接包括:
一個控制連接(control connection)
這個連接用于傳遞客戶端的命令和服務器端對命令的響應����。它使用服務器的21端口����,生存期是整個FTP會話時間。
幾個數據連接(data connection)
這些連接用于傳輸文件和其它數據�����,例如:目錄列表等����。這種連接在需要數據傳輸時建立��,而一旦數據傳輸完畢就關閉��,每次使用的端口也不一定相同。而且��,數據連接既可能是客戶端發起的��,也可能是服務器端發起的�����。
在FTP協議中,控制連接使用周知端口21��,因此使用ISA的IP PACKET FILTER就可以這種連接進行很好的安全保護�����。相反��,數據傳輸連接的目的端口通常實現無法知道����,因此處理這樣的端口轉發非常困難��。FTP協議使用一個標準的端口21作為ftp-data端口�����,但是這個端口只用于連接的源地址是服務器端的情況����,在這個端口上根本就沒有監聽進程。FTP的數據連接和控制連接的方向一般是相反的�����,也就是說����,是服務器向客戶端發起一個用于數據傳輸的連接。連接的端口是由服務器端和客戶端協商確定的����。FTP協議的這個特征對ISA轉發以及防火墻和NAT的配置增加了很多困難�����。
除此之外,還有另外一種FTP模式,叫做被動模式(passive mod)�����。在這種模式下�����,數據連接是由客戶程序發起的����,和剛才討論過的模式(我們可以叫做主動模式)相反�����。是否采取被動模式取決于客戶程序,在ftp命令行中使用passive命令就可以關閉/打開被動模式。
前面我們講過,FTP協議的數據傳輸存在兩種模式:主動模式和被動模式。這兩種模式發起連接的方向截然相反�����,主動模式是從服務器端向客戶端發起�����;被動模式是客戶端向服務器端發起連接�����。
我們回到ISA的情況,如果采用被動模式��,由于IIS是完全隨機的選擇一個端口����,并告知客戶,然后客戶進行主動連接��,這就意味著在ISA上�����,你要讓所有的端口都允許動態入站連接才行����,這樣肯定不行��,因為太危險了��,等于打開了所有的端口連接�����。
如果采用主動模式(PORT Mode)��,IIS選擇好端口后��,主動與客戶進行連接,這時候不需要像PASV模式那樣打開所有的動態入站連接��,而且正好相反����,我們需要打開所有的動態出站連接即可,安全性增加很多��。而且由ISA的IP PACKET FILTER只對ISA本機起作用����,不會造成局域網內的客戶“放了羊”。
所以����,我個人這樣做的:
(1)由于IIS和ISA都在一臺機器上��,所以它倆都在偵聽21號端口(IIS默認情況下會偵聽所有地址的21端口),所以我們首先要讓IIS只偵聽內
網地址的PORT 21��,在DOS下�����,你可以通過NETSTAT -NA > abc.txt��,然后打開這個文件,你會看到0.0.0.0 21 LISTENING字樣����。
輸入如下命令:
net stop msftpsvc (停止FTP服務)
進入\Inetpub\adminscripts\目錄
cscript adsutil.vbs set msftpsvc/disablesocketpooling true (停止偵聽)
net start msftpsvc (啟動FTP服務)
(2)在IIS控制臺里面�����,ftp->Property->FTP Site->IP Address改為內網地址�����,F在��,FTP服務只偵聽內網IP的21號端口了。
(3)大家可能這時候有疑問,如果是IIS主動連接客戶端,那客戶端的防火墻是不是會阻止這個連接(PASV模式不存在這個問題)��。為了防止這種情況�����,我們可以強制IIS不能與客戶端的任意端口進行連接����,而只有客戶端連接IIS的端口進行數據傳輸��。這樣就可以解決PORT MODE與客戶端防火墻的沖突��。方法:修改注冊
表,HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msftpsvc\Parameters\,將EnablePortAttack的值由0改為1��,然后重新啟動FTP服務�����。
(4)在ISA里面��,使用SERVER PUBLISH的方法發布FTP服務,其中:IP address of internal server 填寫ISA的內部網卡的IP�����,IP address of external server 填寫ISA的外部網卡的IP����,Mapped server protocol 選擇 FTP Server。
(5)然后在IP Packet Filter建立一條新RULES,Protocol->TCP,Direction->Outbound,Local Port->Dymanic,Remote Port->All。
這是我的解決辦法�����,但是并不完美����,主要是:
(1)客戶不能使用PASV方法進行連接,原因上面已經講了。
(2)由于第五條����,所以ISA服務器隨著保證了對外部訪問的限制����,卻無法限制ISA本機對外部的訪問�����。
我也把我的方法做了一下實驗��,使用serv-u做的,有一點錯誤,不過終歸做了出來�����,下面總結一下:
PASV服務器放在ISA后面����,其實就是要解決兩個問題:
1。PASV的端口。我上面的方法提出使用secondary connection,但事實證明不對,應該每個PASV端口都建立一條primary connection��,然后分別建立server publishing rules����,有多少個PASV端口��,就要建立多少條����。
這里還可以引出另一個話題����,就是對web publishing rules的運用,tony你應該知道����,通過web publishing rules也可以發布ftp服務器����,但rule里面只給了一個ftp端口的選項�����,很明顯����,這是為PORT模式的FTP服務器準備的����,因為PORT模式的數據連接是由服務器發起的,在服務器一邊��,不存在穿過防火墻的問題��。
使用web publishing rules還有一個很令人振奮的特性,就是支持動態公用IP用戶��,不需要象server publishing rules那樣��,每撥一次號都要修改一次外部地址��。如果在web publishing rules中也能搞定PASV問題,那么對于那些使用撥號上網而又想在內網發布PASV服務器的人來說,簡直是天大的喜訊�����。
需要好好考慮的是如何通過那個只能填一個端口的選項來發布隨機的PASV端口?我從今天的實驗找到了一點靈感����,就是也象上面說的那樣��,每個PASV端口都設置一條web publishing rules!我還未做這個實驗��,還不能證實這樣做行不行����,相信晚上就會有結果了。
當然����,還需要考慮如何控制PASV模式端口的范圍��,serv-u可以設定,而IIS的FTP不行����。
2�����。是服務器向客戶端傳送IP的問題�����。當FTP客戶端登錄進入服務器的時候����,PASV模式服務器會向客戶端傳送本機的IP地址和數據端口��,當服務器放在內網中的時候����,服務器會向客戶端返回內網的IP����,這當然是不能完成連接的,需要讓服務器返回ISA的外網地址�����。本來��,解決方法可以使用firwall client的application settings中的nameresolutionforlocalhost參數��,設為P就可以讓應用程序返回ISA的外網地址,但這個參數是供firewall client使用的,而發布服務器不能安裝firewall client�����,這很可惜����。
幸好,還是有一個好消息,就是serv-u本身具有返回ISA外網地址這樣的功能,方法是先選中新建FTP服務器的屬性��,在domain標簽里選擇“enable dynamic dns”��,此時會出現第二個標簽,叫“dynamic dns”��,然后到tz0.com申請動態域名��,申請后會得到一個key�����,在此標簽中填入此key即可。最后一步��,是到新建服務器的settings屬性中�����,選擇advanced標簽��,選中“allow passive mode data transfer”����,旁邊的IP地址框留空��。這個框對于撥號用戶不用填����,只有出口使用固定地址才需要填����。
這樣,serv-u向客戶端返回IP和端口前,會先向tz0.com查詢到ISA外網的地址��,再發送給客戶端�����。
解決了這兩個問題,剩下的工作就簡單了��。
從以上內容也可以說明一點�����,從內網不能發布IIS的FTP服務器��,因為IIS既沒有選項可以選擇PASV端口的范圍,也沒有辦法讓其返回ISA外網的地址��。而serv-u這兩條都可以滿足��。當然�����,在微軟的網站上也可能有方法解決IIS的這兩個問題。
發布FTP服務器的時候��,要注意FTP服務器有PORT和PASV兩種模式����。兩者的共同點,是都使用21端口進行用戶驗證及管理����,差別在于傳送數據的方式不同�����,PORT模式的FTP服務器數據端口固定在20,而PASV模式則在1025-65535之間隨機��。發布的時候要考慮這個差別��。
如果FTP服務器在內部網絡中��,在建立server publish rules時(雖然web publish rules也能發布ftp服務器����,但它并沒有提供對port和pasv模式的處理),protocol definitions中的21 inbound條目要建立一個secondary connection�����,為20端口上的inbound或1025-65535端口之間的inbound��。
如果FTP服務器建立在ISA服務器上�����,就需要在ip packet filters中設置相關的條目,對于PORT模式��,很簡單�����,開放20 inbound就是��,但pasv模式就麻煩一點����,因為ip packet filters不能設置端口段����,但我們也不可能把幾萬個端口逐個寫一遍,只能把local port設置為dynamic�����,remote port設置為all ports����,當然�����,對安全性這是個損害�����。
幸運的是,有些PASV模式的FTP服務器能夠設置PASV模式端口的范圍,比如serv-u,它能夠把PASV模式端口控制在最多50個端口范圍內����,如果為serv-u設置的并發用戶數不多����,那么我們就可以為每個PASV端口寫一條filter��,不需要開放所有的端口了����。如果使用IIS的FTP服務器��,這個FTP服務器沒有提供選擇PASV模式端口的功能��,只能如上所述那樣,開放dynamic和all ports。
從你上面的出錯信息來看��,你應該是使用IE來訪問FTP服務器吧��。IE的FTP客戶端與其它專業FTP客戶端不同��,不能夠自動檢測FTP服務器的類型以及根據服務器的類型改變客戶端的種類。IE只提供了一個手工選項來改變PORT和PASV客戶端角色,就是internet選項->高級->為FTP站點啟用文件夾視圖��,選擇它�����,IE為PASV模式客戶端,不選則為PORT客戶端��。你需要根據服務器的類型手工更改這個選項��。如果服務器的出口是ADSL類的鏈路�����,還要把“使用被動FTP(為防火墻和DSL調制解調器兼容性)”一項選上,這兩個選項只在IE5��。5以上版本提供�����。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2.使用ISA Server 安全地發布多個Web 站點
這篇文章中的信息適用于:
Microsoft Windows 2000 SP2 Server
--------------------------------------------------------------------------------
概要
本分步指南介紹了 Internet Security and Acceleration (ISA) Server 2000 如何將多個 Web 站點發布到 Internet 上����。本指南使用兩臺服務器��,一個運行 Windows 2000 Server SP2 和 Microsoft Internet Information Services (IIS)����,另一個運行 Windows 2000 Server Service Pack 2 (SP2) 和 ISA Server。
對于要在 Internet 上查找 Web 站點的人們來說����,站點名稱必須與 ISA Server 計算機的外部網絡適配器的公用 IP 地址相關聯����。ISP 或網絡管理員可以幫助做到這一點��。DNS 通常會有一個用于將 www.您的域名.com 指向 ISA Server 計算機的外部適配器的條目。
1. 發布 Web 站點
若要將 http://www.example.com/site1 的請求路由到 SERVER1����,將 http://www.example.com/site2 的請求路由到 SERVER2����,必須先為每個內部服務器創建目標集合����。以后創建的 Web 發布規則會將這些 URL 鏈接到相應的內部服務器。
創建第一個目標集合
啟動 ISA Server 管理控制臺:單擊開始����,指向程序�����,指向 Microsoft ISA Server,然后單擊 ISA Management(ISA 管理)�����。
展開左窗格中的"Servers(服務器)"文件夾����,然后展開您的服務器文件夾。
右鍵單擊 Destination Sets(目標集合)�����,指向新建�����,然后單擊 Set(集合)。
命名該集合(例如 Site 1)��,然后單擊 Add(添加)����,將一個服務器添加到該集合中。
在 Destination(目標)框中,鍵入您通過 ISP 建立的站點名稱(在本例中為 www.example.com)����。
在 Path(路徑)框中�����,鍵入 /site1/*。星號非常重要。
在接下來的對話框中都單擊確定。
備注:重復這些步驟��,創建名為 Site 2(第 6 步)的目標集合�����,路徑為"/site2/*"(第 9 步)����。
創建 Web 發布規則
Web 發布規則將請求定向到正確的服務器��。請按照下列步驟創建第一個規則:
在左窗格中��,展開"Publishing(發布)"文件夾。
右鍵單擊 Web Publishing Rules(Web 發布規則)�����,指向新建,然后單擊 Rule(規則)��。
將規則命名為 Site 1��。
單擊 Specified destination set(指定的目標集合),然后單擊 Site 1。
單擊 Any request(任何請求)�����。
單擊 Redirect the request to this internal Web server (name or IP address)(將請求重定向到此內部 Web 服務器(名稱或 IP 地址))�����。
單擊 Browse(瀏覽)�����,單擊 SERVER1,然后單擊完成。
備注:重復這些步驟,創建名為 Site 2(第 3 步)的規則��,使用 Site 2 目標集合(第 4 步)����,重定向到 SERVER2(第 7 步)。
2. 缺陷
當人們連接到站點時,看不到您發布的服務器����。
人們連接到站點時��,可能會看到"正在建設中"頁,或者什么也看不到。這很可能是因為 IIS 正在 ISA Server 計算機上運行����。于是�����,對站點的請求被定向到 ISA Server 計算機上的 IIS��。您應該將 IIS 從該 ISA Server 計算機卸載��。ISA Server 計算機應該只運行 ISA Server,不應該運行其他服務����。
您正嘗試發布多個站點��,但是它們都不能正確工作。
請確保您的目標集合和發布規則的配置正確無誤����。目標集合應該將您的 ISA Server 計算機的外部名稱連同一個路徑指定為目標�����,該路徑與您想讓用戶在訪問相應內部服務器時在其瀏覽器中鍵入的路徑相匹配。Web 發布規則應該包括正確的目標集合����,并且應該引用正確的內部服務器��。返回去查看第 1 節中的示例,特別注意一下依存關系����。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
3.配置ISA使用PPPoE連接
SUMMARY
摘要
Some broadband (DSL, ADSL) Internet service providers (ISPs) require a special dial-up connection that uses Point-to-Point Protocol over Ethernet (PPPoE). This article describes how to configure Internet Security and Acceleration (ISA) Server to use this type of connection as the primary route to the internet. Please see your ISP's documentation for installation and configuration of the PPPoE software.
一些提供DSL和ADSL的寬帶的ISP需要一個特殊的用于在Ethernet使用點對點協議(PPPoE)的撥號連接����。這片文章描述了怎樣配置ISA來使用這種類型的連接����,參照ISP的文檔和安裝配置PPPoE的軟件。
MORE INFORMATION
In this type of configuration, the ISA Server-based computer is configured with two network adapters (one on the internal network and one connected to the broadband modem) and a dial-up network adapter (the PPPoE adapter).
在這個配置的例子里面����,基于ISA的服務器配置了兩塊網卡(一塊連接著內網,一塊連接著寬帶貓)并且有一個撥號網絡適配器(PPPoE 適配器)。
To properly configure ISA Server, add the dial-up entry, configure the Local Address Table (LAT), and then configure any routes to use the dial-up entry.
合理的配置ISA�����,添加撥號登陸,配置ISA中的LAT����,然后配置所有的路由使用撥號登陸�����。
Part I: To Add the Dial-Up Entry to ISA Server
第一部分:在ISA上添加撥號登陸
Some PPPoE software (such as WinPoet) are represented by a dial up entry. To configure ISA to use this entry for internet access:
一些PPPoE軟件(比如Winpoet)是支持撥號登陸的,使用這個互聯網訪問登陸來配置ISA����。
1. In the ISA Management interface, expand Policy Elements.
在 ISA管理界面�����,展開Policy Elements。
2. Right-click Dial-up Entries, click New, and then click Dial-up Entry.
右鍵點擊Dial-up Entries��,點擊New��,再點擊Dial-up Entry��。
3. Type a name and description, click the PPPoE dial-up entry by clicking Select, and then specify the appropriate account information (user name and password for the PPPoE connection) by clicking Set Account.
輸入描述的名字,點擊PPPoE dial-up entry的Select,再點擊Set Account指定適當的賬號信息(使用PPPoE連接的用戶名和密碼)��。
4. Click OK.
點擊OK
Part II: To Construct the LAT
第二部分:創建LAT
When you construct the LAT, include only the network adapter that represents the internal local area network (LAN). The inclusion of the network adapter that is connected to the DSL modem does not prevent network access, but it does pose a security risk on the internal network.
當你創建LAT的時候��,只包括內網范圍的網卡��,提供DSL貓連接的網卡不提供網絡訪問,但是他可能會導致內部網絡的安全隱患�����。
Part III: To Configure Routing and Firewall/SecureNAT
第三部分:配置路由和防火墻/SecureNAT
The final step is to ensure that both Web and Firewall/Secure NAT clients are routed through the PPPoE connection.
最后的步驟是確認Web和Firewall/Secure NAT的客戶端的路由經過PPPoE連接����。
1. Right-click Network Configuration, click Properties.
右鍵點擊Network Configuration�����,點擊Properties.
2. Click to select Use Dial-up Entry check box.
點擊選擇Use Dial-up Entry 選框
3. Click OK.
點擊OK
4. Expand Network Configuration.
展開Network Configuration.
5. Click Routing.
點擊Routing
6. Right-click, and then click Properties of any routes that you have configured that require access through the PPPoE adapter.
右鍵��,點擊Properties,選擇any routes that you have configured that require access through the PPPoE adapter.
7. On the Action tab, click to select the Use dial-up entry for primary route check box.
點擊Action�����,點擊選擇Use dial-up entry for primary route選框
8. Click OK.
點擊OK
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
4.關于isa和icq2000的一點兼容性問題及解決方法
SUMMARY
This article discusses how to enable outgoing ICQ 2000b beta version traffic to pass through Microsoft Internet Security and Acceleration (ISA) Server.
簡介:本文討論如何讓ICQ 2000b beta版的通信通過ISA服務器
MORE INFORMATION
You may be unable to have outbound network traffic pass through ISA Server when you use ICQ 2000b beta version for client-to-server connectivity, even if you have the ICQ protocol definition enabled for outbound access. Earlier versions of ICQ do not experience this problem.
更多的信息
當你使用ICQ 2000b beta版 作客戶端-服務器的連接時,即使你在 "outbound access" 中打開了ICQ協議定義(protocol definition ), 你也可能無法讓網絡通信通過ISA服務器. 早期版本的ICQ沒有此問題.
ICQ 2000b beta version uses Transmission Control Protocol (TCP) port 5190, which is the same port used in the protocol definition for AOL Instant Messenger.
ICQ 2000b beta版使用TCP 5190端口, 在協議定義(protocol definition )中此端口由AOL Instant Messenger使用.
If you add AOL Instant Messenger to the list of permitted protocols, you may be able to use ICQ 2000b beta version to connect to ISA Server.
如果你在許可協議列表中添加了AOL Instant Messenger,你將可以使用ICQ 2000b beta版連接至ISA服務器
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
5.ISA發布PCANYWHERE
1. 先在protocol definitions定義一下4條protocol
· PC-Anywhere-1 : 5631 - TCP - Inbound
· PC-Anywhere-2 : 5631 - UDP - Receive-Send
· PC-Anywhere-3 : 5632 - TCP- Inbound
· PC-Anywhere-4 : 5632 - UDP - Receive-Send
(記得在protocol rules ---定義的rule---protocol中應用這4條protocols��。 已設定為all ip traffic的不用設定�����。)
2 在publishing中設置4條rules,分別對應剛才設定的4條protocol
(external ip 設定為isa 的外部ip,internal ip為 pcanywhere主機ip )
3 ok!就這么簡單 (在isa/pcanywhere9.x測試通過)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
6.exchange 2000 放在isa server后面該如何設置
1. 先安裝好Exchange2K Server
2. 安裝ISA Server,安裝時要選擇全部安裝(因為需要用到其中的
Message Screener)
3. 打開Exchange System Manager---Server---你的Server--
Protocols---SMTP
右擊Default SMTP Virtual Server,選擇Properties.
選擇General標簽下的IP address---Advanced
在List中只保留內部的IP地址�����,其它的都要 Remove
4.打開Internet Security and Acceleration Server---Servers and Arrays---你的Server---Extensions---Application Filters.
右擊SMTP Filter��,選擇Properties.
在General標簽下, 確定已選中 Enable this filter��。
6.做server-publishing rule,(記住這里不能使用Mail Server Security Wizard來做)
打開Server Publishing Rules--New---Rule
給這條rule起一個名,如'Exch Publishing',在Address Mapping設定中,IP address of internal server填上服務器的內部IP Address
External IP address on ISA Server填上服務器的外部IP Address
Protocol Settings中選擇SMTP Server
Client Type中選擇 Any Request
7.完成設置 (完成后最好重新啟動一下服務器)
網絡的神奇作用吸引著越來越多的用戶加入其中����,正因如此����,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上��、軟件上、所用標準上......����,各項技術都需要適時應勢�����,對應發展�����,這正是網絡迅速走向進步的催化劑。
|
