在本机部署Web站点.docx
- 文档编号:2206360
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:13
- 大小:501.08KB
在本机部署Web站点.docx
《在本机部署Web站点.docx》由会员分享,可在线阅读,更多相关《在本机部署Web站点.docx(13页珍藏版)》请在冰点文库上搜索。
在本机部署Web站点
很多朋友的ISA防火墙也同时是Web服务器,对内部网络或外部网络提供Web服务,你可以通过配置访问规则或者Web发布规则来让别人访问你的Web站点。
使用访问规则来允许别人访问非常简单,你只需要允许内部或外部网络访问本地主机上的HTTP/HTTPS服务即可。
但是,我强烈建议你使用Web发布规则来允许,因为ISA防火墙对于HTTP协议的许多应用层的过滤特性,只有在Web发布规则中才能使用。
对于常见的边缘防火墙模型,ISA具有两个网络接口,分别连接内部和外部网络。
但是在建立Web发布时,侦听器需要侦听对应的端口,所以你不能将Web站点绑定在发布出去的网络接口上。
你可以将你的Web站点绑定在内部网络接口的IP地址上,然后在外部网络接口的IP上发布此Web站点,这样即可让外部网络的用户访问此Web站点。
注意:
当然,你可以将IIS绑定在另外的端口,如TCP81上,然后ISA防火墙使用标准的TCP80端口来发布服务,就不存在端口重复占用的问题,也避开了下面讨论的SocketPooling问题。
谈到这儿就不得不说说IIS的Socketpooling问题(关于这个问题,我已经在如何禁止SocketPooling一文中进行了介绍,建议你先看看这篇文章)。
Socketpooling(套接字池)限定了IIS可以用于绑定Web站点的IP地址,默认是本机上的所有IP地址。
但是当你在IIS管理器中配置Web站点绑定的IP地址时,无论你选择哪个IP地址,都是绑定在套接字池中的所有IP地址上。
在这种时候,就算你在IIS限制Web站点只绑定在内部的IP地址上,它也会占用外部IP地址的对应接口,此时ISA防火墙就不能再侦听外部IP地址的此端口做Web发布,导致ISA出现资源分配失败的警告。
所以,我们必须限制IIS使用的套接字池,限制它只能使用内部网络接口的IP地址。
其他的Web服务器(如Apache等)没有这个问题,直接修改绑定的IP地址即可。
下图是我们的网络拓朴结构,
ISA防火墙操作系统为WindowsServer2003企业版,ISA防火墙软件版本为ISAServer2004企业版英文版beta,不过操作和标准版基本一致。
ISA防火墙作为边缘防火墙/Web服务器,连接内部和外部网络,同时对内部和外部网络提供Web服务。
ISA防火墙上已经配置了允许本地主机访问所有网络的所有服务的策略。
各计算机的TCP/IP设置如下,此次试验不设计DNS,各计算机的DNS服务器IP地址均设置为空:
ISA防火墙:
ExternalInterface:
IP:
61.139.0.1/24
DG:
61.139.0.1
InternalInterface:
IP:
192.168.0.1/24
DG:
None
Client1
IP:
192.168.0.10/24
DG:
192.168.0.1
ExternalClient:
IP:
61.139.0.10/24
None
本文将按照以下步骤进行:
在Web服务器上禁止SocketPooling;
建立Web发布规则,发布绑定在内部IP地址上的Web站点;
建立访问规则,允许内部访问本地主机和外部的HTTP/HTTPS;
测试;
1、在Web服务器上禁止SocketPooling
我们首先在IIS的Web站点属性中,先绑定Web站点在内部接口的IP地址上,如下图
在Cmd下运行netstat-an,很明显,IIS还是绑定在全部的IP地址上:
现在我们需要禁止SocketPooling,详细的操作步骤说明参见如何禁止SocketPooling一文。
首先,我们需要安装Httpcfg.exe。
在WindowsServer2003安装光盘的%cdrom_root%\support\tools\目录下,双击SUPTOOLS.MSI,
跟随提示完成安装。
然后点击开始->所有程序->WindowsSupportTools->CommandPrompt,
运行Httpcfgsetiplisten-i192.168.0.1进行绑定,然后运行httpcfgqueryiplisten进行查询,最后重启计算机。
计算机重启后以管理员身份登录,再运行netstat-an,可以看到IIS的Web站点已经只是绑定在内部接口的IP地址上了。
2、建立Web发布规则,发布绑定在内部IP地址上的Web站点
现在我们可以建立建立Web发布规则,发布绑定在内部IP地址上的Web站点。
打开ISA防火墙管理控制台,展开阵列FLORENCE,然后右击防火墙策略(FLORENCE),选择新建->Web服务器发布规则;
在欢迎使用新建Web服务器规则向导页,输入规则名字,在此我命名为Publish192.168.0.1,点击下一步;
在规则动作页,接受默认的允许,点击下一步;
在定义发布的Web站点页,输入内部接口的IP地址192.168.0.1,如果此站点上具有多个Web站点并且你想使用所有域名发布,则勾选转发原始主机名头,点击下一步;
在公共名称细节页,选择所有域名,点击下一步;
在选择Web侦听器页,点击新建,
在欢迎使用新建Web侦听器向导页,输入名称为ListenExternal80,点击下一步;
在IP地址页,勾选外部,点击下一步;
注意:
为什么不勾选内部?
相信有人会有这个疑问。
很简单,内部IP地址已经被IIS的Web站点所占用,所以我们为什么还需要额外的一条访问规则,以允许内部访问本地主机和外部的HTTP/HTTPS协议。
在端口指定页,接受默认的80,点击下一步;
在正在完成新建Web侦听器向导页,点击完成。
然后在选择侦听器页,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
然后在正在完成新建Web发布规则向导页,点击完成。
3、建立访问规则,允许内部访问本地主机和外部的HTTP/HTTPS
右击防火墙策略(FLORENCE),选择新建->访问规则;
在欢迎使用新建访问向导页,输入规则名字,在此我命名为AllowInternaltoLocalhost,点击下一步;
在规则动作页,选择允许,点击下一步;
在协议页,选择选择的协议,加入HTTP、HTTPS,点击下一步;
在访问规则源页,添加内部,点击下一步;
在访问规则目的页,添加本地主机和外部,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
然后在正在完成新建访问规则向导页,点击完成。
最后点击应用以保存修改和更新防火墙策略。
此时的防火墙策略如下图所示:
4、测试
现在我们先在ISA防火墙上允许netstat-an,你可以看到ISA侦听了外部的TCP80端口,
我们先在内部网络中的Client1上访问ISA防火墙内部和外部IP地址的Web站点,都是可以访问的:
然后在外部的ExternalClient上访问ISA防火墙的外部IP地址,也是可以访问发布的Web站点的:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 部署 Web 站点