發佈安全的Web站點

發佈安全的Web站點

安全Web站點在很多領域上由於它的高安全性而受到廣泛應用，由於安全Web站點對HTTP數據進行了加密，ISA需要對數據內容進行分析；而ISA2006在發佈安全站點時都是採用“橋接”模式，這種模式可以讓ISA對外網的發來的加密數據先進行解密，然後過濾檢查，發來的數據被證實沒問題了纔會被重新加密送往內網的Web服務器。

而ISA2006之前的版本無法使得防火牆無法對數據內容進行分析，也沒辦法判斷這些數據是否安全。當防火牆遇到這種情況，往往就採用“隧道”模式，“隧道”模式讓外網的訪問請求直接通過防火牆抵達內網的安全站點，透明通過。顯然，橋接模式比隧道模式更能發揮防火牆的功效，對網站的安全更爲有利。

此試驗拓撲如圖所示：florence是域控制器、DNS服務器、CA服務器，perth是要發佈的安全Web站點，Berlin還是ISA防火牆，Istanbul是外網的一臺計算機

一、創建證書頒發機構

在florence上打開控制面板-----添加刪除組建-----鉤選“證書服務”，創建一個“企業根CA”，CA的公用名稱“itetca”,搭建證書服務器很簡單，具體不再闡述。

創建完之後，我們需要在Web服務器和ISA上刷新一下組策略，讓他們在最短時間內信任這個證書頒發機構，當然在生產環境下就沒必要了

右鍵IE屬性-----內容----證書，如圖所示：已成功信任

企業內的計算機已經信任了證書頒發機構，怎們讓外網的Istanbul也信任呢？很簡單，①可以先把florence上的網站發佈出去，然後在訪問http://florence.isa.com/certsrv下載證書，再將證書導入到證書頒發機構；②還可以在證書頒發機構上將我們創建的企業根證書導出，然後再導入到外網計算機上，當然在生產環境下這種方法不理想；但在試驗環境下可以考慮使用，此試驗我們就採取這種方法。如圖所示：

點擊“下一步”

選擇導出文件的格式

選擇“導出的文件”存放的位置

點擊“確定”導出成功

將證書傳到Istanbul上

在Istanbul上右鍵IE屬性----內容----證書，如圖所示：點擊“導入”

進入證書導入嚮導，點擊“下一步”

選擇要導入的證書

將證書到“受信任的根證書頒發機構”

導入嚮導完成

點擊“確定”導入成功

如圖所示：受信任的根證書導入成功

二、安全Web站點申請證書

打開IIS管理器----右鍵“默認網站”屬性，申請證書。

切換到“目錄安全性”，點擊“服務器證書”申請服務器證書

點擊“下一步”

新建一個證書

選擇“立即將證書請求發送到聯機證書頒發機構”，實際工作中應該選擇“現在準備證書請求，但稍後發送”

輸入新證書的名稱，易於引用和記憶即可，此試驗採取默認設置

填寫“單位信息”

填寫“公用名稱”，慎重填寫，公用名稱一定要和外網用戶訪問該安全網站是的域名一致

填寫地理信息

爲此網站指定端口

選擇證書頒發機構

檢查提交的信息，無誤點擊“下一步”

完成Ｗeb服務器證書嚮導

點擊“查看證書”可以看到perth申請的服務器證書

三、將perth的服務器證書導出並導入到ISA上

打開“運行”----輸入“MMC”打開控制檯----添加“證書”，如圖所示：將證書到出

點擊“下一步”

連同私鑰一起導出

啓用加強保護

填寫“密碼”用來保護私鑰

選擇將證書導出到什麼位置，必須以“．pfx”擴展名結尾。

點擊“確定”導出成功

如圖所示：可以看到我們導出的證書perth.pfx

四、ISA將證書導入

將perth上的證書拷貝到Berlin（ISA）上，雙擊此證書進入證書導入嚮導

選擇要導入的證書

輸入我們剛剛爲保護私鑰創建的密碼

選擇證書存儲位置，我們將它導入到“個人存儲”中

證書導入完成

如圖所示：導入成功

五、發佈安全的Web站點

如圖所示：新建一個“網站發佈規則”

填寫規則名稱

規則操作“允許”

發佈類型：“發佈單個網站或負載平衡器”

選擇使用SSL連接到發佈的Web服務器或服務器場

內部站點的名稱爲perth.isa.com，注意，內部站點的名稱應該和安全站點證書中的公用名稱完全一致，否則會導致發佈失敗;計算機名稱或IP地址可寫可不寫。

發佈整個網站的內容

安全站點的公共名稱應該和證書中的公用名稱完全一致

我們沒有偵聽443端口的偵聽器，新建一個web偵聽器

填寫Web偵聽器名稱

需要與客戶端建立SSL安全連接

此Web偵聽器用來偵聽外網

選擇偵聽器使用的證書，此時應該選擇perth的證書，當外網用戶要訪問perth時，ISA可以出示該證書證明自己的就是你要訪問的目標

不需要身份驗證，發佈安全Web站點不需要身份驗證，並非發佈其他服務器時也不需要身份驗證

不設置單一登陸

偵聽器創建完成

添加“偵聽443端口”的偵聽器

安全Web站點沒有委派ISA對客戶端進行身份驗證

應用到所有用戶

發佈完成

六、測試

來到外網Istanbul上，在瀏覽器上輸入https://www.perth.com,如圖所示：提示“即將通過安全連接查看網頁”，點擊“確定”

點擊“是”

如圖所示：可以正常訪問

使用http連接如圖所示：網頁打開失敗。