發佈安全的Web站點
安全Web站點在很多領域上由於它的高安全性而受到廣泛應用,由於安全Web站點對HTTP數據進行了加密,ISA需要對數據內容進行分析;而ISA2006在發佈安全站點時都是採用“橋接”模式,這種模式可以讓ISA對外網的發來的加密數據先進行解密,然後過濾檢查,發來的數據被證實沒問題了纔會被重新加密送往內網的Web服務器。
而ISA2006之前的版本無法使得防火牆無法對數據內容進行分析,也沒辦法判斷這些數據是否安全。當防火牆遇到這種情況,往往就採用“隧道”模式,“隧道”模式讓外網的訪問請求直接通過防火牆抵達內網的安全站點,透明通過。顯然,橋接模式比隧道模式更能發揮防火牆的功效,對網站的安全更爲有利。
此試驗拓撲如圖所示:florence是域控制器、DNS服務器、CA服務器,perth是要發佈的安全Web站點,Berlin還是ISA防火牆,Istanbul是外網的一臺計算機
一、創建證書頒發機構
在florence上打開控制面板-----添加刪除組建-----鉤選“證書服務”,創建一個“企業根CA”,CA的公用名稱“itetca”,搭建證書服務器很簡單,具體不再闡述。
創建完之後,我們需要在Web服務器和ISA上刷新一下組策略,讓他們在最短時間內信任這個證書頒發機構,當然在生產環境下就沒必要了
右鍵IE屬性-----內容----證書,如圖所示:已成功信任
企業內的計算機已經信任了證書頒發機構,怎們讓外網的Istanbul也信任呢?很簡單,①可以先把florence上的網站發佈出去,然後在訪問http://florence.isa.com/certsrv下載證書,再將證書導入到證書頒發機構;②還可以在證書頒發機構上將我們創建的企業根證書導出,然後再導入到外網計算機上,當然在生產環境下這種方法不理想;但在試驗環境下可以考慮使用,此試驗我們就採取這種方法。如圖所示:
點擊“下一步”
選擇導出文件的格式
選擇“導出的文件”存放的位置
點擊“確定”導出成功
將證書傳到Istanbul上
在Istanbul上右鍵IE屬性----內容----證書,如圖所示:點擊“導入”
進入證書導入嚮導,點擊“下一步”
選擇要導入的證書
將證書到“受信任的根證書頒發機構”
導入嚮導完成
點擊“確定”導入成功
如圖所示:受信任的根證書導入成功
二、安全Web站點申請證書
打開IIS管理器----右鍵“默認網站”屬性,申請證書。
切換到“目錄安全性”,點擊“服務器證書”申請服務器證書
點擊“下一步”
新建一個證書
選擇“立即將證書請求發送到聯機證書頒發機構”,實際工作中應該選擇“現在準備證書請求,但稍後發送”
輸入新證書的名稱,易於引用和記憶即可,此試驗採取默認設置
填寫“單位信息”
填寫“公用名稱”,慎重填寫,公用名稱一定要和外網用戶訪問該安全網站是的域名一致
填寫地理信息
爲此網站指定端口
選擇證書頒發機構
檢查提交的信息,無誤點擊“下一步”
完成Web服務器證書嚮導
點擊“查看證書”可以看到perth申請的服務器證書
三、將perth的服務器證書導出並導入到ISA上
打開“運行”----輸入“MMC”打開控制檯----添加“證書”,如圖所示:將證書到出
點擊“下一步”
連同私鑰一起導出
啓用加強保護
填寫“密碼”用來保護私鑰
選擇將證書導出到什麼位置,必須以“.pfx”擴展名結尾。
點擊“確定”導出成功
如圖所示:可以看到我們導出的證書perth.pfx
四、ISA將證書導入
將perth上的證書拷貝到Berlin(ISA)上,雙擊此證書進入證書導入嚮導
選擇要導入的證書
輸入我們剛剛爲保護私鑰創建的密碼
選擇證書存儲位置,我們將它導入到“個人存儲”中
證書導入完成
如圖所示:導入成功
五、發佈安全的Web站點
如圖所示:新建一個“網站發佈規則”
填寫規則名稱
規則操作“允許”
發佈類型:“發佈單個網站或負載平衡器”
選擇使用SSL連接到發佈的Web服務器或服務器場
內部站點的名稱爲perth.isa.com,注意,內部站點的名稱應該和安全站點證書中的公用名稱完全一致,否則會導致發佈失敗;計算機名稱或IP地址可寫可不寫。
發佈整個網站的內容
安全站點的公共名稱應該和證書中的公用名稱完全一致
我們沒有偵聽443端口的偵聽器,新建一個web偵聽器
填寫Web偵聽器名稱
需要與客戶端建立SSL安全連接
此Web偵聽器用來偵聽外網
選擇偵聽器使用的證書,此時應該選擇perth的證書,當外網用戶要訪問perth時,ISA可以出示該證書證明自己的就是你要訪問的目標
不需要身份驗證,發佈安全Web站點不需要身份驗證,並非發佈其他服務器時也不需要身份驗證
不設置單一登陸
偵聽器創建完成
添加“偵聽443端口”的偵聽器
安全Web站點沒有委派ISA對客戶端進行身份驗證
應用到所有用戶
發佈完成
六、測試
來到外網Istanbul上,在瀏覽器上輸入https://www.perth.com,如圖所示:提示“即將通過安全連接查看網頁”,點擊“確定”
點擊“是”
如圖所示:可以正常訪問
使用http連接如圖所示:網頁打開失敗。