在介绍完ISA防火墙配置之后,终于今天可以开始探讨如何运用ISA发布企业内部的服务器了。这次我们使用OWA来做客户端的验证。在通常情况下,员工如果出差在外,则使用企业内部邮件用OWA是最佳的方法,配置容易并且操作简单。相对OE来说,OWA在服务器上的操作能稍微繁琐,而在客户端不需要设置,这样就方便了员工使用邮件服务器。
这样不但实现了安全,并且只需要建立内部到DMZ区的访问规则就可以实现双网卡时候的功能。我们使用拥有Exchange 2007,DNS ,DC为一身的windows server 2003为服务器,一台加入域的windows server 2003成为ISA , 一台windows server 2003为internet上的主机。
首先对IP地址进行规划,因为涉及网络较多,在学习的时候容易对IP地址的配置产生混淆,所以本次将IP地址进行详细规划。
Exchange2007 IP 172.16.100.1 网关 172.16.100.2 掩码255.255.255.0 DNS 172.16.100.1
ISADMZ区网卡 172.16.100.2 掩码255.255.255.0 DNS 172.16.100.1
ISA外网卡 192.168.99.1 掩码255.255.255.0 DNS 172.16.100.1
内部网络这里就不配置了。操作步骤前面文章中都有讲解。
我们在Exchange 服务器上搭建CA服务,然后申请。
在添加删除组建中,添加证书。
在域中我们可以部署企业根。
然后下一步就可以安装了,在安装过程中,系统会提示我们关闭IIS程序,确定之后会自动关闭。
然后打开IIS管理器,右键默认网站选择属性。
因为证书服务和exchange服务器在同一台机器上,所以我们选择立刻颁发。
安装成功之后,选择查看证书,将证书导出。
因为我们要在ISA上装上跟邮件服务器同样的证书,所以我们要导出私钥。
然后我们进入
https://127.0.0.1/certsrv 安装和下载证书链, 证书链同样要导出然后复制到ISA防火墙中。访问过程中,需要我们键入管理员的账户和密码。
进入页面之后选择下载安装证书链。
将导出的证书和证书链复制或用移动设备导入到ISA防火墙中。所谓安装证书链,就是使安装的计算机信任此CA颁发的证书,所以导出的证书安装在ISA防火墙的计算机的个人证书中,而证书链导入在受信任的证书中。使用MMC管理控制台导入,操作非常简单,这里就不截图了。
证书服务配置完成后,开始发布我们的邮件服务器。
因为我们要用owa安全网页访问,所以这里选择Exchange web的发布。
然后选择exchange 2007 的OWA模式
这里我们发布的是安全网站,所以需要选择https发布
发布完成之后我们需要在DNS上创建一条A记录和MX记录,所以这里添写的内部站点名称必须和DNS中保持一致,在下一步之后填写仍然如此,路径的添加我们为空就可以了。
下一步之后需要我们新建侦听器,同样选择SSL安全模式,因为要用Internet上的用户访问,所以这里选择外部。
然后选择我们刚刚申请的证书。
选择html窗体身份验证。
设置完成侦听器后,需要选择防火墙的身份验证,我们选择基本身份验证。
设置完成后,应用就完成了发布。我们使用一台windows server 2003模仿Internet用户访问,如果没有DNS支持,修改本地HOSTS文件即可。
已经可以正常访问了,过程还是非常容易,需要理解证书的作用,将exchange2007中的证书包括私钥全部导入ISA防火墙中,外部网络就只能当ISA防火墙为他访问的邮件服务器了,就实现了企业内部网络的安全。
本文转自 郑伟 51CTO博客,原文链接:http://blog.51cto.com/zhengweiit/316986
