云安全产品配置与应用 产品配置与实践 用ISA发布安全Web站点.doc

用ISA发布安全Web站点 到目前为止，我们已经对ISA发布Web站点进行了很多介绍，但还没有涉及到安全Web站点。其实在很多领域，安全Web站点都由于高安全性而受到广泛应用，例如在电子商务，电子邮件，OA等应用中基本都会使用安全站点来加强对数据的保护。既然安全站点如此重要，今天我们就来讨论一下如何用ISA2006来发布安全Web站点。 用ISA2006发布安全站点并不是一件困难的事，相反，ISA2006为管理员发布安全站点提供了灵活且强大的技术支持。以往防火墙在发布安全Web站点时，处理方法并不令人满意。由于安全Web站点对HTTP数据进行了加密，这使得防火墙无法对数据内容进行分析，当然也没办法判断这些数据是否不利于安全。防火墙遇到这种情况，往往就采用“隧道”模式，如下图所示，“隧道”模式让外网的访问请求直接通过防火墙抵达内网的安全站点，防火墙对访问请求直接放行，透明通过。这种方法自然无法让管理员满意，买个防火墙发布网站不就是希望利用防火墙过滤有害数据嘛，现在防火墙让加密数据透明通过，那防火墙还有什么用呢，不如直接把安全网站放到外网好了。 ? ISA2006对发布安全站点做了很好的改进，ISA2006在发布安全站点时可以采用“桥接”模式，如下图所示，这种模式可以让ISA对外网的发来的加密数据先进行解密，然后过滤检查，发来的数据被证实没问题了才会被重新加密送往内网的Web服务器。显然，桥接模式比隧道模式更能发挥防火墙的功效，对网站的安全更为有利。 ? ISA并不是随随便便就能启用桥接模式，发布安全Web站点和发布Web站点有所不同，区别就在于安全Web服务器必须提供证书用于数据加密。在桥接模式下，ISA要对外网发来的加密的数据进行解密，这就要求ISA必须拥有证书及配套私钥。例如ISA发布的安全站点是，那ISA必须拥有名为的证书以及配套的私钥，如果没有证书，ISA无法对外网的访问者证明自己就是他们要访问的，如果没有私钥，ISA则无法对加密数据进行解密。因此，ISA启用桥接模式发布安全网站的关键就在于如何让ISA拥有证书以及私钥，我们解决这个问题的方法是让安全Web服务器导出证书及私钥，然后ISA再进行导入操作。 实验拓扑如下图所示，Perth是内网要发布的安全站点，Denver是内网的域控制器兼CA服务器，Beijing是ISA2006服务器，我们看看如何用ISA发布安全Web站点。 ? 一 创建CA服务器 既然Perth上的Web站点是安全Web站点，那Perth的站点肯定要有证书，谁来发这个证书呢？CA！我们既可以选择去国际CA公司申请证书，也可以自己创建CA服务器来颁发证书。平时经常有朋友问这个问题：到底应该选择去国际CA申请证书还是自己创建一个CA来颁发呢？这个问题我觉得应该根据被发布安全站点的用途来决定，如果你发布的安全站点针对的群体是互联网上的用户，那我认为还是应该去国际CA申请证书，这样申请到的证书自动会被所有的用户所信任，使用起来很方便。否则你自己创建CA颁发证书，但互联网上其他用户都不信任，每个用户都要手工信任你创建的CA，这样就很麻烦了。当然，去国际CA申请是要付出代价的，一年估计要1W多RMB，这银子花得很心疼的。如果发布的安全站点主要是给公司员工使用的，那就可以自己创建CA来颁发证书了，因为公司员工人数有限，即使手工信CA任也不用花太多时间。这时自己创建的CA就能体现出使用方便，节省成本的优点了。 回到本例中，我们准备在Denver上创建一个CA服务器，用以在域内为计算机颁发证书。在Denver上依次点击 开始－设置－控制面板－添加或删除程序－添加/删除Windows组件，如下图所示，勾选“证书服务”，这时会弹出对话框提示你安装证书服务后不能改变计算机名称以及身份，选择“是“按钮。 ? CA类型设置为企业根，这样可以更好地利用域的管理优势。 ? CA命名为TESTCA。 ? 证书数据库的存储路径取默认值即可。 ? 安装程序提示需要重启IIS服务，在插入Win2003的安装光盘后，如下图所示，安装结束。 ? 创建完CA服务器后，这个服务器必须得到其他计算机的认可，域内的计算机如本例中的Perth和Beijing都不用担心，组策略会告诉他们TESTCA是个可以信任的CA服务器。如果你觉得组策略生效时间太长，还可以运行 Gpupdate/force来加快组策略生效时间。域外的计算机如本例中的Istanbul就需要手工信任这个CA服务器了，具体操作方法如下。我们先把Denver的网站用ISA发布出来，然后在Istanbul上访问[url]/certsrv[/url]，如下图所示，网站要求进行身份验证，我们输入域管理员的用户名和口令。 ? 通过身份验证后我们可以通过网站访问CA服务器了，如下图所示，选择“下载一个C