配置ISA Server 2004中的Web链（上）-HfAZxJq-ChinaUnix博客

linux学习园地02504

首页　| 　博文目录　| 　关于我

HfAZxJq

博客访问： 622554
博文数量： 692
博客积分： 4000
博客等级：上校
技术积分： 4715
用户组：普通用户
注册时间： 2008-10-17 13:38

文章分类

全部博文（692）

未分配的博文（692）

文章存档

2011年（1）

2008年（691）

我的朋友

最近访客

推荐博文

配置ISA Server 2004中的Web链（上）

分类：

2008-10-17 13:55:23

　　在ISA Server 2004中提供了Web链功能，它就相当于将ISA Server配置为二级代理，可以将你的请求转发到上游的代理或其他站点。使用Web链，你就可以实现条件，对不同的目的地通过不同的路由来进行访问。
　　
　　Web链规则针对所有通过ISA Server的访问Web链规则中指定的目的地的访问请求，而不管访问请求来自本地主机还是内部网络。默认情况下ISA Server 2004已经建立了一条默认Web链规则，定义为直接从客户所请求的目标获取客户请求的数据。你可以建立你自己的Web链规则，和策略一致，Web链规则也是从上到下执行第一条匹配规则的。您可以指定如何路由客户端的Web访问请求，可以选择以下三种方式之一：
　　
　　从客户请求的目标直接检索对象。
　　
　　将客户的访问请求路由到特定的上游。在这种情况下，你可以指定主路由和备份路由。当主路由不可用时，ISA 服务器使用备份路由。ISA 服务器计算机定期轮询指定作为主路由的上游服务器，以确定其是否可用。主路由一旦可用，就会使用主路由，而不再使用备份路由。
　　
　　将客户的访问请求重定向到一个Web站点。在这种情况下，将会把客户请求路由到指定的服务器。
　　
　　在上游服务器需要身份验证的情况下，它会要求下游代理传递身份验证信息，因此，必须配置ISA Server传递身份验证信息。在Web链中ISA Server只支持基本身份验证和集成的身份验证，不过用户名和密码最多只能为7位字符，否则下游代理服务器将不能通过集成的身份验证；但是如果使用基本身份验证，身份验证信息将以纯文本形式进行传输，所以建议你在与上游服务器通讯时使用SSL进行加密传输。
　　
　　本文中的试验环境如下图所示：
　　　

　　Istanbul和Florence为两台Web服务器，Proxy为代理服务器，使用端口TCP 8080提供HTTP代理服务，并且要求使用HTTP代理的用户进行身份验证。各计算机的TCP/IP设置如下，本次试验不涉及DNS解析，各服务器的DNS服务器设置为空，在试验之前已经确认了网络连接工作正常：
　　
　　Sydeny（ISA 2004 Firewall）：
　　
　　LAN Interface：
　　
　　IP：10.2.1.1.1/24
　　DG：None
　　Internet Interface：
　　
　　IP：61.139.0.1/24
　　DG：61.139.0.1
　　
　　Istanbul（Web）：
　　
　　IP：61.139.0.8/24
　　DG：None
　　
　　
　　Florence（Web）：
　　
　　IP：61.139.0.2/24
　　DG：None
　　
　　Proxy（Proxy）：
　　
　　IP：61.139.0.5/24
　　DG：None
　　我们按照以下步骤开始试验，访问的发起者均为Sydney（61.139.0.1）：
　　
　　在未建立Web链规则前访问Istanbul（61.139.0.8）；
　　
　　建立Web链规则，配置Proxy（61.139.0.5）为上游代理后访问Istanbul（61.139.0.8）；
　　
　　停止Proxy（61.139.0.5）上的Web代理服务后访问Istanbul（61.139.0.8）；
　　
　　修改Web链规则，将访问Istanbul（61.139.0.8）的请求进行重定向；
　　
　　在未建立Web链规则前访问Istanbul（61.139.0.8）
　　
　　我们已经在Sydney（ISA 2004，IP为61.139.0.1）上建立好了一条访问规则：允许本地主机访问所有网络的HTTP。在Sydney上打开一个浏览器窗口，访问Istanbul上的Web站点，访问成功，页面及Web服务器上的日志如下图所示，上半部为Istanbul（61.139.0.8）上的Web日志，下半部为Sydney（61.139.0.1）上的浏览器窗口。
　　　