返回
ISA Server 2004 中发布多个 Web 站点

ISA Server 2004 中发布多个 Web 站点

ID:37276588

大小:1.45 MB

页数:24页

时间:2019-05-20

ISA Server 2004 中发布多个 Web 站点_第1页
ISA Server 2004 中发布多个 Web 站点_第2页
ISA Server 2004 中发布多个 Web 站点_第3页
ISA Server 2004 中发布多个 Web 站点_第4页
ISA Server 2004 中发布多个 Web 站点_第5页
资源描述:

《ISA Server 2004 中发布多个 Web 站点》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、使用通配符证书在ISAServer2004中发布多个Web站点使用单一证书发布多个安全的Web站点简介用户常常提出这样一个请求,那就是想获得更多关于如何使用单一IP地址在防火墙的外部接口上发布多个安全Web站点的信息。ISAServer2000和ISAServer2004有一个共同点,那就是一个证书只能绑定一个Web侦听器。如果您将一个单一的IP地址绑定到ISAServer2000或ISAServer2004防火墙的外部接口,则可以发布一个单一的安全Web站点。之所以一个IP地址只能发布一个安全Web站点的原因就在于外部用户发送请求的目标Web站点必须与证书中所列的站点名称相匹配

2、。证书中所列的这个站点名称被称为公用名。例如,如果您想发布一个Web站点,并想让用户通过www.domain.com来访问这个站点,那么Web站点证书中的公用名就必须是www.domain.com。如果您想使用同一个Web侦听器为www2.domain.com也发布一个安全站点,那是不可能成功的,因为证书中的公用名与用户请求中的名称不匹配。真正安全的Web发布要求在Internet用户和ISA防火墙的外部接口之间,以及ISA防火墙的内部接口与内部网络的Web站点之间强制使用SSL。端对端的安全性被称为SSL到SSL的桥接。ISA防火墙与其类别中其他防火墙的不同之处是ISA防火墙在

3、穿越防火墙时可以真正穿透SSL流。攻击者在SSL隧道中不能隐藏其攻击脚本。当您执行SSL到SSL的桥接时,Web站点上证书的名称与将请求转发给InternetWeb服务器时所使用的名称应当相同。下图显示了请求路径和所需的证书。1.客户端向www.internal.net发送了一个HTTPS请求,请求访问一个OWAWeb站点。2.请求到达ISAServer2004防火墙的外部接口,并被OWAWeb发布规则的Web侦听器截获。“OWAWeb发布”规则所使用的Web侦听器具有一个与之相绑定的Web站点证书。证书中的公用名是www.internal.net。请求中的名称与Web侦听器所绑

4、定Web站点证书中的公用名相匹配。3.“OWAWeb发布”规则被配置为将请求转发至内部网络中的OWA站点。ISAServer2004防火墙中的“Web发布”规则被配置为将请求转发至www.internal.net,此名称与外部接口所绑定的Web站点证书中的名称,以及源用户请求所使用的名称均相同。4.请求被转发至内部网络中的OWA站点。OWAWeb站点也有一个与之相绑定的Web站点证书。证书中的公用名为www.internal.net。此名称与源客户端请求中的名称、接受请求的Web侦听器所绑定的证书中的名称,以及Web发布规则(用于将请求重定向至内部网络中的OWAWeb站点)中使用

5、的名称均匹配。如果所有名称均匹配,且用户通过了身份验证,则服务器将接受此连接请求。查看大图如果请求中的名称与证书中的公用名不匹配,则会出现错误。例如,如果ISAServer2004防火墙中的Web发布重定向规则被配置为将请求转发至OWASERVER1,则内部网络中的Web站点从ISAServer2004防火墙所接收请求中的名称将不匹配,会生成服务器错误500。现在,让我们再仔细研究一下这种方案,即用一个只能在ISAServer2000或ISAServer2004防火墙上绑定一个证书的单一Web侦听器来发布两个安全Web站点,找到问题的症结所在。下图解释了这种配置。1.Intern

6、et上的客户端向owa.internal.net发出一个请求。2.ISAServer2004防火墙外部接口上的Web侦听器有一个与之相绑定的Web站点证书,其中的公用名为owa.internal.net。3.ISAServer2004中的“Web发布”规则被配置为将请求重定向至owa.internal.net。名称owa.internal.net被解析为内部网络中OWAWeb服务器的IP地址。4.内部网络中的OWAWeb站点具有一个与之相绑定的证书,其中的公用名为owa.internal.net。如果用户的身份成功通过验证的话,则服务器将接受此请求。5.Web客户端向www.in

7、ternal.net发出一个请求。6.ISAServr2004防火墙上的Web侦听器具有一个与之相绑定的证书,其中的公用名为owa.internal.net。此请求将被拒绝,这是因为请求中的名称与Web侦听器所绑定证书中的公用名不相同。此示例说明了您不能使用单一证书发布两个具有不同名称的不同Web站点。查看大图还有一个可能发生问题的环节,那就是当证书能够正确匹配,但重定向的配置不正确的时候。下图解释了这种情况发生时的情形。1.Internet上的客户端向owa.internal.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。