利用ISA防火牆釋出郵件伺服器並部署OWA訪問

科技小能手發表於2017-11-07
防火牆伺服器
    在介紹完ISA防火牆配置之後,終於今天可以開始探討如何運用ISA釋出企業內部的伺服器了。這次我們使用OWA來做客戶端的驗證。在通常情況下,員工如果出差在外,則使用企業內部郵件用OWA是最佳的方法,配置容易並且操作簡單。相對OE來說,OWA在伺服器上的操作能稍微繁瑣,而在客戶端不需要設定,這樣就方便了員工使用郵件伺服器。
clip_image002
      這樣不但實現了安全,並且只需要建立內部到DMZ區的訪問規則就可以實現雙網路卡時候的功能。我們使用擁有Exchange 2007,DNS ,DC為一身的windows server 2003為伺服器,一臺加入域的windows server 2003成為ISA , 一臺windows server 2003為internet上的主機。
首先對IP地址進行規劃,因為涉及網路較多,在學習的時候容易對IP地址的配置產生混淆,所以本次將IP地址進行詳細規劃。
Exchange2007 IP 172.16.100.1 閘道器 172.16.100.2 掩碼255.255.255.0 DNS 172.16.100.1
ISADMZ區網路卡 172.16.100.2 掩碼255.255.255.0 DNS 172.16.100.1
ISA外網路卡 192.168.99.1 掩碼255.255.255.0 DNS 172.16.100.1
      內部網路這裡就不配置了。操作步驟前面文章中都有講解。
clip_image004
      我們在Exchange 伺服器上搭建CA服務,然後申請。
在新增刪除組建中,新增證書。
clip_image005
      在域中我們可以部署企業根。
clip_image006
      然後下一步就可以安裝了,在安裝過程中,系統會提示我們關閉IIS程式,確定之後會自動關閉。
然後開啟IIS管理器,右鍵預設網站選擇屬性。
clip_image008
因為證書服務和exchange伺服器在同一臺機器上,所以我們選擇立刻頒發。
clip_image009
安裝成功之後,選擇檢視證書,將證書匯出。
clip_image011
因為我們要在ISA上裝上跟郵件伺服器同樣的證書,所以我們要匯出私鑰。
clip_image012
      然後我們進入https://127.0.0.1/certsrv 安裝和下載證書鏈, 證書鏈同樣要匯出然後複製到ISA防火牆中。訪問過程中,需要我們鍵入管理員的賬戶和密碼。
進入頁面之後選擇下載安裝證書鏈。
clip_image014
      將匯出的證書和證書鏈複製或用移動裝置匯入到ISA防火牆中。所謂安裝證書鏈,就是使安裝的計算機信任此CA頒發的證書,所以匯出的證書安裝在ISA防火牆的計算機的個人證書中,而證書鏈匯入在受信任的證書中。使用MMC管理控制檯匯入,操作非常簡單,這裡就不截圖了。
證書服務配置完成後,開始釋出我們的郵件伺服器。
因為我們要用owa安全網頁訪問,所以這裡選擇Exchange web的釋出。
clip_image016
然後選擇exchange 2007 的OWA模式
clip_image018
這裡我們釋出的是安全網站,所以需要選擇https釋出
clip_image020
釋出完成之後我們需要在DNS上建立一條A記錄和MX記錄,所以這裡添寫的內部站點名稱必須和DNS中保持一致,在下一步之後填寫仍然如此,路徑的新增我們為空就可以了。
clip_image022
下一步之後需要我們新建偵聽器,同樣選擇SSL安全模式,因為要用Internet上的使用者訪問,所以這裡選擇外部。
clip_image024
然後選擇我們剛剛申請的證書。
clip_image026
選擇html窗體身份驗證。
clip_image028
設定完成偵聽器後,需要選擇防火牆的身份驗證,我們選擇基本身份驗證。
clip_image030
設定完成後,應用就完成了釋出。我們使用一臺windows server 2003模仿Internet使用者訪問,如果沒有DNS支援,修改本地HOSTS檔案即可。
clip_image031
      已經可以正常訪問了,過程還是非常容易,需要理解證書的作用,將exchange2007中的證書包括私鑰全部匯入ISA防火牆中,外部網路就只能當ISA防火牆為他訪問的郵件伺服器了,就實現了企業內部網路的安全。
本文轉自 鄭偉  51CTO部落格,原文連結:http://blog.51cto.com/zhengweiit/316986


相關文章