在“配置直接访问的站点:第一部分 配置Web代理客户的直接访问”中,我们已介绍了怎样配置Web代理客户的直接访问。在这部分文章中,我们将对Web发布和服务器发布环境下的直接访问进行讨论。根据客户类型的不同,直接访问的配置也有些不同:
对于Web代理客户,直接访问允许客户使用另外一种方法来访问资源而越过Web代理客户的配置。客户能够使用SNat客户或防火墙客户的配置来进行访问,当然防火墙客户更为安全;
对于防火墙客户,直接访问允许客户直接访问位于和自己处于ISA防火墙同个网络中的主机。
对于Web代理客户和防火墙客户,直接访问允许客户直接连接到和自己处于ISA防火墙同个网络中的发布的服务器,但是这您需要分离DNS的支持。
让我们看一个例子来阐述这一观点:
在下图中,我们在ISA防火墙的内部网络中部署了一台服务器,并且使用Web发布或服务器发布规则发布了他的Web服务。一个外部客户通过ISA防火墙的外部IP进行连接,并通过ISA防火墙的发布规则来访问内部网络中的服务器。这一切都工作正常,没有任何问题。
在下一张图中,我们将会看到一个环回路由的例子。何为环回路由,在ISA环境中,他指的是通过ISA防火墙来访问和自己处于ISA防火墙的相同网络中的主机,我们应该尽量避免环回路由。
在这个网络图中,内部网络中的防火墙客户想连接到发布的Web服务器www.domain.com,此是通过外部的DNS服务器解析为ISA防火墙的外部网卡的IP地址。这样,当这个防火墙客户想访问此发布的Web服务器时,是通过ISA防火墙来进行中转,虽然此Web服务器和发起连接请求的防火墙客户处于同个网络(在此例中,发起请求的防火墙客户和需要连接的Web服务器都处于内部网络中),这样就出现了环回路由。
这个网络环境中的问题有:
防火墙客户通过DNS服务器解析www.domain.com的结果是ISA防火墙的外部IP地址;
通过ISA防火墙的环回路由来访问位于和自己处于ISA防火墙的相同网络中的服务器,这样大大的降低了ISA防火墙的性能;
通过ISA防火墙的环回路由进行访问时可能出现故障。
在任何情况下,都应该避免通过ISA防火墙的环回路由。
下图描述了怎样避免这一问题,通过分离的DNS服务,内部客户解析此www.domain.com的结果为内部网络中的Web服务器IP地址,所以能够越过ISA防火墙,直接访问此Web服务器。
分离的DNS服务让外部网络和内部网络中的客户解析相同的名字到不同的主机上。在此例中,外部网络中的客户通过外部的DNS服务器解析此www.domain.com到ISA防火墙的外部IP地址上,通过ISA防火墙来访问发布的内部网络中的Web服务器;而内部网络中的客户通过内部的DNS服务器解析www.domain.com到内部网络中Web服务器的IP地址,所以能够直接访问此服务器而无需经过ISA防火墙。这样能够避免环回路由,大大的提高了ISA防火墙的性能。
在这种情况下,直接访问的关键在于客户的访问请求,具体在于客户机上TCP/IP的配置。注意此时需要正确的对内部客户的TCP/IP进行配置,让他们使用内部网络中的DNS服务。对于无需直接访问的环境,您能够不对Web代理客户和防火墙客户配置DNS服务器的IP地址。但是在任何情况下,您都应该在内部网络中部署DNS服务,除非您的网络规模极小。关于怎样部署DNS服务,请参见“建立内部的DNS服务器”一文。
为防火墙客户配置直接访问
防火墙客户的直接访问是在ISA防火墙的对应的网络的属性中进行配置。在此例中,发起请求的防火墙客户和连接的Web服务器都位于ISA防火墙的内部网络。打开ISA防火墙管理控制台,展开服务器名,然后展开配置下的网络节点,然后右击右面板中的内部网络,选择属性。
在内部属性对话框,点击域标签,然后点击添加按钮。在域属性对话框,输入您想直接访问的或FQDN,在此例中是*.domain.com(表示domain.com域中的任何服务器),然后点击确定;
在域列表中,您应该加入所以您想让客户直接访问的或FQDN,例如您的内部域,只是当您的域跨越了多个ISA防火墙的网络时,情况有点不同,具体能够参见我们写的书配置ISA Server 2004。
