利用動(dòng)態(tài)域名與ISA實(shí)現(xiàn)對(duì)外服務(wù)的安全發(fā)布

　　摘要 本文以本單位網(wǎng)絡(luò)環(huán)境為背景，重點(diǎn)介紹了如何利用動(dòng)態(tài)域名與ISA2004相結(jié)合，實(shí)現(xiàn)對(duì)外WEB、遠(yuǎn)程桌面服務(wù)的安全發(fā)布。
　　關(guān)鍵詞 動(dòng)態(tài)域名 ISA 遠(yuǎn)程桌面
　　中圖分類號(hào)：TP30文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791 (2010)2(a)-0000-00
　　
　　前言
　　現(xiàn)在大部分服務(wù)器操作系統(tǒng)都提供了WEB、遠(yuǎn)程控制、VPN等服務(wù)功能，但是由于現(xiàn)在公網(wǎng)IP地址的缺乏以及成本相對(duì)較高，絕大部分Internet用戶上網(wǎng)的時(shí)候分配到的IP地址是ISP提供的動(dòng)態(tài)IP地址。而服務(wù)器操作系統(tǒng)所提供的服務(wù)都要求有對(duì)應(yīng)的固定IP地址，所以想利用常規(guī)的域名解析提供上述服務(wù)是不大可能的。而有了動(dòng)態(tài)域名與Microsoft? Internet Security and Acceleration2004相結(jié)合，就可以實(shí)現(xiàn)對(duì)外WEB、遠(yuǎn)程控制、VPN等服務(wù)的安全發(fā)布。
　　一、相關(guān)技術(shù)簡(jiǎn)介
　　1、動(dòng)態(tài)域名：
　　用戶每次上網(wǎng)得到新的動(dòng)態(tài)分配的IP地址之后，安裝在用戶計(jì)算機(jī)里的動(dòng)態(tài)域名軟件就會(huì)把這個(gè)IP地址發(fā)送到動(dòng)態(tài)域名解析服務(wù)器，更新域名解析數(shù)據(jù)庫(kù)。Internet上的其他人要訪問(wèn)這個(gè)域名的時(shí)候，動(dòng)態(tài)域名解析服務(wù)器會(huì)返回正確的IP地址給他，這叫動(dòng)態(tài)域名。
　　2、ISA：
　　ISA是一款微軟出品的著名路由級(jí)網(wǎng)絡(luò)防火墻。其主要功能有：（1）防火墻（firewall），可以用它安全地發(fā)布（publishing）企業(yè)內(nèi)部的服務(wù)器.（2）虛擬專用網(wǎng)（VPN）可以讓遠(yuǎn)程用戶與局域網(wǎng)(LAN)之間通過(guò)因特網(wǎng)來(lái)建立一個(gè)安全的通道。
　　3、遠(yuǎn)程桌面
　　遠(yuǎn)程桌面是windows系統(tǒng)的組件。通過(guò)它可以實(shí)現(xiàn)用戶在網(wǎng)絡(luò)的另一端控制服務(wù)器的功能，運(yùn)行程序就好象操縱自己本地計(jì)算機(jī)一樣簡(jiǎn)單。
　　二、動(dòng)態(tài)域名的配置
　　本文以http://domain.oray.cn/網(wǎng)站所提供的免費(fèi)域名為例進(jìn)行說(shuō)明
　　（1）申請(qǐng)免費(fèi)域名
　　本文以申請(qǐng)到的84569456.vicp.net為例進(jìn)行說(shuō)明。
　　（2）安裝客戶端軟件
　　在上述網(wǎng)站中下載并安裝客戶端軟件，并將其安裝在和外網(wǎng)連接的服務(wù)器中。
　　三、安裝ISA 2004中文版
　　將ISA2004中文版安裝在和外網(wǎng)連接的服務(wù)器（ISA）中。
　　四、動(dòng)態(tài)域名與ISA在我單位的應(yīng)用
　　（1）我單位網(wǎng)絡(luò)概況
　　我單位網(wǎng)絡(luò)主要分教學(xué)機(jī)房網(wǎng)絡(luò)和辦公區(qū)網(wǎng)絡(luò)兩部分，其中以教學(xué)機(jī)房為核心，通過(guò)交換機(jī)與辦公區(qū)網(wǎng)絡(luò)、教學(xué)機(jī)房、內(nèi)部服務(wù)器相連接，通過(guò)ISA服務(wù)器連接Internet網(wǎng)絡(luò)。
　　（2）我單位網(wǎng)絡(luò)系統(tǒng)
　　我單位服務(wù)器主要有兩臺(tái)，一臺(tái)為ISA服務(wù)器，內(nèi)置雙網(wǎng)卡，一塊網(wǎng)卡連接內(nèi)部網(wǎng)絡(luò)（192.168.1.1/24），一塊連接外部網(wǎng)絡(luò)（IP地址為自動(dòng)獲取）；一臺(tái)為內(nèi)部WEB服務(wù)器（192.168.1.100/24）。
　　為了方便學(xué)員在外網(wǎng)也可以方便的訪問(wèn)WEB服務(wù)器進(jìn)行網(wǎng)絡(luò)考試練習(xí)和下載相關(guān)學(xué)習(xí)資料，所以要將WEB服務(wù)器發(fā)布到外網(wǎng)，利用動(dòng)態(tài)域名系統(tǒng)和ISA相結(jié)合，將WEB服務(wù)器發(fā)布到外網(wǎng)，即便于對(duì)服務(wù)器的維護(hù)，又降低了成本，而且安全，發(fā)布過(guò)程也比較簡(jiǎn)單。
　　在實(shí)際工作中，我單位的服務(wù)器系統(tǒng)偶爾會(huì)出現(xiàn)意想不到的故障。這時(shí)就要求網(wǎng)絡(luò)管理人員及時(shí)排除故障。如果網(wǎng)絡(luò)管理人員在外地，就不能及時(shí)的排除故障，此時(shí)如果網(wǎng)絡(luò)管理人員能在外地通過(guò)遠(yuǎn)程來(lái)對(duì)服務(wù)器進(jìn)行控制，那么就可以快速的排除故障。所以通過(guò)動(dòng)態(tài)域名與ISA服務(wù)器的結(jié)合，就可以保證服務(wù)器在線及安全。下面就我單位實(shí)際情況來(lái)進(jìn)行簡(jiǎn)要的說(shuō)明。
　　（3）利用ISA發(fā)布Web服務(wù)器
　　準(zhǔn)備環(huán)境：首先在內(nèi)部網(wǎng)絡(luò)中布置好WEB服務(wù)器，內(nèi)網(wǎng)用戶可以正常訪問(wèn)，外網(wǎng)用戶無(wú)法訪問(wèn)。
　　啟動(dòng)ISA軟件后點(diǎn)擊右側(cè)任務(wù)欄中的“發(fā)布一個(gè)WEB服務(wù)器”，在出現(xiàn)的界面中輸入Web發(fā)布規(guī)則名稱后點(diǎn)擊“下一步”。在出現(xiàn)的“請(qǐng)選擇規(guī)則操作”界面中選擇“允許”并點(diǎn)擊“下一步”。在出現(xiàn)的“請(qǐng)定義要發(fā)布的網(wǎng)站”界面中輸入內(nèi)部WEB服務(wù)器的計(jì)算機(jī)名或IP地址192.168.1.100，路徑選項(xiàng)為空，點(diǎn)擊“下一步”。
　　在出現(xiàn)的“公共名稱細(xì)節(jié)”界面中輸入所申請(qǐng)的域名，路徑為空，點(diǎn)擊下一步。在出現(xiàn)的“選擇Web偵聽(tīng)器”界面中點(diǎn)擊“新建”按鈕，在出現(xiàn)的“新建WEB偵聽(tīng)器定義向?qū)А苯缑嬷休斎雮陕?tīng)器的名稱后點(diǎn)擊“下一步”。在出現(xiàn)的“IP地址”界面中選擇外部，點(diǎn)擊“下一步”。在出現(xiàn)的“端口指定”界面中選擇“啟用HTTP”，端口為80，點(diǎn)擊“下一步”后完成。
　　WEB偵聽(tīng)器建立完畢后點(diǎn)擊“下一步”，用戶為所有用戶，最后點(diǎn)擊完成。
　　這樣就完成了利用ISA發(fā)布WEB服務(wù)器的過(guò)程，下面來(lái)驗(yàn)證一下結(jié)果，在任意一臺(tái)外網(wǎng)的計(jì)算機(jī)上輸入http://84569456.vicp.net回車后即可瀏覽原來(lái)只能在內(nèi)網(wǎng)瀏覽的WEB服務(wù)器。
　　（4）利用ISA發(fā)布遠(yuǎn)程桌面
　　在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中，要想從外網(wǎng)遠(yuǎn)程控制內(nèi)網(wǎng)的計(jì)算機(jī)有以下幾種方式：被控計(jì)算機(jī)有公網(wǎng)IP地址并設(shè)置好遠(yuǎn)程桌面連接，或者利用類似于QQ軟件的遠(yuǎn)程協(xié)助（前提是被控端要有人同時(shí)在線）；而在本文中重點(diǎn)介紹如何利用動(dòng)態(tài)域名和ISA相結(jié)合，來(lái)實(shí)現(xiàn)外網(wǎng)到內(nèi)網(wǎng)的安全遠(yuǎn)程桌面。
　　首先要進(jìn)行ISA服務(wù)器中的設(shè)置：?jiǎn)?dòng)ISA程序，點(diǎn)擊右側(cè)的“創(chuàng)建新的服務(wù)器發(fā)布規(guī)則”，在出現(xiàn)的界面中輸入規(guī)則名稱，如“遠(yuǎn)程桌面”，點(diǎn)擊“下一步”，
　　在出現(xiàn)的“選擇服務(wù)器”界面中輸入所要遠(yuǎn)程桌面的計(jì)算機(jī)IP地址，如192.168.1.99，并點(diǎn)擊“下一步”。
　　在出現(xiàn)的“選擇協(xié)議”界面中選擇“RDP（終端服務(wù)）”，然后點(diǎn)擊“端口”按鈕，在“端口”界面中“防火墻端口”是默認(rèn)的系統(tǒng)端口3389，“發(fā)布的服務(wù)器端口”也是默認(rèn)3389。設(shè)定完畢后點(diǎn)擊“下一步”。
　　在出現(xiàn)的“IP地址”界面中選擇“外部”，下一步后點(diǎn)擊“完成”其次設(shè)置被遠(yuǎn)程桌面的計(jì)算機(jī)：右鍵“我的電腦”后選擇“屬性”中的“遠(yuǎn)程”標(biāo)簽，然后選擇“允許用戶遠(yuǎn)程連接到此計(jì)算機(jī)”，并點(diǎn)擊“選擇遠(yuǎn)程用戶”按鈕來(lái)授權(quán)指定用戶可以進(jìn)行遠(yuǎn)程桌面連接，最后點(diǎn)擊確定。這樣就方便了網(wǎng)絡(luò)管理員或使用者在外部對(duì)內(nèi)網(wǎng)計(jì)算機(jī)的遠(yuǎn)程控制。
　　通過(guò)上述的設(shè)置后，在動(dòng)態(tài)IP地址的情況下，也可以安全方便的將內(nèi)部的WEB服務(wù)、遠(yuǎn)程桌面服務(wù)進(jìn)行對(duì)外的發(fā)布，而實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)服務(wù)器的訪問(wèn)。
　　參考文獻(xiàn)：
　　[1]顧武雄 Microsoft ISA Server 2006企業(yè)級(jí)防火墻實(shí)戰(zhàn)徹底攻略
　　[2]戴有煒 ISA Server2006防火墻安裝與管理指南
　　[3]張伍榮 Windows Server 2003服務(wù)器架設(shè)與管理（網(wǎng)管實(shí)戰(zhàn)寶典）