利用动态域名与ISA实现对外服务的安全发布

　　摘要 本文以本单位网络环境为背景，重点介绍了如何利用动态域名与ISA2004相结合，实现对外WEB、远程桌面服务的安全发布。
　　关键词 动态域名 ISA 远程桌面
　　中图分类号：TP30文献标识码：A 文章编号：1672-3791 (2010)2(a)-0000-00
　　
　　前言
　　现在大部分服务器操作系统都提供了WEB、远程控制、VPN等服务功能，但是由于现在公网IP地址的缺乏以及成本相对较高，绝大部分Internet用户上网的时候分配到的IP地址是ISP提供的动态IP地址。而服务器操作系统所提供的服务都要求有对应的固定IP地址，所以想利用常规的域名解析提供上述服务是不大可能的。而有了动态域名与Microsoft® Internet Security and Acceleration2004相结合，就可以实现对外WEB、远程控制、VPN等服务的安全发布。
　　一、相关技术简介
　　1、动态域名：
　　用户每次上网得到新的动态分配的IP地址之后，安装在用户计算机里的动态域名软件就会把这个IP地址发送到动态域名解析服务器，更新域名解析数据库。Internet上的其他人要访问这个域名的时候，动态域名解析服务器会返回正确的IP地址给他，这叫动态域名。
　　2、ISA：
　　ISA是一款微软出品的著名路由级网络防火墙。其主要功能有：（1）防火墙（firewall），可以用它安全地发布（publishing）企业内部的服务器.（2）虚拟专用网（VPN）可以让远程用户与局域网(LAN)之间通过因特网来建立一个安全的通道。
　　3、远程桌面
　　远程桌面是windows系统的组件。通过它可以实现用户在网络的另一端控制服务器的功能，运行程序就好象操纵自己本地计算机一样简单。
　　二、动态域名的配置
　　本文以http://domain.oray.cn/网站所提供的免费域名为例进行说明
　　（1）申请免费域名
　　本文以申请到的84569456.vicp.net为例进行说明。
　　（2）安装客户端软件
　　在上述网站中下载并安装客户端软件，并将其安装在和外网连接的服务器中。
　　三、安装ISA 2004中文版
　　将ISA2004中文版安装在和外网连接的服务器（ISA）中。
　　四、动态域名与ISA在我单位的应用
　　（1）我单位网络概况
　　我单位网络主要分教学机房网络和办公区网络两部分，其中以教学机房为核心，通过交换机与办公区网络、教学机房、内部服务器相连接，通过ISA服务器连接Internet网络。
　　（2）我单位网络系统
　　我单位服务器主要有两台，一台为ISA服务器，内置双网卡，一块网卡连接内部网络（192.168.1.1/24），一块连接外部网络（IP地址为自动获取）；一台为内部WEB服务器（192.168.1.100/24）。
　　为了方便学员在外网也可以方便的访问WEB服务器进行网络考试练习和下载相关学习资料，所以要将WEB服务器发布到外网，利用动态域名系统和ISA相结合，将WEB服务器发布到外网，即便于对服务器的维护，又降低了成本，而且安全，发布过程也比较简单。
　　在实际工作中，我单位的服务器系统偶尔会出现意想不到的故障。这时就要求网络管理人员及时排除故障。如果网络管理人员在外地，就不能及时的排除故障，此时如果网络管理人员能在外地通过远程来对服务器进行控制，那么就可以快速的排除故障。所以通过动态域名与ISA服务器的结合，就可以保证服务器在线及安全。下面就我单位实际情况来进行简要的说明。
　　（3）利用ISA发布Web服务器
　　准备环境：首先在内部网络中布置好WEB服务器，内网用户可以正常访问，外网用户无法访问。
　　启动ISA软件后点击右侧任务栏中的“发布一个WEB服务器”，在出现的界面中输入Web发布规则名称后点击“下一步”。在出现的“请选择规则操作”界面中选择“允许”并点击“下一步”。在出现的“请定义要发布的网站”界面中输入内部WEB服务器的计算机名或IP地址192.168.1.100，路径选项为空，点击“下一步”。
　　在出现的“公共名称细节”界面中输入所申请的域名，路径为空，点击下一步。在出现的“选择Web侦听器”界面中点击“新建”按钮，在出现的“新建WEB侦听器定义向导”界面中输入侦听器的名称后点击“下一步”。在出现的“IP地址”界面中选择外部，点击“下一步”。在出现的“端口指定”界面中选择“启用HTTP”，端口为80，点击“下一步”后完成。
　　WEB侦听器建立完毕后点击“下一步”，用户为所有用户，最后点击完成。
　　这样就完成了利用ISA发布WEB服务器的过程，下面来验证一下结果，在任意一台外网的计算机上输入http://84569456.vicp.net回车后即可浏览原来只能在内网浏览的WEB服务器。
　　（4）利用ISA发布远程桌面
　　在现在的网络环境中，要想从外网远程控制内网的计算机有以下几种方式：被控计算机有公网IP地址并设置好远程桌面连接，或者利用类似于QQ软件的远程协助（前提是被控端要有人同时在线）；而在本文中重点介绍如何利用动态域名和ISA相结合，来实现外网到内网的安全远程桌面。
　　首先要进行ISA服务器中的设置：启动ISA程序，点击右侧的“创建新的服务器发布规则”，在出现的界面中输入规则名称，如“远程桌面”，点击“下一步”，
　　在出现的“选择服务器”界面中输入所要远程桌面的计算机IP地址，如192.168.1.99，并点击“下一步”。
　　在出现的“选择协议”界面中选择“RDP（终端服务）”，然后点击“端口”按钮，在“端口”界面中“防火墙端口”是默认的系统端口3389，“发布的服务器端口”也是默认3389。设定完毕后点击“下一步”。
　　在出现的“IP地址”界面中选择“外部”，下一步后点击“完成”其次设置被远程桌面的计算机：右键“我的电脑”后选择“属性”中的“远程”标签，然后选择“允许用户远程连接到此计算机”，并点击“选择远程用户”按钮来授权指定用户可以进行远程桌面连接，最后点击确定。这样就方便了网络管理员或使用者在外部对内网计算机的远程控制。
　　通过上述的设置后，在动态IP地址的情况下，也可以安全方便的将内部的WEB服务、远程桌面服务进行对外的发布，而实现外网对内网服务器的访问。
　　参考文献：
　　[1]顾武雄 Microsoft ISA Server 2006企业级防火墙实战彻底攻略
　　[2]戴有炜 ISA Server2006防火墙安装与管理指南
　　[3]张伍荣 Windows Server 2003服务器架设与管理（网管实战宝典）