ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Чаще всего проблемы соединения с брандмауэром ISA связаны с DNS-сервером и разрешением имени хоста. Если инфраструктура разрешения имен в организации настроена неправильно, то одним из первых от неправильного разрешения имен пострадает брандмауэр ISA. Брандмауэр ISA должен правильно разрешать как корпоративные DNS-имена, так и имена из Интернета. Брандмауэр ISA выполняет разрешение имен для клиентов Web-прокси и для клиентов брандмауэра. Если брандмауэр не может правильно выполнять разрешение имен, то клиентам Web-прокси и клиентам брандмауэра не удастся установить соединение с Интернетом. Правильное разрешение имен для ресурсов корпоративной сети также является критически важным, потому что брандмауэр ISA должен правильно разрешать имена для ресурсов корпоративной сети, опубликованных по правилам Web-публикации. Например, при создании правила Web-публикации по протоколу SSL брандмауэр ISA должен правильно перенаправлять входящие запросы на соединение на FQDN-имя (Fully Qualified Domain Name, полное имя домена), используемое для обычного имени на сертификате Web-сайта, связанного с опубликованным Webсервером в корпоративной сети. Идеальной инфраструктурой разрешения имен является расщепленная DNS, позволяющая внешним хостам разрешать имена в общедоступные адреса, а хостам корпоративной сети разрешать имена в частные адреса. На рис. 6.2 показано, как действует расщепленная инфраструктура DNS при разрешении имен для хостов в корпоративной сети, а также хостов, «блуждающих» между корпоративной сетью и удаленными узлами в Интернете. 1. Удаленному пользователю нужно получить доступ к ресурсам на корпоративном Web-сервере www.msfirewall.org, который обслуживается в Сети под защитой брандмауэра ISA и опубликован с помощью правила Web-публикации брандмауэра ISA. Удаленный пользователь отправляет запрос на www.msfirewall.org, и общий DNS-сервер, отвечающий за этот домен, выполняет разрешение имени в IP-адрес на внешнем интерфейсе брандмауэра ISA с помощью Web-приемника, указанного в правиле Web-публикации. 2. Удаленный Web-клиент отправляет запрос на IP-адрес на внешнем интерфейсе, используемом Web-приемником для правил Web-публикации. 3. Брандмауэр ISA разрешает имя www.