在ISA2006以SSL-TO-HTTP方式发布内部的WEB服务器（一）

核心提示：一、为何做此实验，写此文公司有一台OA服务器，在ISA2006以SSL-TO-HTTP方式发布内部的WEB服务器（一），使用的是厂商集成安装模式（windows+php+apache+mysql），并对外开放WEB访问，实现外部安全访问公司内部的OA服务器，四、实现及原理简要分析ISA SERVER 2004及2006

一、为何做此实验，写此文

公司有一台OA服务器，使用的是厂商集成安装模式（windows+php+apache+mysql），并对外开放WEB访问。此种情况下，面临几个问题：

一是WEB客户端与OA服务器交互没有安全性可言。

二是公司不愿意花钱去购置如硬件的SSL-VPN的解决方案。

三是对于IT管理人员，不愿意改变现有的系统和网络架构，从而导致管理的更加复杂化。

如此只有从管理、软件购置（如升级OA能有SSL模块的支持）、硬件购置等成本的最小化来着手了。

因为一直学习和研究ISA，突然想到ISA 2004开始就支持SSL-TO-HTTP的发布方式，而正好，公司也有一台ISA机器被我在使用，何不用来测试下？主意打定后，就开始了测试之旅，当然，还是挺顺利的完成了，并把一些重要的步骤写下来，供与各位交流。

二、要了解的知识点

实现此解决方案要首先了解一些知识点，尤其是需要用到CA方面技术知识，而这此又相对复杂点，还请各位提前备些此方面的能力。在这篇实验文章里，并不会过多的讲解。

1、ISA SERVER 发布WEB服务器

2、SSL 相关 （包括ssl-to-ssl隧道模式、桥接模式）

3、CA相关（工作组下，独立根CA的建立）

4、WEB服务及端口相关

5、PING NETSTAT等命令的使用

注：在此实验中，我使用的是WINDOWS 2003企业版自带的证书服务来做的证书，实际生产环境中，建议与数字证书服务机构洽购。且并不会在实验中过多的讲述微软证书服务实现的流程。

三、目的

目的很简单，利用现有的网络架构，达到在节省成本的同时，实现外部安全访问公司内部的OA服务器。

四、实现及原理简要分析

ISA SERVER 2004及2006主机充当代理服务器（代理内部用户上网，此境中主要是让OA服务器的网关为ISA的内部IP）、防火墙（HTTP筛选）、证书服务等角色。