服务器发布：

　　服务器发布简单地说就是把内网或DMZ的服务器发布到ISA的外网网卡上，让外网用户通过ISA的外网IP就能访问到被发布的服务器。但为什么需要用发布规则呢?为什么不能用访问内规则呢?什么时候该用访问规则，什么时候该用发布规则取决于源网络和目标网络的网络规则如果源网络和目标网络间的网络规则允许访问，那我们就应该使用访问规则;如果源网络和目标网络间的网络规则不允许访问，那我们就应该使用发布规则。举个例子，内网到外网的网络关系是NAT，网络规则允许从内网到外网单向访问。如果内网访问外网的服务器，我们应该用访问规则;但如果外网要访问内网的服务器，就只能通过发布规则了。

　　什么是DMZ区域：

　　DMZ区域又称为“隔离区”或者“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些公司对外开放的服务器，例如Web服务器，Ftp服务器，邮件服务器等。其实从ISA的角度来看，DMZ就是一个网络。为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的，但把发布服务器放在内网并非非常好的选择，因为内网中还有其他的计算机，这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户，财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内网，对我们进行访问控制是不利的。一旦发布服务器出现安全问题，有可能会危及内网其他计算机的安全。因此比较安全的解决方法是把发布的服务器放在一个单独的隔离网络中，管理员针对隔离网络进行有别于内网的安全配置，这样一来的话显然对安全更加有利。

　　下面我们就结合一个实例来看一下如何发布DMZ区域中的服务器，各种服务器的发布步骤是大同小异，我们在此就以最常见的WEB服务器为例：

　　实例：发布DMZ区域中的WEB服务器

　　说明：

　　ISA 有三张网卡：

　　外网：192.168.2.157         内网:192.168.1.1        DMZ:192.168.2.1

　　WEB服务器：192.168.2.2

　　步骤1：创建DMZ网络

　　在ISA Server上手工创建DMZ网络，网络范围是192.168.2.0—192.168.2.255。这个工作我们也可以通过ISA2006自带的三向外围防火墙模板来进行，因为涉及到网络环境的问题，一般在国内大家都手动创建DMZ网络，因为国外公司的DMZ使用的往往是公网地址，而国内DMZ使用的大多是私网地址。

　　现在我们开始创建DMZ，在Beijing上打开ISA管理器，如下图所示，选择新建网络。

▲

　　为新创建的网络命名为DMZ。

　　网络类型是外围网络。

　　DMZ的地址范围是192.168.2.0-192.168.2.255。

　　如下图所示，我们成功地完成了DMZ网络的创建。

　　步骤2：创建网络规则

　　DMZ网络创建完毕后，我们需要创建DMZ网络和其他网络之间的网络规则。因为我们知道，ISA处理数据的访问请求，首先考虑的是这个数据包的源网络和目标网络的网络规则，因此网络规则决定了两个网络之间数据通讯的方向性和可能性。网络规则的设定取决于实际的访问需求，在此实例中，希望内网用户和外网用户都可以访问DMZ的资源，同时DMZ的服务器需要对外网进行访问。基于这个需求，我们可以把网络规则设定为从内网到DMZ是NAT，从DMZ到外网是NAT。为什么DMZ到外网不设定为路由呢?因为DMZ使用的是内网地址，外网用户无法直接访问这些IP地址。

　　上打开ISA管理器，如下图所示，选择“创建网络规则”。

　　为网络规则命名为“从内网到DMZ”。

　　源网络是内网。

　　目标网络是DMZ。

　　源网络到目标网络的网络关系设定为NAT。

　　这样我们就设定了从内网到DMZ的网络关系是NAT，用同样的方法，我们设定从DMZ到外网的网络关系是NAT。操作方法是相同的，只是注意一下源和目标，在此不再详细论述。

　　步骤3：创建防火墙访问规则

　　在此实例中，我们希望内网能够访问DMZ，由于内网和DMZ的网络关系是NAT，因此我们应该通过访问规则来完成这个任务。

　　下面我们来具体创建访问规则，打开ISA管理器，如下图所示，选择新建“访问规则”。

　　访问规则可以命名为“允许为内网访问DMZ”。

　　当访问请求符合规则时允许访问请求的操作、允许所有的出站通讯、规则源是内部、目标网络是DMZ、所有用户等， 如下图所示，即可完成访问规则的创建。

　　这个时候，如果DMZ区域有WEB服务或者是其他服务器就可以直接访问了，如我们在内网的客户机上访问DMZ的WEB服务器：

　　至于DMZ区域上WEB服务器的搭建，可以参考中小企业网络构建十步法之五：轻松组建WEB服务器, http://wireless.it168.com/a2011/1130/1281/000001281774.shtml

　　步骤4：创建发布规则

　　在此实例中我们还希望DMZ的服务器能够发布到外网，以让外网的客户也能够访问到此WEB服务器。在这种情况下我们应该使用发布规则来完成任务。

　　我们为发布规则命名为“发布DMZ上的WEB服务器”。

　　因为是WEB服务器，所以在此使用的是网站发布规则，否则就使用非WEB服务器协议发布规则。

　　输入名WEB发布规则名称及规则操作后，出现下图：

　　因为在此我们发布的是单独的网站，所以选择发布单个网站或负载平衡器。

　　因为没有启用HTTPS安全功能，所以选择第二项，使用HTTP连接到WEB服务器。

　　在此输入站点名称和IP地址。

　　路径：/*，如果要求用户使用域名访问的话，应该选中“转发原始主机头而不是前一页的内部站点名称字段中指定的实际主机头”。

　　在“公共名称细节”选项中选择“任何域名”，然后出现下图：

　　在此我们需要为此发布服务器创建一个侦听器，因为外网用户只能访问到ISA的外网网卡，那么就需要在外网网卡上进行侦听，如下图所示：

　　然后，回到发布规则中继续下面的操作：

　　在此界面中选择相应的“身份验证委派”类型，然后下一步。

　　在此，我们不对用户做限制，所以选择所有用户。

　　这个时候完成之后，我们就会看到，服务器的外网网卡会侦听80口，如图所示：

　　所以在前面安装的时候，我们强调80端口不要占用，就是在此使用，如果发布不成功的话，可以检查是否有其他应用在占用80端口。

　　整个过程完成后，我们在外网找台机器(10.168.2.158)上测试一下，用此客户端来访问DMZ上的WEB服务器，但客户访问的是ISA Server 外网网卡的80端口。如下图所示：

　　服务器的发布操作就这么简单，其他服务器的操作可参考此过程，操作过程基本相同，在此不再做论述，有问题欢迎留言讨论。