因此,在 SSL/https 世界中,您只需将一个新的静态公共 IP 地址绑定到防火墙互联网接口,并使用一个 SSL 服务(如https://站点、Outlook Anywhere 或类似 RDP over RCP over HTTPS 的东西)每个公共 IP 地址 - 因为像使用 HTTP 使用主机头/别名那样每个 IP 地址使用多个通常是不可能的......
...但是,在我的这个实验室中,我只能获得动态公共 IP 地址。启用多个 SSL 服务有点问题,但我当然想尝试一下 ^^
我看到两种可能性(如果有的话):
以某种方式让防火墙接口(目前运行 Windows 2003 和 ISA 2006)使用 DHCP 请求和绑定多个公共 IP 地址。使用桥接、MAC 欺骗或其他方式作弊,将多个地址分配给同一个逻辑防火墙接口?遗憾的是,仅添加另一个 NIC 不受支持,因为 ISA 不会有多个外部逻辑接口(但它可以有任意数量的(通常是静态的)IP 地址)。
使用 ISA(具有通配符证书)的一些巧妙技巧,将不同主机名的传入 SSL 请求拼接到不同的内部 SSL 服务。我记得这是一些尚未得到广泛支持的互联网新功能,使用类似主机头的 SSL 流量检查。但由于 ISA 应该能够在本地终止任何 SSL 连接,然后将它们桥接到内部服务 - 即使使用旧式标准,它难道不应该能够检查主机头并做一些有用的事情吗?
到目前为止,除了尝试说服 ISP 出售一些静态租约或干脆放弃并为每个 SSL 服务设置另一个单独的 ISA 之外,我还没有想到一个涉及这两个问题的好的解决方案。在生产站点,这不是问题,只需根据需要将给定的静态 IP 地址数量添加到外部防火墙接口即可。
我很乐意听取好的想法 - 也许我只是忽略了一些非常明显的事情^^
答案1
一些简单而明显的事情:为每个服务使用不同的端口!