当ISA网络中的一台主机和外部一台Web服务器建立SSL通讯时,ISA将不能再检查他们之间的传输数据。
1、内部Web客户端通过浏览器发起一个对目的Web服务器的SSL连接请求,https:\URL;
2、用户将这个请求发送到 ISA 的 8080 端口,connect URL: HTTP 1.1;
3、ISA连接目的Web服务器的443端口;
4、当建立连接后返回数据给客户端。
从此开始客户端直接和外部Web服务器通讯,ISA无法再对封装在SSL中的数据进行应用层状态识别。
443
但是有时候Web客户端可能会用其他端口来连接Web服务器,比如一些银行站点使用4433端口,这样就会导致无法正常访问这些站点,解决方法就是通过扩展SSL隧道端口的范围:
1、下载isa_tpr.js文件,拷贝到ISA服务器上,http://down.isacn.org/scripts/isa_tpr.js
2、运行,在第一个对话框上可看到当前状态信息“This is your current Tunnel Port Range list”,点确定
3、此时,NNTP端口显示出来了,点击确定
4、然后,SSL端口显示出来了,点击确定
5、现在复制isa_tpr.js这个文件到C盘根目录,然后打开一个命名提示符窗口,输入以下命令:isa_tpr.js /?
6、添加一个新的 SSL 隧道端口,例如 8848,输入:Cscript isa_tpr.js /add Ext8848 8848
7、此时,你可以看到如下的信息,提示你命令运行成功
另外,你还可以下载Steven Soekrasno编写的.NET程序,ISATpre.zip,然后在ISA上安装即可。
端口添加完成后,记得重启ISA Server服务!
注意:以上的情况都只是通过Web代理过滤器访问HTTP协议的情况,如果你对HTTP协议取消了Web代理过滤器的识别,SNAT客户和防火墙客户通过ISA的HTTP访问将不会转发到Web代理过滤器。此时,你可以通过定义一个使用其他SSL端口的协议和允许访问此协议的出站访问规则来实现客户对外部非标准SSL端口Web站点的访问。
