熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

擴展ISA 2004防火牆的SSL隧道端口范圍

2013-11-23 21:50:48  來源: Windows服務器 

  ISA防火牆同時是網絡防火牆和Web代理服務器ISA Server的防火牆組件允許它同時執行數據包過濾和應用層狀態識別而Web代理組件允許它作為CERN兼容的HTTP Web代理服務器Web代理組件(實際上是ISA Server 防火牆內部的Web代理過濾器)可以對HTTP通信進行解碼執行應用層狀態過濾然後在轉發給外部的目的Web服務器時重建HTTP通信
  
  可是對於在受ISA防火牆保護的網絡中的主機和一台外部網絡的Web服務器間建立的SSL連接有點不一樣當內部主機通過ISA防火牆的Web代理組件發起SSL請求時ISA防火牆可以檢查HTTP頭或者根據訪問規則來執行過濾但是當它們之間的SSL連接建立後由於在它們之間傳輸的數據實行了SSL隧道加密ISA防火牆將不能再檢查它們之間傳輸的數據
  
  在內部Web客戶和目的Web服務器之間建立SSL隧道的過程如下所示
  
  內部的Web客戶通過在Web浏覽器的地址欄中發起一個對目的Web服務器的SSL對象的請求
  
  https:URL_Name
  
  用戶將把這個請求發送到ISA防火牆的端口(默認的Web代理偵聽端口)
  
  CONNECT URL_name: HTTP/
  
  ISA防火牆連接目的Web服務器的端口
  
  當連接建立後ISA防火牆返回數據給Web客戶
  
  HTTP/ connection established
  
  從此時開始客戶直接和外部的Web服務器通信而不再經過ISA防火牆的Web代理組件因此ISA防火牆不能再對封裝在SSL隧道中的數據和命令執行應用層狀態識別
  
  當外部Web服務器使用標准的SSL端口TCP 一切都是很正常的但是有時候你的Web代理客戶也會使用其他的端口來訪問SSLWeb站點例如Web代理客戶可能會使用端口替代來訪問銀行的Web站點這樣會導致SNAT客戶和防火牆客戶產生錯誤因為ISA防火牆默認會轉發SNAT客戶和防火牆客戶的HTTP連接到Web代理過濾器客戶可能會看見空白頁或者指出該頁面不能訪問的錯誤頁
  
  這個問題就是Web代理過濾器會轉發SSL連接到TCP端口如果客戶想連接其他不使用TCP 端口的SSL站點那麼連接嘗試將會失敗你可以通過擴展SSL隧道端口范圍來解決這個問題為了做到這一點你需要下載Jim Harrison的腳本然後運行時輸入你想讓ISA防火牆Web代理組件使用的SSL隧道端口范圍
  
  執行以下步驟以擴展SSL隧道端口范圍
  
  下載 isa_tprjs 文件(_tprjs)然後將其復制到ISA防火牆計算機上注意不要使用ISA防火牆上的浏覽器也不要在ISA防火牆上運行其他客戶端程序如電子郵件客戶端等等
  雙擊運行 isa_tprjs 在第一個對話框上你可以看到你當前的狀態信息This is your current Tunnel Port Range list點擊確定
  此時NNTP端口顯示出來了點擊確定
  然後SSL端口顯示出來了點擊確定
  現在復制isa_tprjs這個文件到C盤根目錄然後打開一個命名提示符窗口輸入以下命令
  isa_tprjs /?
  
  你會看到以下對話框
  
 

  為了添加一個新的SSL隧道端口例如 則輸入以下命名行敲回車
  Cscript isa_tprjs /add Ext
  
  此時你可以看到如下的信息提示你命令運行成功
  
 

  另外你還可以下載Steven Soekrasno編寫的NET程序ISATprezip()然後在ISA防火牆上安裝這個程序提供了一種更為簡單的方法來允許你修改SSL隧道端口范圍下圖是此程序的運行界面
  

  輸入你想定義的端口范圍和名字然後點擊Add Tunnel Range按鈕再點擊Refresh你就可以看見列表中新的SSL隧道端口范圍
  
  注意以上的情況都只是通過Web代理過濾器訪問HTTP協議的情況如果你對HTTP協議取消了Web代理過濾器的識別SNAT客戶和防火牆客戶通過ISA防火牆的HTTP訪問將不會轉發到Web代理過濾器此時你可以通過定義一個使用其他SSL端口的協議和允許訪問此協議的出站訪問規則來實現客戶對外部非標准SSL端口(TCP )的Web站點的訪問
  

From:http://tw.wingwit.com/Article/os/fwq/201311/29775.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.