故障現象:
出現部分網上銀行不能正常上網的現象.比如中國銀行福建網上銀行,還有一些其他未使用默認SSL端口的網上銀行,都提示SSLrequests錯誤,例如
- 錯誤代碼: 502 Proxy Error。The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)
故障分析:
ISA防火牆同時是網絡防火牆和Web代理服務器。ISA Server的防火牆組件允許它同時執行數據包過濾和應用層狀態識別;而Web代理組件允許它作爲CERN兼容的HTTP 1.1 Web代理服務器。Web代理組件(實際上是ISA Server 2004防火牆內部的Web代理過濾器)可以對HTTP通信進行解碼,執行應用層狀態過濾,然後在轉發給外部的目的Web服務器時重建HTTP通信。
可是,對於在受ISA防火牆保護的網絡中的主機和一臺外部網絡的Web服務器間建立的SSL連接有點不一樣,當內部主機通過ISA防火牆的Web代理組件發起SSL請求時,ISA防火牆可以檢查HTTP頭或者根據訪問規則來執行過濾;但是,當它們之間的SSL連接建立後,由於在它們之間傳輸的數據實行了SSL隧道加密,ISA防火牆將不能再檢查它們之間傳輸的數據。
在內部Web客戶和目的Web服務器之間建立SSL隧道的過程如下所示:
1、內部的Web客戶通過在Web瀏覽器的地址欄中發起一個對目的Web服務器的SSL對象的請求,如
https:URL_Name
2、用戶將把這個請求發送到ISA防火牆的8080端口(默認的Web代理偵聽端口);
CONNECT URL_name:443 HTTP/1.1
3、ISA防火牆連接目的Web服務器的443端口;
4、當連接建立後,ISA防火牆返回數據給Web客戶;
HTTP/1.0 200 connection established
從此時開始,客戶直接和外部的Web服務器通信,而不再經過ISA防火牆的Web代理組件,因此,ISA防火牆不能再對封裝在SSL隧道中的數據和命令執行應用層狀態識別。
當外部Web服務器使用標準的SSL端口TCP 443時,一切都是很正常的,但是,有時候你的Web代理客戶也會使用其他的端口來訪問SSLWeb站點,例如,Web代理客戶可能會使用端口4433替代443來訪問銀行的Web站點,這樣會導致SNAT客戶和防火牆客戶產生錯誤,因爲ISA防火牆默認會轉發SNAT客戶和防火牆客戶的HTTP連接到Web代理過濾器,客戶可能會看見空白頁或者指出該頁面不能訪問的錯誤頁。
故障解決:
這個問題就是Web代理過濾器會轉發SSL連接到TCP端口443。如果客戶想連接其他不使用TCP 443端口的SSL站點,那麼連接嘗試將會失敗。你可以通過擴展SSL隧道端口範圍來解決這個問題。爲了做到這一點,你需要下載Jim Harrison的腳本,然後運行時輸入你想讓ISA防火牆Web代理組件使用的SSL隧道端口範圍。
執行以下步驟以擴展SSL隧道端口範圍:
1、下載isa_tpr.js文件,拷貝到ISA服務器上,http://down.51cto.com/data/215229#,這個我已經下載了,負載本文章的附件裏了
2、運行,在第一個對話框上可看到當前狀態信息“This is your current Tunnel Port Range list”,點確定
3、此時,NNTP端口顯示出來了,點擊確定
4、然後,SSL端口顯示出來了,點擊確定
5、現在複製isa_tpr.js這個文件到C盤根目錄,然後打開一個命名提示符窗口,輸入以下命令:isa_tpr.js /?
6、添加一個新的 SSL 隧道端口,例如 8848,輸入:Cscript isa_tpr.js /add Ext8848 8848
7、此時,你可以看到如下的信息,提示你命令運行成功
另外,你還可以下載Steven Soekrasno編寫的.NET程序,ISATpre.zip,然後在ISA上安裝即可。
端口添加完成後,記得重啓ISA Server服務!
注意:以上的情況都只是通過Web代理過濾器訪問HTTP協議的情況,如果你對HTTP協議取消了Web代理過濾器的識別,SNAT客戶和防火牆客戶通過ISA的HTTP訪問將不會轉發到Web代理過濾器。此時,你可以通過定義一個使用其他SSL端口的協議和允許訪問此協議的出站訪問規則來實現客戶對外部非標準SSL端口Web站點的訪問。