扩展SSL隧道端口范围
ISA防火墙同时是网络防火墙和Web代理服务器。ISA Server的防火墙组件容许它同时执行数据包过滤和应用层状态识别;而Web代理组件容许它做为CERN兼容的HTTP 1.1 Web代理服务器。Web代理组件(其实是ISA Server 2006防火墙内部的Web代理过滤器)能够对HTTP通讯进行解码,执行应用层状态过滤,而后在转发给外部的目的Web服务器时重建HTTP通讯。
但是,对于在受ISA防火墙保护的网络中的主 机和一台外部网络的Web服务器间创建的SSL链接有点不同,当内部主机经过ISA防火墙的Web代理组件发起SSL请求时,ISA防火墙能够检查 HTTP头或者根据访问规则来执行过滤;可是,当它们之间的SSL链接创建后,因为在它们之间传输的数据实行了SSL隧道加密,ISA防火墙将不能再检查 它们之间传输的数据。
在内部Web客户和目的Web服务器之间创建SSL隧道的过程以下所示:
一、内部的Web客户经过在Web浏览器的地址栏中发起一个对目的Web服务器的SSL对象的请求,如
https:URL_Name
二、用户将把这个请求发送到ISA防火墙的8080端口(默认的Web代理侦听端口);
CONNECT URL_name:443 HTTP/1.1
三、ISA防火墙链接目的Web服务器的443端口;
四、当链接创建后,ISA防火墙返回数据给Web客户;
HTTP/1.0 200 connection established
今后时开始,客户直接和外部的Web服务器通讯,而再也不通过ISA防火墙的Web代理组件,所以,ISA防火墙不能再对封装在SSL隧道中的数据和命令执行应用层状态识别。
当外部Web服务器使用标准的 SSL端口TCP 443时,一切都是很正常的,可是,有时候你的Web代理客户也会使用其余的端口来访问SSLWeb站点,例如,Web代理客户可能会使用端口8433替 代443来访问某个Web站点,这样会致使SNAT客户和防火墙客户产生错误,由于ISA防火墙默认会转发SNAT客户和防火墙客户的HTTP链接到 Web代理过滤器,客户可能会看见空白页或者指出该页面不能访问的错误页。
这个问题就是Web代理过滤器会转发SSL链接到TCP端口443。若是客户想链接其余不使用TCP 443端口的SSL站点,那么链接尝试将会失败。你能够经过扩展SSL隧道端口范围来解决这个问题。为了作到这一点,你须要下载ISA_tpr.js的脚本,而后运行时输入你想让ISA防火墙Web代理组件使用的SSL隧道端口范围。
执行如下步骤以扩展SSL隧道端口范围:
二、在命令提示符下输入:cscript isa_tpr.js /show 显示以下。
C:\>cscript isa_tpr.js /show
Microsoft (R) Windows Script Host Version 5.6
版权全部(C) Microsoft Corporation 1996-2001。保留全部权利。
This is your current Tunnel Port Range list:
NNTP (single port): 563
SSL (single port): 443
Microsoft (R) Windows Script Host Version 5.6
版权全部(C) Microsoft Corporation 1996-2001。保留全部权利。
This is your current Tunnel Port Range list:
NNTP (single port): 563
SSL (single port): 443
三、输入命令:C:\>cscript isa_tpr.js /add SSL8443 8443 显示以下。
Microsoft (R) Windows Script Host Version 5.6
版权全部(C) Microsoft Corporation 1996-2001。保留全部权利。
The Web Proxy service should be restarted to pick up the change.
This is the definition for SSL8443:
SSL8443 (single port): 8443
四、再用C:\>cscript isa_tpr.js /show 命令能够查看添加结果。
C:\>cscript isa_tpr.js /show
Microsoft (R) Windows Script Host Version 5.6
版权全部(C) Microsoft Corporation 1996-2001。保留全部权利。
This is your current Tunnel Port Range list:
NNTP (single port): 563
SSL (single port): 443
SSL8443 (single port): 8443
五、
端口添加完成后,记得重启ISA Server服务。
相关文章
- 1. shadowmap2,扩展z值范围
- 2. ssh端口(隧道)转发
- 3. CC2592RGVR 射频范围扩展器2.4GHz
- 4. easyui扩展-日期范围选择.
- 5. ssh隧道 (正向,反向,动态隧道 )反弹端口
- 6. ssh端口转发(ssh隧道)详解
- 7. 修改linux端口范围 ip_local_port_range
- 8. 宝塔端口修改范围!
- 9. kubeadm 更改NodePort端口范围
- 10. 查看系统端口启动范围
- 更多相关文章...
- • Kotlin 扩展 - Kotlin 教程
- • Swift 扩展 - Swift 教程
- • 算法总结-滑动窗口
- • Docker容器实战(一) - 封神Server端技术
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. js中 charCodeAt
- 2. Android中通过ViewHelper.setTranslationY实现View移动控制(NineOldAndroids开源项目)
- 3. 【Android】日常记录:BottomNavigationView自定义样式,修改点击后图片
- 4. maya 文件检查 ui和数据分离 (一)
- 5. eclipse 修改项目的jdk版本
- 6. Android InputMethod设置
- 7. Simulink中Bus Selector出现很多? ? ?
- 8. 【Openfire笔记】启动Mac版Openfire时提示“系统偏好设置错误”
- 9. AutoPLP在偏好标签中的生产与应用
- 10. 数据库关闭的四种方式
欢迎关注本站公众号,获取更多信息
