关于使用ＩＳＡ代理导致一些网上银行出现不能正常打开的问题

故障现象：

出现部分网上银行不能正常上网的现象．比如中国银行福建网上银行，还有一些其他未使用默认ＳＳＬ端口的网上银行，都提示ＳＳＬrequests错误，例如

错误代码: 502 Proxy Error。The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)

 

故障分析：

ISA防火墙同时是网络防火墙和Web代理服务器。ISA Server的防火墙组件允许它同时执行数据包过滤和应用层状态识别；而Web代理组件允许它作为CERN兼容的HTTP 1.1 Web代理服务器。Web代理组件（实际上是ISA Server 2004防火墙内部的Web代理过滤器）可以对HTTP通信进行解码，执行应用层状态过滤，然后在转发给外部的目的Web服务器时重建HTTP通信。

可是，对于在受ISA防火墙保护的网络中的主机和一台外部网络的Web服务器间建立的SSL连接有点不一样，当内部主机通过ISA防火墙的Web代理组件发起SSL请求时，ISA防火墙可以检查HTTP头或者根据访问规则来执行过滤；但是，当它们之间的SSL连接建立后，由于在它们之间传输的数据实行了SSL隧道加密，ISA防火墙将不能再检查它们之间传输的数据。

在内部Web客户和目的Web服务器之间建立SSL隧道的过程如下所示：

1、内部的Web客户通过在Web浏览器的地址栏中发起一个对目的Web服务器的SSL对象的请求，如

https:URL_Name

2、用户将把这个请求发送到ISA防火墙的8080端口（默认的Web代理侦听端口）；

CONNECT URL_name:443 HTTP/1.1

3、ISA防火墙连接目的Web服务器的443端口；

4、当连接建立后，ISA防火墙返回数据给Web客户；

HTTP/1.0 200 connection established

从此时开始，客户直接和外部的Web服务器通信，而不再经过ISA防火墙的Web代理组件，因此，ISA防火墙不能再对封装在SSL隧道中的数据和命令执行应用层状态识别。

当外部Web服务器使用标准的SSL端口TCP 443时，一切都是很正常的，但是，有时候你的Web代理客户也会使用其他的端口来访问SSLWeb站点，例如，Web代理客户可能会使用端口4433替代443来访问银行的Web站点，这样会导致SNAT客户和防火墙客户产生错误，因为ISA防火墙默认会转发SNAT客户和防火墙客户的HTTP连接到Web代理过滤器，客户可能会看见空白页或者指出该页面不能访问的错误页。

 

故障解决：

这个问题就是Web代理过滤器会转发SSL连接到TCP端口443。如果客户想连接其他不使用TCP 443端口的SSL站点，那么连接尝试将会失败。你可以通过扩展SSL隧道端口范围来解决这个问题。为了做到这一点，你需要下载 Jim Harrison的脚本，然后运行时输入你想让ISA防火墙Web代理组件使用的SSL隧道端口范围。

执行以下步骤以扩展SSL隧道端口范围：

1. 下载 isa_tpr.js 文件，（[url]http://down.isacn.org/scripts/isa_tpr.js[/url]），然后将其复制到ISA防火墙计算机上。注意，不要使用ISA防火墙上的浏览器，也不要在ISA防火墙上运行其他客户端程序，如电子邮件客户端等等；
2. 双击运行 isa_tpr.js ，在第一个对话框上你可以看到你当前的状态信息“This is your current Tunnel Port Range list”，点击确定；
3. 此时，NNTP端口显示出来了，点击确定；
4. 然后，SSL端口显示出来了，点击确定；
5. 现在复制isa_tpr.js这个文件到C盘根目录，然后打开一个命名提示符窗口，输入以下命令：

isa_tpr.js /?

6. 你会看到以下对话框：

7. 为了添加一个新的SSL隧道端口，例如 8848 ，则输入以下命名行，敲回车；

Cscript isa_tpr.js /add Ext8848 8848

8. 此时，你可以看到如下的信息，提示你命令运行成功。

另外，你还可以下载 Steven Soekrasno编写的.NET程序， ISATpre.zip （[url]http://down.isacn.org/utils/ISAtrpe.zip[/url]），然后在ISA防火墙上安装。这个程序提供了一种更为简单的方法来允许你修改SSL隧道端口范围。下图是此程序的运行界面：

输入你想定义的端口范围和名字，然后点击 Add Tunnel Range按钮，再点击 Refresh，你就可以看见列表中新的SSL隧道端口范围。

端口添加完成后，记得重启ISA Server服务。

wasdfg7

1人

了这篇文章

类别： ISA┆阅读( 0)┆评论( 0) ┆ 返回博主首页┆ 返回博客首页

上一篇 ISA 2004 跳出需要验证对话框问题 下一篇 如何强制关闭进程

相关文章

• ISA出现“路由（链）失败”的问题提示的解决..
• ISA Server 2004的锁定模式（Lockdown mode）
• 使用ISA发布内网中多台FTP服务器的最终解决..

职位推荐

• 系统工程师
• 资深运维工程师
• 售前/售后工程师
• Linux系统运维工程师
• 运维工程师

文章评论

 

 

发表评论            

昵  称：

登录  快速注册

验证码：

点击图片可刷新验证码请点击后输入验证码博客过2级，无需填写验证码

内  容：

同时赞一个

每日博报 精彩不止一点

Copyright By 51CTO.COM 版权所有