一般Clients通过ISA 防火墙连接Https服务器建立连接的过程如下:
1、内部的Web客户通过在Web浏览器的地址栏中发起一个对目的Web服务器的SSL对象的请求,如
https:URL_Name
2、浏览器把这个请求发送到ISA防火墙的8080端口(默认的Web代理侦听端口);
CONNECT URL_name:443 HTTP/1.1
3、ISA防火墙连接目的Web服务器的443端口;
4、当连接建立后,ISA防火墙返回数据给Web客户;
HTTP/1.0 200 connection established
此时开始,客户直接和外部的Web服务器通信,而不再经过ISA防火墙的Web代理组件,因此,ISA防火墙不能再对封装在SSL隧道中的数据和命令执行应用层状态识别, 即不流量不会被缓冲。同时要注意一点,对ISA防火墙来说(ISA2000中Proxy和firewall是二个不同的组件,但它们在ISA2004中被整合)微软默认定义的Https隧道端口只是TCP443,所以如果有些站点比如说我们可能用到某些网上银行的服务,此时如果该Web站点使用的非标准ssl端口,则ISA防火墙还是连接目标服务器443端口,所以导致连接不能建立通信失败。下面有二个工具可以让你通过它们来修改配置文件中默认定义的ssl端口
一、ISA_SSL端口扩展工具
二、ISA_SSL端口扩展工具