当创建安全 Web 发布规则时,应指定发布模式:隧道或桥接。有关详细信息,请参阅安全 Web 发布规则。
在这两种模式下,ISA Server 2004 都可以在超文本传输协议 (HTTP) 数据包通过防火墙时读取其内容。当远程用户使用安全套接字层 (SSL) 保护的 HTTP 连接连接到 ISA 服务器时,会出现问题。SSL 加密 HTTP 应用层信息,并阻止防火墙对这些数据包执行监控状态检查。
ISA 服务器 SSL 到 SSL 桥接功能允许对 SSL 连接进行监控状态检查,并阻止攻击者在 SSL 通道中隐藏不轨的意图。ISA 服务器解密数据包,检查其中是否存在攻击代码,然后将其重新加密。重新加密的数据包会转发到公司网络中的安全 SSL Web 服务器上。
例如,在发布(或反向代理)方案中,ISA 服务器可以通过终止客户端发起的 SSL 连接并重新打开与 Web 服务器的新连接来处理客户端 SSL 请求。
在 ISA 服务器结束或启动 SSL 连接时,会使用 SSL 桥接。具体地说,SSL 桥接以下列方案工作:
对于传入的 Web 请求,外部客户端使用 HTTPS 向位于内部网络中的 Web 服务器请求对象。客户端连接到 ISA 服务器上的端口。默认情况下,为 443 端口。在这种情况下,ISA 服务器将服务器端的 SSL 证书作为响应返回给客户端。
在此方案中,必须配置 ISA 服务器在 443 端口上侦听 SSL 请求,并且必须指定服务器证书。
收到客户端的请求后,ISA 服务器对其解密,并终止 SSL 连接。Web 发布规则决定了 ISA 服务器如何将对象请求发送到发布 Web 服务器(FTP、HTTP 或 SSL)。
如果配置了安全 Web 发布规则来使用 HTTPS 转发请求,ISA 服务器将启动与发布服务器的新 SSL 连接,并向 443 端口发送请求。由于 ISA 服务器计算机现在是 SSL 客户端,因此它要求发布 Web 服务器提供服务器端证书作为响应。如果 Web 服务器要求客户端证书,则 ISA 服务器必须提供相应的证书作为响应。
选择桥接时,应配置要用于安全 Web 发布规则的桥接模式:
下图举例说明了 SSL 桥接方案。
SSL 桥接
下图举例说明了反向发布方案。在此方案中,客户端向 ISA 服务器请求对象,后者将请求转发到发布的 Web 服务器。图中,Web 代理客户端(浏览器)连接到 ISA 服务器。ISA 服务器返回服务器端证书,以便向客户端证明自己的身份。在客户端和 ISA 服务器完成 SSL 协商后,客户端将加密的 HTTP 请求发送到 ISA 服务器。ISA 服务器解密请求,并检查所请求的对象是否存在于其缓存中。
如果对象存在于缓存中,ISA 服务器将对象返回给客户端。
如果对象未存在于缓存中,ISA 服务器将加密请求并将请求发送到 Web 服务器。Web 服务器将服务器端证书返回给 ISA 服务器。在 ISA 服务器和 Web 服务器完成 SSL 协商后,ISA 服务器将加密的 HTTP 请求发送到 Web 服务器。Web 服务器解密请求并将其返回给 ISA 服务器。
ISA 服务器接收对象、对其进行加密,并将其传递给发出请求的客户端。
 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|