译自Thomas W Shinder MD，Extending the ISA Firewall's SSL Tunnel Port Range (2004)
　

ISA防火墙同时是网络防火墙和Web代理服务器。ISA Server的防火墙组件允许它同时执行数据包过滤和应用层状态识别；而Web代理组件允许它作为CERN兼容的HTTP 1.1 Web代理服务器。Web代理组件（实际上是ISA Server 2004防火墙内部的Web代理过滤器）可以对HTTP通信进行解码，执行应用层状态过滤，然后在转发给外部的目的Web服务器时重建HTTP通信。

可是，对于在受ISA防火墙保护的网络中的主机和一台外部网络的Web服务器间建立的SSL连接有点不一样，当内部主机通过ISA防火墙的Web代理组件发起SSL请求时，ISA防火墙可以检查HTTP头或者根据访问规则来执行过滤；但是，当它们之间的SSL连接建立后，由于在它们之间传输的数据实行了SSL隧道加密，ISA防火墙将不能再检查它们之间传输的数据。

在内部Web客户和目的Web服务器之间建立SSL隧道的过程如下所示：

1、内部的Web客户通过在Web浏览器的地址栏中发起一个对目的Web服务器的SSL对象的请求，如

https:URL_Name

2、用户将把这个请求发送到ISA防火墙的8080端口（默认的Web代理侦听端口）；

CONNECT URL_name:443 HTTP/1.1

3、ISA防火墙连接目的Web服务器的443端口；

4、当连接建立后，ISA防火墙返回数据给Web客户；

HTTP/1.0 200 connection established

从此时开始，客户直接和外部的Web服务器通信，而不再经过ISA防火墙的Web代理组件，因此，ISA防火墙不能再对封装在SSL隧道中的数据和命令执行应用层状态识别。

当外部Web服务器使用标准的SSL端口TCP 443时，一切都是很正常的，但是，有时候你的Web代理客户也会使用其他的端口来访问SSLWeb站点，例如，Web代理客户可能会使用端口4433替代443来访问银行的Web站点，这样会导致SNAT客户和防火墙客户产生错误，因为ISA防火墙默认会转发SNAT客户和防火墙客户的HTTP连接到Web代理过滤器，客户可能会看见空白页或者指出该页面不能访问的错误页。

这个问题就是Web代理过滤器会转发SSL连接到TCP端口443。如果客户想连接其他不使用TCP 443端口的SSL站点，那么连接尝试将会失败。你可以通过扩展SSL隧道端口范围来解决这个问题。为了做到这一点，你需要下载Jim Harrison的脚本，然后运行时输入你想让ISA防火墙Web代理组件使用的SSL隧道端口范围。

执行以下步骤以扩展SSL隧道端口范围：

1. 下载 isa_tpr.js 文件，（http://down.isacn.org/scripts/isa_tpr.js），然后将其复制到ISA防火墙计算机上。注意，不要使用ISA防火墙上的浏览器，也不要在ISA防火墙上运行其他客户端程序，如电子邮件客户端等等；
2. 双击运行 isa_tpr.js ，在第一个对话框上你可以看到你当前的状态信息“This is your current Tunnel Port Range list”，点击确定；
3. 此时，NNTP端口显示出来了，点击确定；
4. 然后，SSL端口显示出来了，点击确定；
5. 现在复制isa_tpr.js这个文件到C盘根目录，然后打开一个命名提示符窗口，输入以下命令：

isa_tpr.js / 

6. 你会看到以下对话框：

7. 为了添加一个新的SSL隧道端口，例如 8848 ，则输入以下命名行，敲回车；

Cscript isa_tpr.js /add Ext8848 8848

8. 此时，你可以看到如下的信息，提示你命令运行成功。

另外，你还可以下载Steven Soekrasno编写的.NET程序，ISATpre.zip （http://down.isacn.org/utils/ISAtrpe.zip），然后在ISA防火墙上安装。这个程序提供了一种更为简单的方法来允许你修改SSL隧道端口范围。下图是此程序的运行界面：

输入你想定义的端口范围和名字，然后点击Add Tunnel Range按钮，再点击Refresh，你就可以看见列表中新的SSL隧道端口范围。

端口添加完成后，记得重启ISA Server服务。

注意，以上的情况都只是通过Web代理过滤器访问HTTP协议的情况，如果你对HTTP协议取消了Web代理过滤器的识别，SNAT客户和防火墙客户通过ISA防火墙的HTTP访问将不会转发到Web代理过滤器。此时，你可以通过定义一个使用其他SSL端口的协议和允许访问此协议的出站访问规则来实现客户对外部非标准SSL端口（TCP 443）的Web站点的访问。

相关文章

网络平滑升级，高度可扩
Cisco的小型企业解决方案
Cisco四川人寿保险网络平
配置cisco交换机三层交换
Cisco MDS 9216多层光纤
CISCO等交换机广播抑制功
Cisco Catalyst交换机密
Cisco 3550交换机上流量
Cisco Catalyst 4500系列
CISCO路由器上根据MAC地 ]]> 2006-10-04 19:07:34 http://blog.tom.com/firewall-a/article/2077.html 防火墙中配置远程VPN访问

译自 Thomas W Shinder MD,"Configuring Remote Access VPN Servers in a Back to Back ISA Firewall Configuration"



在背靠背的ISA防火墙环境中，前端ISA防火墙直接连接到Internet，根据你网络的情况（使用私有IP或者具有公共IP地址），你可以在前端ISA防火墙后的DMZ和Internet网络间使用NAT或者路由关系。

如果你在DMZ网段使用公共IP地址和路由关系，你可以在前端ISA防火墙后发布PPTP、L2TP/IPSec和IPSec隧道模式的VPN；如果你使用NAT关系，那么你可以发布PPTP或者L2TP/IPSec模式的VPN服务器。因为NAT会中断IPSec，所以除非你的VPN服务器支持NAT-T（IETF定义的NAT-T，Windows
Server 2003的VPN服务器就支持NAT-T），那么你不能在具有NAT网络关系的前端ISA防火墙后发布IPSec隧道模式的VPN服务器。

NAT-T（NAT穿越）允许IPSec加密VPN隧道来在NAT设备间穿行。IPSec头通过TCP或者UDP封装，指定目的端口。安装在Windows Server 2003之上的ISA防火墙提供的VPN服务使用IETF NAT-T指定的UDP 4500端口作为目的端口。

Windows Server 2003/ISA防火墙VPN服务器收到发往UDP 4500端口的数据包，移去UDP头，将数据发送给IPSec加密通信，然后通过IPSec解密数据，转发到对应的目的主机。这就是Windows
NAT-T VPN客户连接到Windows Server 2003/ISA防火墙VPN服务器时所采用的方式。

其他VPN服务提供商可能会使用其他的端口来封装NAT数据包，如CISCO使用UDP 10000端口。CISCO同样也提供了使用TCP来封装的选项，尽管这样可能会和IETF不兼容，以及让NAT-T不稳定。不管IPSec头是如何实现封装，它能够通过NAT设备。

新的ISA Server 2004防火墙对于ISA Server 2000的一个主要的新改进是它可以发布PPTP VPN服务器。在PPTP不能提供和IPSec加密VPN连接同样的安全级别时，在使用长密码的时候，PPTP连接还是比较安全的。许多公司使用PPTP VPN连接，然后采用复杂的密码，这时，安全性已经可以和IPSec VPN相比了。



注意：
 我知道IPSec的安全优点，它同样需要计算机和用户的双重身份验证。但是，PPTP适合于大部分商业使用，只有极少的非常保密的商业通信需要L2TP/IPSec加密。注意使用预定义密钥的IPSec隧道模式不如PPTP安全，因为针对使用预定义密钥的IPSec的攻击有几种方法。如果你正在采用预定义密钥的IPSec隧道，那么建议你采用L2TP/IPSec和使用证书来加密通信。尽管如此，在这篇文章中，为了方便演示，我将为L2TP/IPSec VPN连接使用预定义密钥。


在ISA Server 2000中，PPTP过滤器只能过滤出站的VPN连接，在ISA Server 2004防火墙中，PPTP过滤器可以支持出站和入站的VPN连接。

发布一个PPTP VPN服务器只需要你使用PPT服务器协议定义建立一个服务器发布规则。发布一个L2TP/IPSec VPN服务器需要你发布IKE（UDP 500）、L2TP（UDP 1701）和NAT-T(UDP 4500）。如果你使用NAT-T，那么你不需要发布L2TP协议，因为L2TP头是通过NAT-T的UDP头来封装。

发布一个位于前端ISA防火墙后的ISA防火墙/VPN服务器，你需要执行以下步骤：

• 安装和配置前端ISA防火墙；
  
• 安装和配置背端ISA防火墙；
  
• 配置背端ISA防火墙作为PPTP和L2TP/IPSec VPN服务器；
  
• 在前端ISA防火墙上发布背端的ISA防火墙/VPN服务器；
  
• 建立远程连接；
  

	设计ISA Server 2004计算机的Windows服务基础
	[组图]How to ： 在ISA Server 2004中发布内部网络中的PcAnyWhere服务器
	[组图]使用ISA Server 2000发布内部的TCP/IP打印机
	升级到ISA 2004防火墙的原因
	你应该通过ISA防火墙来允许SSL吗？

ISA部分:

这个内部网络范围必须包含你整个子网。剩下的就很简单了。

建立一个新的远程站点网络，命名为“Branch Office”：

选择IPSec隧道模式，

输入D-link路由器的外部IP作为远程VPN网关的IP，然后选择ISA Server的外部IP作为本地VPN网关的IP，

在认证页，我们选择预定义的密钥，因为D-link路由器只支持这个:)，

点击Next，在下一个屏幕中，加入远程VPN网络的地址集：

结果如下：

最后点击Finish。

现在我们需要建立一个网络规则，命令为“Branch Office”

选择“Branch Office”作为它的源网络； （全文地址：防火墙）

选择后的源网络如下：

译自微软技术文章：Automatic Discovery for Firewall and Web Proxy Clients
前言：
ISA Server 2004支持防火墙客户和Web代理客户自动发现和定位ISA Server。ISA Server使用Web Proxy Automatic Discovery (WPAD)协议，它允许自动发现Web代理服务器。ISA Server使用WPAD提供了一种机制，为客户定位一个包含产生Wpad.dat和Wspad.dat的服务器URL的WPAD项。Wpad.dat文件是个java脚本，由IE建立，包含默认的URL模板。Wpad.dat文件用于Web代理客户自动发现信息，ISA Server的WinSock代理自动检测（WSPAD）使用Wpad.dat文件，并且为防火墙客户建立Wspad.dat文件来提供自动发现信息。更多的关于自动发现协议的信息，请参见Web Proxy Auto-Discovery Protocol文档。
概念和步骤
这篇文章中包括•配置自动发现
•Web代理客户•防火墙客户
•客户支持•配置WPAD项
•配置WPAD服务器•引用

1. 最简单的配置，WPAD服务器就是ISA Server计算机。
2. 或者，WPAD服务器可以使用其他计算机；

然后在“All Open”策略前加了一条禁止该客户使用msn的策略，规则中协议使用的是ISA Server
2004自带的MSN Messenger(TCP 1863)，如图:

msn也很聪明，自动使用我的HTTP代理来登录：

注意看，是使用的HTTP代理服务器登录的。此时是通过的“All Open”策略来的。

我现在配置“All Open”策略的HTTP过滤：

在配置HTTP策略中标志页，我添加了User-Agent:MSN Messenger，

但是没有作用，MSN Messenger一样可以登录。

（后来据shenxu分析，不能阻拦的朋友恐怕都是直接从网页上拷贝下来的关键字直接拷贝到空栏里面的吧，我直接拷贝，结果拦截失败，仔细看，从微软网页上拷贝下来的关键字带了一个回车符，就是这个回车符导致了拦截失败，用back space键删到r后面就可以成功拦截了。我就是从网页上直接复制下来的：（）

于是我只有使用sniffer来分析了...

抓到一些数据包，其中有个：

如图，确实在User-Agent里面有MSN Messenger，但是不知道为什么，ISA Server 2004不能禁止MSN。 全文地址：防火墙
 
相关文章：

	使用脚本来导入URL集和域名集	11-17
	How to ：使用性能计数器来监控ISA Server 2004	11-17
	将ISA Server 2004服务器计算机配置为DHCP服务器	11-17
	在ISA Server 2004防火墙和D-link DI-804HV IPSec VPN路由器间启用IPSec站点到站点的隧道