最近論壇中有朋友提及通過 ISA Server 不能訪問一些網(wǎng)站 。對于這種問題，我首先詢問是否打上了最新的補(bǔ)丁 。補(bǔ)丁是故障排除的基礎(chǔ)，只有在打上最新補(bǔ)丁的情況下，才能最好的分析并定位問題 。
然后，我們需要從以下兩方面來進(jìn)行分析：
1、首先分析 ISA Server 的警告和日志，看是否是被 HTTP 過濾器拒絕訪問 。如果是被 HTTP 過濾器拒絕，那么你可以修改你的 HTTP 策略來允許訪問，比如取消阻止高位字符、驗(yàn)證正則化或者你自定義的 HTTP 策略等 。HTTP 策略是基于訪問規(guī)則配置的，你對 HTTP 策略的修改將會影響到通過此訪問規(guī)則訪問的所有 Web協(xié)議通信，因此在取消之前，你應(yīng)該評估一下這樣做以后的安全性，如果通過相同訪問規(guī)則訪問的其他服務(wù)器需要此 HTTP 策略，你最好在原有規(guī)則前面單獨(dú)創(chuàng)建一個(gè)訪問規(guī)則，允許客戶訪問原來不能訪問的那個(gè)服務(wù)器，然后在此規(guī)則上修改 HTTP 策略以實(shí)現(xiàn)客戶的訪問 。
2、如果不是被 HTTP 過濾器拒絕訪問，那么我們必須要確定是否是因?yàn)?ISA Server 的 HTTP 應(yīng)用層過濾問題 。這個(gè)可以通過完全停止 ISA Server 服務(wù)后再訪問外部網(wǎng)站進(jìn)行測試，但是我不建議大家隨意停止 ISA Server 的服務(wù)，而是建議大家直接采用我在后文中提供的解決方案來進(jìn)行測試 。
在這篇文章中，我將重點(diǎn)來探討一下第2個(gè)問題 。ISA Server 基于 Web 代理篩選器提供了 HTTP 應(yīng)用層過濾功能 。其實(shí) Web 代理篩選器是一個(gè)負(fù)責(zé)“裝載”其他 Web 篩選器的應(yīng)用程序篩選器，當(dāng) ISA Server 需要對 Web 協(xié)議進(jìn)行應(yīng)用層過濾時(shí)，Microsoft Firewall 服務(wù)會在用戶模式下調(diào)用 Web 代理篩選器，然后 Web 代理篩選器會調(diào)用所有已啟用的 Web 篩選器通過不同方面來對 Web 協(xié)議進(jìn)行應(yīng)用層過濾 。內(nèi)置的 HTTP 協(xié)議綁定了 Web 代理篩選器，因此所有的 HTTP 協(xié)議均會接受 Web 代理篩選器的應(yīng)用層過濾 。
ISA Server 完全按照 RFC 標(biāo)準(zhǔn)來進(jìn)行開發(fā)，并且也完全按照 RFC 標(biāo)準(zhǔn)來進(jìn)行應(yīng)用層過濾 。但是在實(shí)際環(huán)境中，由于部分 Web 應(yīng)用程序并未完全按照 RFC 標(biāo)準(zhǔn)進(jìn)行開發(fā)或通信，因此導(dǎo)致了通過 ISA Server 無法訪問這些 Web 站點(diǎn) 。例如比較常見的 Web 服務(wù)器使用了非法的 HTTP 頭組合，對于普通的 IE 瀏覽器而言，它會忽略這種錯(cuò)誤，但是對于 ISA Server 這種企業(yè)級的防火墻，安全是最重要的，它不能容忍有一絲的疏忽，因此它會阻止這種非法的數(shù)據(jù)包 。
服務(wù)與安全永遠(yuǎn)是相對的，ISA Server 這種安全行為也給用戶帶來了不便 。你可以配置 ISA Server 取消這種安全行為，但是這樣也就降低了安全性，因此在做這種配置之前，你需要正確的進(jìn)行評估 。
如果的確是因?yàn)?ISA Server 的應(yīng)用層過濾導(dǎo)致無法訪問某個(gè) Web 站點(diǎn)，而且很不幸的是，用戶必須要訪問這個(gè)站點(diǎn)，那么我們也只有通過降低 ISA Server 的安全性來允許用戶的訪問 。對于這個(gè)問題，具有三種解決方案，我將按照安全性影響的大小來依次進(jìn)行介紹 。
方案一 自定義協(xié)議
【HTTP 應(yīng)用層過濾的兼容性問題及解決方案】由于內(nèi)置的 HTTP 協(xié)議綁定了 Web 代理篩選器，因此我們可以自定義一個(gè) TCP 80 出站的協(xié)議，然后允許用戶使用此協(xié)議訪問那個(gè) Web 站點(diǎn)，這條規(guī)則需要放在其他允許用戶訪問此 Web 站點(diǎn)的規(guī)則之前 。
這種方案只是降低了訪問此 Web 站點(diǎn)的安全性，對于其他站點(diǎn)的訪問仍然保持 HTTP 應(yīng)用層過濾，因此安全影響是最小的 。另外需要注意的是，如果是針對 ISA Server 本身到 Web 站點(diǎn)的訪問，這個(gè)方案可能會出現(xiàn)問題，因此 ISA Server 可能會通過系統(tǒng)策略來訪問，而不是通過你自定義的規(guī)則來訪問 。這種時(shí)候，你需要禁用允許本地主機(jī)訪問外部 HTTP 協(xié)議的系統(tǒng)策略 。

推薦閱讀

• 

  紅米note4可以升級miui11嗎
• 

  簡單辦法解決無原裝充電器的問題
• 

  領(lǐng)克02機(jī)械鑰匙在哪
• 

  朝花夕拾簡介 朝花夕拾原名
• 

  在職的研究生有用嗎
• 

  16GB+256GB+2億像素，發(fā)布僅五個(gè)月跌至2799元，官方承諾四年不卡
• 

  微信支付密碼怎么改新密碼，微信支付密碼忘記了怎么辦？
• 

  烤地瓜與蒸地瓜的區(qū)別?
• 

  水壺用白醋洗了的危害
• 

  車標(biāo)是一條橫杠是什么車
• 

  開天辟地第一回，破3底層升級android 10
• 

  在新的歷史條件下開展勞動(dòng)教育機(jī)遇與挑戰(zhàn)分別是什么
• 

  從前有座靈劍山電視劇結(jié)局是什么
• 

  海信電視3A和3D的區(qū)別 海信電視3A和3D的區(qū)別是什么
• 

  教你酷米客公交設(shè)置上下班路線的具體操作流程。
• 

  我來分享oppo reno z創(chuàng)建兩個(gè)微信的詳細(xì)操作流程。

• Firefox瀏覽器怎么安裝插件獲取Http請求詳情?
• 以下哪種紅樹植物過濾鹽分的效率高達(dá)99%？神奇海洋11月9日答案
• https://和http://區(qū)別
• 靈格斯詞霸新增劃詞過濾器,帶真人語音
• 騰訊TT全新TT4.0黑名單功能，惡意網(wǎng)址的過濾專家教程
• Google Chrome新版將移除“http://” 引爭議
• chrome技巧匯總
• xx
• 妙用你的hosts文件過濾插件和廣告
• 洗衣網(wǎng)袋有用嗎 洗衣過濾網(wǎng)袋有用么?