三、HTTPS检查时的限制

　　在最新版本的Forefront中，仍然不能够支持所有的HTTPS连接。如HTTPS检查现在还不能够支持扩展验证SSL。如果用户采用的是扩展的HTTPS连接，则用户将看不到正确的内容。或许在以后的版本中这个问题能够解决。但是当目前为止，在配置过程中，安全管理人员需要通过“排除”的手段，将这个站点从HTTPS检查中排除。

　　在实际工作中，我们可以先开启HTTPS检查。当用户发现某个网站无法正常访问时，会告知安全管理人员。然后管理员再去检查，分析、判断对方是否采用了扩展验证的SSL。如果采用了的话，要将这个网站排除掉。即这个服务器不采用HTTPS检查机制。排除之后，用户就可以正常访问所请求的网站。如果确实需要将某个服务器排除在HTTPS的检查机制之外，管理员可以按如下步骤操作。

　　第一步：打开操作面板。管理员可以在Forefront管理控制台中，找到“Web访问策略”节点。然后在“任务”窗口中，点击“配置HTTPS检查”。

　　第二步：在上面这个打开的窗口中，可以看到有一个“目标例外”的选项卡。这就是一个例外的配置工具。在这个选项卡上，单击“添加”，就会跳出一个“添加网络实体”的对话框。然后点击新建，将需要排除的URL地址加入进去，再一路按确定即可。

　　不过笔者需要提醒的是，这个例外机制只有在必要的情况下才使用。如果对方的服务器采用的是普通的HTTPS，而不是扩展的认证，那么就没有必要采取这个例外的规则。毕竟HTTPS应用往往都是一些安全级别比较高的系统采用的。像一般的浏览网页根本不会采用HTTPS。所以其安全性往往比较重要。为此采用HTTPS还是非常必要的。

　　最后笔者再贡献一个小技巧。安全管理人员如何来判断HTTPS安全检查与目标网络之间的兼容性呢?难道需要分析其数据流量才能够确认吗?其实这里有一个技巧。在上面的“配置HTTPS检查”窗口中，大家还可以看到有一个“源例外选项卡”。通过这个选项卡，可以指定企业内部的某个客户端不受到HTTPS检查的约束。此时管理员可以将自己的主机设置为例外。当其他用户向你投诉时，你可以先利用自己的电脑来检测一下。如果自己的电脑可以正常访问，而其他用户无法访问，那么就很可能是由于所采用的认证机制与HTTPS检查不兼容所导致的。此时就可以将目标服务器加入到例外选项中。显然这么判断要比分析数据流量快的多。