举例详解ISA的HTTP过滤功能ISA系列之九.docVIP

举例详解ISA的HTTP过滤功能ISA系列之九.doc

  1. 1、本文档共14页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
举例详解ISA的HTTP过滤功能ISA系列之九

举例详解ISA的HTTP过滤功能:ISA2006系列之九 举例详解ISA的HTTP过滤功能 记得当初ISA2004发布时,微软大肆宣传ISA2004带来的各种新特性,其中很有分量的一个就是HTTP过滤。HTTP过滤其实就是ISA能够“理解”HTTP协议的一部分内容,可以根据协议内容对访问请求进行更准确的控制,ISA2004被当作应用防火墙和这个功能有很大的关系。其实一个全功能的应用防火墙对所有的管理员都是一个不可抗拒的诱惑,试想,传统防火墙根据IP和端口限制访问,应用防火墙则可以根据内容限制访问,两者的准确程度根本不在一个档次上。打个比方就象我们要拦截恐怖分子寄来的包裹,传统防火墙是根据包裹的邮寄地址来进行判断,看,这个包裹是伊拉克寄来的,拉出去砍了……这样当然不够准确;应用防火墙则根据包裹内容进行判断,哇,这个包包中居然藏有很多爆炸物,快跑啊!….. ISA2006的HTTP过滤功能基本和ISA2004完全一样,对于大多数用户来说,最常使用的的服务器就是Web服务器,因此了解ISA2006中提供的HTTP过滤功能对更好地进行访问控制有很大的意义。 ISA Server 2006究竟能够过滤HTTP数据包中的哪些内容,在此列举如下: 头长度的上限。 要求负载长度的上限。 URL与查询长度的上限。 验证正则化与阻止高位字符 阻止可执行Windows命令的数据包通过。 阻止指定的HTTP连接方法(Method)。 阻止执行或下载指定的扩展名文件。 阻止指定的请求头或响应头的内容。 阻止包含的签名内容。 看完了上述HTTP数据包过滤策略的说明之后,接下来就让我们来看看它的设置方法。目前我的ISA2006中只有一条访问规则Allow all,内容是允许内网和本地主机任意访问,我们如果想在这条访问规则上设置HTTP过滤,只要在规则属性中切换到“协议”标签,如下图所示,点击右下角的“筛选”,选择“配置HTTP“,就可以进行HTTP过滤设置了。 ? 一 常规设置 如下图所示,在HTTP策略的“常规“标签中,我们可以设置头长度的上限、负载长度的上限、URL长度上限、查询长度、验证正则化与阻止高位字符以及阻止可执行Windows命令的数据包通过,具体解释如下: ? 头长度的上限:此参数设置为较小的值可有效防止一些会导致缓冲区溢出的黑客程序的攻击,不过在此不建议设置小于10000字节的大小,因为它可能也会导致一些合法的应用程序无法访问。 负载长度的上限:有效地设置此值,可防止企业内部所发布的网站遭受到通过HTTP中的POST方法传送大量的恶意数据包,而导致网站系统的负载过大。 URL长度上限:设置超过此设限的网址长度将被阻止掉。 查询长度上限:在过去有一些蠕虫程序就是通过传送大量的GET要求给受害的目的地网站,藉此来瘫痪该网站的系统资源。 验证正则化与阻止高位字符:对于一些连接要求的数据包中,如果含有非正则化的字符与高位的内容可以在此加以阻止,不过必须注意的是如果网站是全中文化的,那么阻止高位的设置将会导致该网页无法正常显示,例如中文版Exchange Server 2003 OWA的发布就是如此。 阻止包含Windows可执行文件内容的响应:还记得最早以前的红色警戒病毒吗?它就是凭借传送带有可执行Windows命令(CMD/C)的数据包给目的地的IIS网站,来藉此入侵该网站的操作系统。ISA现在可以利用HTTP过滤有效阻止这种攻击。 ? 二 方法 切换到HTTP策略的“方法“标签,如下图所示,我们可以阻止特定的HTTP方法。例如有些公司不希望员工在上班时间去论坛发贴子,我们就可以通过阻止POST方法来完成。 ? 如下图所示,我们阻止了客户机使用HTTP的POST方法,我们看看能否起到作用? ? 在客户机上访问百度的贴吧,准备发个帖子测试一下,如下图所示。 ? 测试结果如下图所示,ISA的HTTP过滤器拒绝了这个访问请求。 ? 阻止方法还可以用于别的用途,例如我们想禁止用户访问代理服务器,就可以考虑阻止CONNECT方法,这样一来用户就不能和Web代理服务器建立连接了。 ? 三 扩展名 切换到HTTP过滤的“扩展名”标签,如下图所示,我们在此可以阻止通过HTTP协议访问一些具有特定扩展名的文件。如果我们希望阻止用户不小心从网站下载或执行恶意代码,那么就可以在扩展名中阻止*.exe、*.vbs、*.js、*.com等。 ? 在HTTP过滤中阻止了访问*.exe扩展名后,我们来实验一下,如下图所示,我们在客户机上下载ISA2006的180天试用版,下载的文件扩展名是exe。 ? 结果如下图所示,下载请求被ISA过滤器阻止了。 ? 四 HTTP头 在HTTP策略属性中切换到“头”标签,如下图所示,我们可以阻止指定的请求头或响应头。 ? 下面是一些最

文档评论(0)

ipad0a + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档