ISA Server 网络保护：防范淹没和攻击.docVIP

转自Microsoft ISA Server 网络保护：防范淹没和攻击各企业需要使用综合性工具来扫描和拦截有害内容、文件和网站，从而消除恶意软件（也称为 malware）和攻击者的破坏性影响。Microsoftreg; Internet Security and Acceleration (ISA) Server 2006 Standard Edition 和 ISA Server 2006 Enterprise Edition 凭借入侵检测、淹没缓解、电子欺骗检测以及其他完善的攻击检测功能来帮助实现访问保护。ISA Server 2006 网络保护功能概要下表概括了 ISA Server 2006 如何解决信息技术 (IT) 管理员在执行保护 IT 环境的任务时所殚思极虑的主要问题。 问题 ISA Server 2006 功能 在用户之间和网络之间传播的蠕虫危害到用户、合作伙伴和客户。 简化的客户端 IP 警报集中和连接限额提高了抵制蠕虫的灵活性，并将已感染计算机对网络的影响降到最低。增强的淹没保护和入侵检测功能有助于阻止淹没攻击，如拒绝服务 (DoS) 攻击和分布式拒绝服务 (DDoS) 攻击。 对面向外部的资源的攻击日益增多，需要对此进行防范。 可轻松地配置攻击保护，以使公司网络免受各类攻击，包括动态主机配置协议 (DHCP) 防中毒、入侵检测和 IP 分片。 需要防范伪 IP 电子欺骗的攻击。 通过完善的反电子欺骗机制来提供 IP 电子欺骗保护。ISA Server 通过检查数据包的源 IP 地址是否有效来防止 IP 电子欺骗。 通常攻击在数小时甚至数天内都不会引起注意，因此更迫切需要采取能够在其出现时检测出来并采取相应措施的更有效方式。 增强的攻击保护功能通过综合警报触发器和响应来快速通知管理员各类网络问题。 返回页首场景：ISA Server 如何缓解攻击由于恶意电脑黑客的流行，ISA Server 抵制攻击的能力成为您的网络保护能力的关键。默认的攻击缓解功能通过阻止尝试性攻击并对可疑行为发出警报来帮助您保护网络。这种将检测和缓解相结合的功能有助于防止网络遭受各类潜在攻击，其中一些攻击如下表所示。 攻击 描述 通过 TCP 进行的内部蠕虫传播 被感染的客户端计算机试图连接到某特定端口处的各随机地址，以传染存在已知安全漏洞的各主机。 连接表安全漏洞利用 攻击者使用多个 IP 地址或僵尸主机建立过多连接，这会耗尽 ISA Server 资源，以至于无法对 ISA Server 进行管理。 蠕虫传播期间的未决域名系统 (DNS) 安全漏洞利用 被感染的客户端试图连接到特定端口处的随机地址。由于 ISA Server 策略可能基于 DNS 名称执行，因此 ISA Server 需要反向解析这些随机地址。 淹没攻击期间的连续 TCP 连接 攻击者使用内部主机对 ISA Server 或支持 ISA Server 的另一服务器发起拒绝服务攻击（方法是连续打开再立即关闭多个 TCP 连接），以试图绕过限额机制。这将耗用大量资源。 使用现有连接的超文本传输协议 (HTTP) DDoS 攻击者通过持久（持续）的 TCP 连接以高发送率发送 HTTP 请求。ISA Server Web 代理需要批准每个请求。这将耗用 ISA Server 的大量资源。ISA Server 专为 HTTP 会话加入了此缓解功能，这些会话将持续一段既定时间，同时单个会话中包含大量连接。 考虑一下这样一种场景：公司网络中的数台计算机都受到蠕虫感染。这些计算机将该蠕虫病毒传播到整个网络。每个受感染主机都会生成对特定端口和随机 IP 地址的高连接率 TCP 连接请求，以试图找到其他易受攻击的计算机来传染病毒。同时，ISA Server 会测量每个源 IP 地址的允许连接率，并引发有关某特定 IP 地址的警报，每个警报都与一个受感染主机关联。生成此警报的原因是，受感染主机超出了预配置的每分钟所允许和拒绝的连接数阈值。在阻止这个可疑 IP 地址之前，ISA Server 会验证源 IP 地址是否不是假冒地址。如果发现源 IP 地址是恶意的，ISA Server 会触发警报，并附带有关攻击和攻击者的信息。从此时开始，ISA Server 将限制来自违规主机的通信量流出，时间为一分钟。一分钟之后，ISA Server 将再次允许来自该 IP 地址的通信量流出。当再次超出阈值时，如果您手动重置警报，将会再次触发警报并阻止通信量。当触发此警报时，仅计算防火墙策略允许的连接尝试数。如果连接尝试被防火墙策略拒绝，则 ISA Server 会单独计算失败的连接，并触发另一个警报。内置 ISA Server 日志记录机制会在某特