ISA的HTTP过滤功能.docVIP

实验：ISA的HTTP过滤功能记得当初ISA2004发布时，微软大肆宣传ISA2004带来的各种新特性，其中很有分量的一个就是HTTP过滤。HTTP过滤其实就是ISA能够理解HTTP协议的一部分内容，可以根据协议内容对访问请求进行更准确的控制，ISA2004被当作应用防火墙和这个功能有很大的关系。其实一个全功能的应用防火墙对所有的管理员都是一个不可抗拒的诱惑，试想，传统防火墙根据IP和端口限制访问，应用防火墙则可以根据内容限制访问，两者的准确程度根本不在一个档次上。打个比方就象我们要拦截恐怖分子寄来的包裹，传统防火墙是根据包裹的邮寄地址来进行判断，看，这个包裹是伊拉克寄来的，拉出去砍了这样当然不够准确；应用防火墙则根据包裹内容进行判断，哇，这个包包中居然藏有很多爆炸物，快跑啊！.. 　　ISA2004的HTTP过滤功能基本对于大多数用户来说，最常使用的的服务器就是Web服务器，因此了解ISA2004中提供的HTTP过滤功能对更好地进行访问控制有很大的意义。 　　ISA Server 2004究竟能够过滤HTTP数据包中的哪些内容，在此列举如下： 　　头长度的上限。 　　要求负载长度的上限。 　　URL与查询长度的上限。 　　验证正则化与阻止高位字符 　　阻止可执行Windows命令的数据包通过。 　　阻止指定的HTTP连接方法（Method）。 　　阻止执行或下载指定的扩展名文件。 　　阻止指定的请求头或响应头的内容。 　　阻止包含的签名内容。 　　看完了上述HTTP数据包过滤策略的说明之后，接下来就让我们来看看它的设置方法。目前我的ISA2004中只有一条访问规则Allow all，内容是允许内网和本地主机任意访问，我们如果想在这条访问规则上设置HTTP过滤，只要在规则属性中切换到协议标签，如下图所示，点击右下角的筛选，选择配置HTTP，就可以进行HTTP过滤设置了。 　　一 常规设置 　　如下图所示，在HTTP策略的常规标签中，我们可以设置头长度的上限、负载长度的上限、URL长度上限、查询长度、验证正则化与阻止高位字符以及阻止可执行Windows命令的数据包通过，具体解释如下： 　　头长度的上限：此参数设置为较小的值可有效防止一些会导致缓冲区溢出的黑客程序的攻击，不过在此不建议设置小于10000字节的大小，因为它可能也会导致一些合法的应用程序无法访问。 　　负载长度的上限：有效地设置此值，可防止企业内部所发布的网站遭受到通过HTTP中的POST方法传送大量的恶意数据包，而导致网站系统的负载过大。 　　URL长度上限：设置超过此设限的网址长度将被阻止掉。 　　查询长度上限：在过去有一些蠕虫程序就是通过传送大量的GET要求给受害的目的地网站，藉此来瘫痪该网站的系统资源。 　　验证正则化与阻止高位字符：对于一些连接要求的数据包中，如果含有非正则化的字符与高位的内容可以在此加以阻止，不过必须注意的是如果网站是全中文化的，那么阻止高位的设置将会导致该网页无法正常显示，例如中文版Exchange Server 2003 OWA的发布就是如此。 　　阻止包含Windows可执行文件内容的响应：还记得最早以前的红色警戒病毒吗？它就是凭借传送带有可执行Windows命令（CMD/C）的数据包给目的地的IIS网站，来藉此入侵该网站的操作系统。ISA现在可以利用HTTP过滤有效阻止这种攻击。 　　二 方法 　　切换到HTTP策略的方法标签，如下图所示，我们可以阻止特定的HTTP方法。例如有些公司不希望员工在上班时间去论坛发贴子，我们就可以通过阻止POST方法来完成。 　　如下图所示，我们阻止了客户机使用HTTP的POST方法，我们看看能否起到作用？ 　　在客户机上访问百度的贴吧，准备发个帖子测试一下，如下图所示。 　　测试结果如下图所示，ISA的HTTP过滤器拒绝了这个访问请求。 　　阻止方法还可以用于别的用途，例如我们想禁止用户访问代理服务器，就可以考虑阻止CONNECT方法，这样一来用户就不能和Web代理服务器建立连接了。 　　三 扩展名 　　切换到HTTP过滤的扩展名标签，如下图所示，我们在此可以阻止通过HTTP协议访问一些具有特定扩展名的文件。如果我们希望阻止用户不小心从网站下载或执行恶意代码，那么就可以在扩展名中阻止*.exe、*.vbs、*.js、*.com等。 　　在HTTP过滤中阻止了访问*.exe扩展名后，我们来实验一下，如下图所示，我们在客户机上下载ISA2004的180天试用版，下载的文件扩展名是exe。 　　结果如下图所示，下载请求被ISA过滤器阻止了。 　　四 HTTP头 　　在HTTP策略属性中切换到头标签，如下图所示，我们可以阻止指定的请求头或响应头。 　　下面是一些最常见的