首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > 理解并部署ISA 2004作为具有RPC状态识别过滤器的应用层防火墙
现在时间是: 2019-02-18 16:51
理解并部署ISA 2004作为具有RPC状态识别过滤器的应用层防火墙

(2005-02-21 13:34)
来源:ISAServer.ORG

更智能的保护网络?使用应用层状态过滤识别

因为你不能信任任何网络,我们需要使用更先进的方法来保护我们的服务器和服务。通过ISA防火墙,我们可以更为智能的保护我们的服务器。为了达到这一目标,我们需要执行应用层过滤或者应用层状态识别。

应用层过滤或识别意味着对数据帧中的负载进行识别,并且确定数据的传输是否是通过了授权、有效的或者对企业网络是无害的。

当ISA防火墙执行应用层识别,需要进行扫描的数据量远大于只进行状态包过滤的防火墙。ISA防火墙实际上是作为协议来识别数据流,并且验证协议的头部和数据。

例如,SMTP应用层过滤器可以丢弃所有包含RSET命令的或者数据包大于X个字符的帧,SMTP过滤器实际上扫描、限制和验证帧的应用层信息。

当ISA防火墙对RPC协议执行应用层状态过滤时,它分析数据帧的UUID(通用唯一标识符)部分,这是运行在服务器上的RPC服务的标识符。Microsoft Exchange服务器是一个极好的例子,因为Exchange服务中包含了多个RPC服务侦听器。

下图是一个RPC客户端应用程序连接RPC服务器时发生的会话的例子:

 

  1. 在上图中,左边黄色标识的计算机需要和RPC服务器上的黄色标识的应用程序建立RPC连接,黄色RPC客户端先通过RPC服务器的TCP 135端口来联系RPC服务器,并且说:“hey,UUID E1AF8308-5D1F-11C9-91A4-08002B14A0FA的高端端口是多少?”ISA防火墙的RPC应用层状态过滤器允许它进行访问,因为有条防火墙规则允许这个UUID的RPC通信;
  2. 黄色RPC服务器回复动态分配的TCP端口(例如2345)给请求的UUID(黄色的应用程序);黄色的应用程序回复此端口给RPC客户端;ISA防火墙的RPC过滤器允许黄色的应用程序 回复客户端。
  3. 客户端使用TCP 2345连接远程的RPC服务器,然后ISA防火墙允许此连接(用黄色隧道线路表示)。

通过识别实际的协议而不是简单的开放端口,ISA防火墙检测到这些RPC通信是授权的和有效的,因为它理解UUIDs和通过ISA防火墙的RPC通讯。

上图中蓝色计算机使用同样的访问步骤来连接RPC服务器上的蓝色应用程序,唯一的区别是在于UUID不同,所以RPC服务侦听的端口也不同,为5678。

当然,如果一个计算机试图连接RPC服务器上的一个没有被ISA防火墙规则允许的RPC UUID,连接将被拒绝,ISA防火墙丢弃客户发起的数据帧。

通过上面的图像说明,我们可以丢弃所有无效的和非授权的RPC连接,我们可以保护内部服务器不受到Internet或者其他外部网络甚至内部网络中的攻击者的骚扰。



作者:Frédéric ESNOUF MVP和Thomas W Shinder MD MVP
责任编辑:风间子

<<上一页 [1] [2] [3] [4] [5] [6] 下一页>>
上一篇:使用 ISA Server 2004 控制安全的 Internet 访问
下一篇:ISA 规则详解
相关信息:



热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..