首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > ISA Server 2004 中的HTTP筛选
现在时间是: 2019-02-19 19:38
ISA Server 2004 中的HTTP筛选

(2005-02-27 02:28)

ISA Server 2004 中的HTTP 筛选

转载自微软技术资料
本页内容
  • 简介

  • 解决方案

  • 附录 A:用于 Web 和 Outlook Web Access 发布规则的导入典型 HTTP 策略

 

简介

Microsoft Internet Security and Acceleration (ISA) Server 2004 提供对超文本传输协议 (HTTP) 通信的细化控制。该控制以 HTTP 筛选器的形式给出,即检查用于设置 HTTP 策略的 HTTP 命令和数据的应用程序层筛选器。HTTP 筛选器筛选所有通过 ISA Server 计算机的 HTTP 流量,只允许符合条件的请求通过。这有助于确保服务器只响应有效请求,因而显著提高了 Web 服务器的安全性。还可以使用户能够控制 ISA Server 客户端 Internet 访问的具体细节。

HTTP 筛选可用于两个常规方案:

源网络上的客户端通过 ISA Server 计算机访问在另一个网络上的 HTTP 对象(可以使用 HTTP 协议传送的 HTML 页面和图形或其他数据)。该访问由 ISA Server 访问规则控制,使用 HTTP 筛选器可将 HTTP 策略应用于这些规则。

Internet 上的客户端访问通过 ISA Server 计算机发布的 Web 服务器上的 HTTP 对象。该访问由 ISA Server Web 发布的规则控制,使用 HTTP 筛选器可将 HTTP 策略应用于这些规则。

ISA Server 中的 HTTP 筛选是针对规则的,因此可以根据防火墙策略的具体要求应用不同级别和类型的筛选。例如,可以使用 HTTP 筛选以禁止一组用户使用特定的点对点文件共享服务,而允许另一组用户使用。

本文档使用常用术语描述了 HTTP 筛选以及配置 HTTP 筛选器的方法。它给出了 Web 发布和 Outlook Web Access 发布的 HTTP 策略示例。还描述了使用 HttpFilterConfig.vbs 脚本以导入示例策略的方法。

注意
比较 HTTP 筛选器和 URLScan
ISA Server 2000 Feature Pack 1 包括 URLScan 工具,可以提供与 HTTP 筛选器相似的功能。URLScan 和 HTTP 筛选器之间的主要区别在于 URLScan 应用于全部 HTTP 流量,而 HTTP 筛选器可以基于每条规则进行配置。这使您可以对 HTTP 策略进行更强大的控制。
另一个区别是 HTTP 筛选器不包括 URLScan 工具中的该功能:

EnableLogging

PerProcessLogging

AllowLateScanning

PerDayLogging

RejectResponseUrL

UseFastPathReject

DenyUrlSequences

在 ISA Server 日志中,日志被合并为一个独立的字段 (FilterAction)。
RejectResponseURL 是一种 URLScan 为了将请求客户端重定向到不同页面而使用的机制。ISA Server 包括错误响应页面。
UseFastPathReject 是撤销请求时用的选项,而不是使用 RejectResponseURL
通过 HTTP 筛选器属性的“签名”选项卡来替换 DenyUrlSequences。

访问规则

访问规则确定源网络中的客户端访问目标网络中资源的方式。

可以配置访问规则应用于所有 IP 流量、应用于协议定义的特定集或应用于除选中协议之外的所有 IP 流量。

ISA Server 包括预配置的、已知协议定义的列表,包括广泛使用的 Internet 协议。还可以添加或修改附加协议。

当客户端请求对象时,ISA Server 会检查访问规则。只有当访问规则专门允许客户端使用特定协议进行通信并且还允许访问请求的对象时,才会处理请求。

Internet 访问控制主要取决于访问规则的设计和顺序。

创建访问规则后,通过双击“防火墙策略”详细信息窗格中的规则可以查看和编辑其所有属性。其中一个属性是 HTTP 策略,通过该策略可以为与具体允许访问规则相匹配的请求配置 HTTP 设置。还可以通过右键单击某个规则并选择“配置 HTTP”来访问 HTTP 策略设置。

ISA 服务器是应用程序层防火墙,可以将应用程序筛选器应用于 HTTP 流量。因为 ISA Server 可检查 HTTP 请求,所以可根据 HTTP 应用程序筛选器的配置情况阻止通过 HTTP 隧道的应用程序。HTTP 应用程序筛选器提供对防火墙策略所允许 HTTP 请求的细化控制。

注意: HTTP 筛选可用于允许规则,对允许施加限制。不能用于拒绝规则。

Web 发布规则

ISA Server 使用 Web 发布规则在不危及网络安全前提下减轻对发布 Web 相关内容的关注。Web 发布规则决定 ISA Server 将如何截获 Web 服务器上 HTTP 对象的传入请求,以及 ISA Server 如何代表 Web 服务器作出响应。请求转发给了 Web 服务器,该服务器位于 ISA Server 计算机之后。如果可能,由 ISA Server 缓存为请求服务。

Web 发布规则实质上将传入请求映射到相应的 Web 服务器。Web 发布规则还允许配置高级筛选功能,因此可在公布基于 Web 的信息的同时保护 Web 免遭恶意访问。

HTTP 策略设置

HTTP 策略包括下列设置:

请求头的最大长度

请求负载的长度

URL 保护

阻止可执行文件

已拒绝的方法

为特定文件扩展名指定的操作

拒绝特定的头

修改服务器和 Via 头

阻止高位字符

选择“阻止高位字符”时,将阻止包含双字节字符集 (DBCS) 或 Latin 1 字符的 URL。这些典型字符来自于要求超过 8 位以代表该语言字符的语言,因此需要使用 16 位。这会对方案(如 Outlook Web Access 发布、SharePoint Portal Server 发布和 GET 请求从 DBCS 传递含有字符参数的任何方案)产生影响。

拒绝特定签名

阻止特定签名时,将阻止通过 HTTP 传输流量的应用程序,还可以使用请求头、响应头和正文(例如,Windows Messenger)中的特定模式标注这些应用程序。HTTP 签名阻止不会禁止使用不同类型的内容编码或范围请求的应用程序。

“通用应用程序签名”中提供了签名的示例,请参见 (http://go.microsoft.com/fwlink/?linkid=31422).

关于范围请求

范围请求是为响应指定请求数据范围的请求。它们提供对如下方面的控制,如继续执行已中断下载、用户页面通过时按顺序下载资料,或根据需要下载部分资料。

假设所有的 HTTP 请求和响应都是用“统一转换格式 8”(UTF-8,一种 Unicode 字符编码的转换)编码的。如果使用不同的编码方案,则无法执行签名阻止。

关于 HTTP 请求和响应头

HTTP 请求和响应使用头发送关于 HTTP 消息的信息。头是一系列行,每行包含跟有冒号和空格的名称,然后是值。

HTTP 策略可用于客户端 Internet 访问和 Web 发布:

在客户端 Internet 访问中,您可能希望限制客户端对 Internet 上可用特定服务的访问。例如,您可能希望阻止点对点文件共享服务。

在 Web 发布中,您希望使用 HTTP 筛选阻止可能含有恶意代码的请求。攻击通常会带有特定的签名和扩展名。例如,“红色代码 (Code Red)”病毒使用扩展名 .ida。如果阻止了那些签名和扩展名,攻击将不会到达 Web 服务器。

 

作者:Microsoft Corp.
责任编辑:风间子

[1] [2] [3] [4] [5] [6] [7] 下一页>>
上一篇:使用 ISA Server 2004 中的 URL 和域名集
下一篇:ISA Server 2004中的MIME类型
相关信息:

How to:自定义ISA Server的错误信息
How to :允许外部的VPN客户访问内部网络
[最新公告]ISA Server 2004企业版RTM版已经完成!
微软官方文档中ISA Server 2004的新特性描述
升级到ISA 2004防火墙的原因

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
ISA Server 2004 中的HTTP筛选
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..