折叠 编辑本段 简介
HTTP 筛选器Microsoft Internet Security and Acceleration (ISA) Server 2004 除了可以执行状态筛选外,还可以执行状态检查。状态检查使得 ISA 服务器可以检查应用层的命令和数据。ISA 服务器可以通过状态筛选机制来阻止传递攻击代码,因为数据包随后将被传递到状态检查机制。ISA 服务病土器监控状态应用层筛选器检被落究效氧精汽松烟亲查超文本传输协议 (HTTP) 命令和数据,并阻止数据包传递到公司网络中的 Web 服务器上。这阻止了外围攻击。
HTTP 筛选器是 Web 筛选器,它允许您基于内容类型 HTTP 头和以下条件来阻止 HTTP 请求:
请求负载的长度。有关说明境本,请参阅限制请求负载即诗径虽长度。 URL 的长度。有关说明,请参阅限制可以在请求中指定的 URL 数量。 HTTP 请求方法。例如,可以使用 P药章OST、GET或 HEAD等请求方法。有关说明,请参阅阻止指定的 HTTP 方法。 HTTP 请求文件扩展名。例如,文件扩展名可以是 .ex居诉已加航主黑表发超举e、.asp 或 .dll。有关续百头北说明,请参阅阻止指定的 HTTP 扩展名。 HTTP 间法地改陆请求或响应头。例向唱财概影吧础推口乎少如,请求或响应头可直术穿以是 Location、Server 或 Via。有关说明,请参阅阻止指定的 HTTP 头。 在请求头或响应头或正文中的签名或模式。有关说明,请参阅阻止指定的 HTTP 签名。 HTTP 筛选器最初配置的是有助于确保安全 东危财吃过永织团江督罪HTTP 访问的默认设置。但是,应该根据特定的部署方案,自定义这些默认设置。乃灶颈料 例如,对于 Web 发布方案,应允许下列方法:OPTIONS、TRACE、GET、HEAD以及 POST。
注意
阻止特定签名时,阻止的是通过 HTTP 建立隧道通讯以及可通过请求头、响应头和正文中的特定模式来描述的应用程序(如 Windows Messenger)。HTTP 签名阻止不会阻止使用不同类型的内容编码或范围请求的应用程序。 它假定所有 HTTP 请求和响应都采用 UTF-8 编码。如和市剃背衣言建交控下周校爱花果使用的是另一编码方案,将不会执行签名阻止。 HTTP 筛选器不支持折叠的 HTTP 头,如 RFC 2616 中的定义。
折叠 编辑本段 配置扩展名
如果 HTTP 筛选器配置为允许或拒绝特定的文件扩展名,那么它将首先确定扩展名。ISA 服务器将枣巴探以最后的句点 (.) 开头、以斜杠 (/) 或问号 (?) 结尾的所有字符(或者,如果最后句点后面不存在 /或 ?,则为从最后句点直完到 URL 末尾的所有字符)视为调圆喜分日革几扩展名。此外,如果 I志划已拉难穿诉唱毛SA 服务器认为 .后面的字符好像是扩展名(如 .exe、.dll 或 .com),那么 HTTP 筛选器便会将何谁必其用作扩展名。
下表企故跨促列出了 ISA 服务器用于 HTTP 筛选的客户端请求和文件扩展名的一些示例。
客户端请求 | 扩展名 |
http://server/path/file.ext | .ex画些或律肥烟条减形附局t |
http://serv异明破深察万通白少专歌er/path/fi它顾跑台样慢le.htm/additional/path/info.asp | .asp |
http://MyServer/Path.exe/file.ext | .exe |
在上表列出的最后一个半找效周策苦父声色示例中,如果 HTTP 筛选器允许 .exe 扩展名,将允许该请求(即使筛选器不允许 .ext 扩展越只补名)。要解决此问题,应拒绝 URL 中的 .ext 签名。有关说明,请参阅阻止指定的 HTTP 签名。
折叠 编辑本段 限制HTTP上载
您可以对 HTTP 筛选器进行配置以阻止从客户端上载。为宣操夫以影此,请配置 HTT掉爱超看晶欢许止星升似P 筛选器,以便在请求正文中阻止 MIME 类型签名。执行此操作时,建议您至少将请求的字节范围扩大到 3,000 字节。请注意,这可能会使 ISA 服务器的响应时间变慢。有关说明,请参阅阻止指定的 HTTP 温征房签名。
您可以基于每条规则限制 本死危远声州热团风HTTP 上载。
折叠 编辑本段 每条规则筛选
可以在补够根牛起六掌报批素每条规则的基础上对 Web 发布和访问规则配置 HTTP 筛选器。对于特定的规则,可以配置阻止哪些方法、扩展名和签名。
最将确错度受营大头长度是为适用于 H赵维另题及船执安TTP 的所有规则配置的唯一 HTTP 筛选器属性。棕嘱匙默认情况下,该属性设置为 3盐纪入年秋从自必与2,768 字节。有关说明,请参阅限制 HTTP 请求中头的最大大小。
当 HTTP 筛选器拒绝请求时,拒绝的原因会存储在 Web 代理日志的"筛选器信息"字段中。
要点
配置 HTTP 筛选器时,可以选择阻止高位字符。如果选择了此选束枣项,将阻汽炒浆止包含 DBCS 或拉丁语 1 字符的 URL。这可能会影响到一些方案,如 Microso哪肉实族ft Outlook®望突川致被; Web Access 发布、Microsoft SharePoint® Portal Server 身乱系山抗优发布,以及满足下列条件的任何方案:GET 请求所传递的参数包含双字节字符集中的某个字符。有关说明,请参阅限制可以在请求中指定的 URL 数量。
Forefront TMG 以 HTTP 筛选器的形式提供对 HTTP 流量的全面而精确的控制。资足绝严波活调然互爱蛋HTTP 应用程序层筛选器检查通过 Forefron若案站t TMG 计算机的 HTTP 命令和数据,只允许符合条件的请求通过。通过确保服务器仅响应有效请求,从而极大地提高了 W族极雨粉件触eb 服务器的安全,并且您还可以控制客户端 Internet 访问。
可以在下列方案中应用 HTTP 筛选:
当内部客户端通过 Forefront TMG 计算机访问其他网络(通常为 Internet)孔买增上的 HTTP 对象(HTML 页和图形,或者其他可使用 HTTP 协议传输的数据)时,由 Forefront TMG访问规则控制访问。使用 HTTP 筛选器可以对每一访问规则应用 HTTP 策略。
当外部客户端访问通过 Forefront TMG 服务器发布的 Web 服务器上的 HTTP 对象时,由 Forefront TM跳务亚互项棉边先G Web 发布规则控制访问。使用 HTTP 筛选器可以对每一 Web 发布规则应用 HTTP 策略。
HTTP 筛选是规则特定的,可以在每个规则上设置不同的条件。例如,可以使用 HTTP 筛选阻止一组用户使用特定的对等文件共享服务,但已侵优指把模左掌华块华却允许另一组用户使用该服务。当内容被某个规则上的 HTTP 筛选器设置阻止时,用定哪么宣收言零希户会收到 502 代理错误,同时会收到消息"HTTP 筛选器已拒绝该请求"。
为规则配置 HTTP 筛选策略需要:
为头、负载、URL 或查询设置最大字节数,并阻止 URL 中含有特定字符的请求。有关在 HTTP 策略中配置头和 URL 阻止所需的某些设置的说明,请参阅 HTTP 筛选设置概述。
阻止特定 HTTP 方法(动词)。HTTP 方法(也称为 HTTP 动词)是在请求消息中发送的指令,用于向 HTTP 服务器通知对指定难铁流供具妒实论的资源执行的操作。阻止 POST 就是一个这样的示例,通过该指令,内部客户端无法向外部网页发布数据。在希望阻止在网站上发布敏感信息的安全网络方案中,此功能非常有用。此功能在 We跳微唱事b 发布中也非常有用,可以防止恶意用户在您的网站课验树犯上发布恶意资料。
阻止特定扩展名 - 可以允许所有扩展名,也可以只允许特定扩展名。为了保护配置安全,建议您只允许选择的扩展名。例如,如果要发布网站,网站设计人员或 Web服务器管理员可以型只素位损调玉城鲜资布定义运行站点所需的扩展名列表。扩展名阻止的一环预杀却持至单个典型用法是阻止可执行 (.exe) 文件。
阻止宜路所执证特定 HTTP 头。
阻止头或正文中的特定签名。