ISA 配置IP数据包筛选器（2）

　　 
　　ISA 配置IP数据包筛选器
　　 4.5.3　配置数据包筛选器选项
　　 右击ISA Management中的IP Packet Filters文件夹，选择Properties，再选择Packet Filters选项卡，可以为数据包筛选配置如下功能：IP片断筛选IP选项筛选来自“允许”筛选器的日志包

　　 图4.13所示为数据包筛选器选项卡中的可用选项。

　　 4.5.4　IP片段筛选
　　 选中Enable Filtering Of IP Fragments复选框，允许Web代理服务和防火墙服务筛选数据包片段。通过筛选包片段，所有分成片段的IP数据包都会丢弃。有一种大家所熟知的攻击方法就是发送分成片段的数据包，然后再将它们重新组合起来，通过这种方式对接收系统产生破坏。

　　 允许视频流或者高品质的音频流通过ISA Server时，切勿启用IP片段筛选。

　　 Ø　　　　　按如下步骤激活IP片段筛选：

　　 1.　　在ISA Management控制台树上，右击IP Packet Filters，然后单击Properties。

　　 2.　　在General选项卡上，选中Enable Packet Filtering复选框(如果尚未选择它)。

　　 3.　　在Packet Filters选项卡上，选择Enable Filtering of IP Fragments复选框。



　　 4.5.5　IP选项筛选
　　 激活IP选项筛选，可以配置ISA Server来拒绝所有报头有“IP Options”字样的数据包。

　　 Ø　　　　　按如下步骤激活IP选项筛选：

　　 1.　　在ISA Management控制台树上，右击IP Packet Filters，然后单击Properties。

　　 2.　　在General选项卡上，选中Enable Packet Filtering复选框(如果尚未选择它)

　　 3.　　在Packet Filters选项卡上，选择Enable Filtering IP Options复选框。

　　 4.5.6　事件记录包
　　 通过ISA Server 的所有数据包都可以记录在数据包筛选器日志中。要精确地配置记录哪些数据包，遵循如下原则：安装ISA Server时，默认设置为所有筛选掉的数据包都记录在数据包筛选器日志中。禁止数据包筛选时，事件记录也一同被关闭。可以把ISA Server配置为，被特定阻塞模式的IP数据包筛选器筛选掉的数据包不记入日志。可在特定阻塞模式的IP数据包筛选器的属性对话框中进行该配置。可以把ISA Server配置为，把所有通过ISA Server通信的数据包记入日志，包括允许的和丢弃的数据包。启用把允许数据包记入日志功能时，通过ISA Server 的所有数据包都会记入数据包筛选器日志中。

　　 把允许数据包和阻塞数据包都记入日志会给服务器带来相当大的负荷。

　　 Ø　　　　　按照如下步骤把允许型数据包记入日志：

　　 1.　　在ISA Management控制台树上，右击IP Packet Filters，然后单击Properties。

　　 2.　　在Packet Filters选项卡上，选择Log Packets From 'Allow' Filters复选框。

　　 4.5.7　练习：在ISA服务器计算机上运行Internet服务
　　 要从ISA Server计算机上收发邮件、阅读新闻以及进行Web访问，您可以配置5个IP数据包筛选器。这些筛选器允许您的系统访问分别用于POP3 (传入邮件)、 SMTP (传出邮件)、 NNTP (新闻)服务、DNS查询(Web请求)、以及HTTP (Web内容)的端口。通常情况下，通过在防火墙服务器上创建IP数据包筛选器来避免静态地打开端口。但是，通过创建阻塞筛选器可以阻塞对您要求访问的范围(例如您的POP3、SMTP、以及NNTP服务器地址)以外的IP地址进行访问，也可以消除允许类型IP数据包筛选器的所带来的风险。另外，您可以手工地启用或禁用IP数据包筛选器，以根据需要限制对公开端口的使用。切记无论什么时候启用或止用IP数据包筛选器，都要重新启动ISA Server服务。

原文转自：http://www.ltesting.net