配置ISA Server以检测外部攻击和入侵（2）

　　 
　　配置ISA Server以检测外部攻击和入侵
　　 4.6.8　配置入侵检测
　　 为了检测有害的入侵者，ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。

　　 要启用这个功能，选择IP Packet Filters Properties对话框上的Enable Intrusion Detection复选框，如图4.15所示。

　　 ISA Server包括一个为入侵检测预先配置的名为Intrusion Detected的警报，如图 4.16所示。默认状态下，启用入侵检测后，只要一检测到任何一种入侵类型，该警报就会往Windows 2000事件日志中发消息。也可以修改Intrusion Detected警报，让它在检测到入侵时，作出另外的响应。也可以创建一个新警报，当检测到一个特定的入侵类型时，作出其他可能的警报反应。另外，配置端口扫描警报时，可以设定触发警报的端口攻击数量。

　　　　　　 按如下步骤配置入侵检测：

　　 1.　　在ISA Management控制台树上，右击IP Packet Filters，然后单击Properties。

　　 2.　　在General选项卡上，选中Enable Packet Filtering复选框(如果尚未选择它)，同时选定Enable Intrusion Detection复选框。

　　 3.　　在Intrusion Detection选项卡中，单击能引起事件的攻击类型：

　　 u　　　　　Windows Out-Of-Band (WinNuke)

　　 u　　　　　登录

　　 u　　　　　Ping of Death

　　 u　　　　　IP半扫描

　　 u　　　　　UDP轰炸

　　 u　　　　　端口扫描

　　 4.　　如果选择了Port Scan，那么执行以下步骤：

　　 u　　　　　在Wel-Known Ports文本框中，输入引起事件之前所能扫描的常用端口的最大　号码。

　　 u　　　　　在Ports文本框中，输入触发警报之前所能扫描的端口数目。


　　 注意　Wel-Known Ports(常用端口)就是从0到1023之间的任一端口。

原文转自：http://www.ltesting.net