模板
教程
环境
性能
功能
管理
配置ISA Server以检测外部攻击和入侵(3)
配置ISA Server以检测外部攻击和入侵
4.6.9 练习:在ISA Server上配置入侵检测
在本练习中,您将启用ISA Server上的入侵检测。这样,无论什么时候检测到入侵,ISA Server就会往事件日志上写警报。
练习:启动入侵检测
在本练习中,您将学习启动ISA服务器来检测所有6种入侵类型。
Ø 启动入侵检测来检测所有的入侵类型:
1. 在ISA Management中,依次找到Servers And Arrays、MyArray、Aclearcase/" target="_blank" >ccess Policy、以及IP Packet Filters。
2. 右击IP Packet Filters文件夹,然后单击Properties。
出现一个IP Packet Filters Properties对话框。
3. 在General选项卡中,单击Enable Intrusion Detection复选框。
4. 单击Intrusion Detection选项卡。
5. 单击Windows Out-Of-Band (WinNuke)、Land、Ping Of Death、IP Half Scan、UDP Bomb以及Port Scan等复选框。
两个Detect After Attacks On文本框变为可输入状态。
6. 保留这些文本框中的默认设置,然后单击OK。
4.6.10 小结
在ISA Management的IP数据包筛选属性对话框中启用入侵检测,可以把ISA Server配置为能够检测6种常见的网络攻击。这些攻击包括端口扫描攻击、IP半扫描攻击、登录攻击、Ping of Death攻击、UDP轰炸攻击以及Windows out-of-band (WinNuke)攻击。默认状态下,启用入侵检测,ISA Server只要检测到其中任何一种攻击,就会往Windows 2000事件日志中写信息。这些消息在事件观察器中就是警报。也可以配置ISA Server针对攻击做出其他的反应,例如给管理员发送电子邮件、启动一个特定的程序、或者启动或停止选定的ISA Server服务。
4.7 本章复习
下列问题帮助您巩固本章所讲的关键知识。如果您回答下列问题有困难,请先复习相关各节,然后再试着回答问题。问题的答案在附录A中。
1. 下面哪一种情况下,John可以通过ISA Server访问Inte.net? 假定默认状态为设置了允许站点和内容规则,并且没有配置其他的规则或筛选器。
a. 配置一个协议规则,允许任何请求都可以访问所有的IP通信。然后再配置一个协议规则,拒绝用户John访问所有的IP通信。假定传出Web请求的阵列默认属性没有修改。请问John可以通过安全网络地址转换客户端上的Web浏览器访问Internet吗?
b. 配置一个协议规则,允许Domain Users组内的每个成员都可以访问所有的IP通信。John是Domain Guests组(不是Domain Users)的一个成员,并且传出Web请求的阵列默认属性没有变化。请问John可以通过安全网络地址转换客户端上的Web浏览器访问Internet吗?
c. 配置一个协议规则,允许任何请求都可以访问所有的IP通信。然后再配置一个协议规则,拒绝Domain Guests访问所有的IP通信。John是(且仅是)Domain Guests组的一个成员,并且传出Web请求的阵列默认属性已经修改为:要求没有身份验证的用户提供身份证明。请问John可以通过Firewall客户端上的Web浏览器访问Internet吗?
d. 配置一个协议规则,允许Domain Users组的每个成员都可以访问所有的IP通信。John是Domain Users组的一个成员。请问他可以通过一台没有配置防火墙客户端的计算机的命令提示与Internet建立FTP链接吗?
2. 如果发现某个网络ID对您发起了IP半扫描攻击,那么您可以采取哪些保护措施?
3. 在哪3种情况下,您需要创建IP数据包筛选器,而不是协议规则或者站点和内容规则来允许Internet连接?
4. 您已经配置了一个站点和内容规则,它拒绝访问两个目的:ftp://movies. acme.com/clips和ftp://radio.acme.com。假定您的用户享有从FTP站点下载文件的权限,那么您的用户可以通过FTP客户端在ftp://movies.acme.com上下载内容吗?他们能够从ftp://radio.acme.com/songs上下载内容吗?
5. 如果您想阻塞某个Windows 2000用户组在工作日的上午10:00到下午4:00期间下载任何音频内容,那么您需要创建多少个策略单元?(小节完)
