ISA Server Firewall简介（2）

　　 
　　ISA Server Firewall简介
　　 1.2.4　综合入侵检测

　　 ISA Server具有综合侵入检测机制，可以识别何时有人企图攻击您的网络。防火墙管理员可以设置检测到入侵时启动警报。您还可以利用警报指定识别到攻击时系统应该采取什么样的措施。这可能包括向管理员发送电子邮件信息或者网页，停止Firewall服务，在Windows 2000事件日志中记录事件，或者运行任何程序或脚本。ISA Server在数据包筛选和应用程序筛选器级别都执行入侵　　检测。

　　 注意　ISA Server的入侵检测功能基于Internet Security Systems ( ISS)，Inc.，Atlanta，GA许可的技术，其网址为http：//www.iss.net。

　　 1.2.4.1 数据包筛选器入侵
　　 在数据包筛选器级别，ISA Server可以检测到以下攻击：

　　 全部端口扫描攻击　企图访问超过预设端口的数目。

　　 枚举端口扫描攻击　企图通过检测各端口的响应来统计计算机上运行的服务。

　　 IP半扫描攻击　不断企图连接目标计算机，但是没有建立相应的连接。这表明攻击者正在检测开放式端口，逃避系统登录。

　　 登录攻击　登录攻击使用与目标IP地址和端口号相匹配的伪IP源地址和端口号请求TCP连接。如果攻击成功，它可以导致一些TCP执行过程陷入死循环，使计算机瘫痪。

　　 Ping of Death攻击　大量的信息被添加到Internet控制报文协议( ICMP)回应请求和ping数据包中。如果攻击成功，当计算机试图响应时核心缓冲器就会溢出，使计算机崩溃。

　　 UDP炸弹攻击　这是指尝试发送非法的UDP包。UDP数据包的某些字段含有非法值，当收到数据包时会造成一些早期的操作系统瘫痪。

　　 Windows Out of Band攻击　这是指对由ISA Server保护的电脑进行OOB、denia-of-service(拒绝服务)的攻击。如果攻击成功，就会使计算机崩溃或者造成易受攻击的电脑失去网络连接。

　　 1.2.4.2 POP和DNS应用程序筛选器
　　 ISA Server还包括POP和DNS应用程序筛选器，它为对相应服务器的特定入侵分析所有传入通信。DNS入侵检测筛选器能拦截并分析发往内部网的DNS通信。POP入侵检测筛选器能拦截并分析发往内部网的POP通信。管理员可以设置筛选器来检查下列入侵企图。

　　 DNS主机名溢出　当DNS对主机名的响应超出某一固定长度时，就会发生DNS主机名溢出。那些不核对主机名长度的应用程序复制该主机名时可能会返回溢出的内部缓冲器，从而允许远程攻击者在目标计算机上执行任意的命令。

　　 DNS长度溢出　IP地址的DNS响应包含1个长度字段，应该为4个字节。通过用一个较大的值格式化DNS响应，有些执行DNS检查的应用程序就会溢出内部缓冲器，从而允许远程攻击者在目标计算机上执行任意的命令。

　　 从特权端口(1–1024)进行DNS区域传输　当客户端系统运用DNS客户端应用程序从内部DNS服务器传送区域时，就会从特权端口(1~1024)进行DNS区域传输。源端口号码是一个特权端口号(在1~1024之间)，表明一个客户端进程。

　　 从高端口(大于1024)进行DNS区域传输　当客户端系统运用DNS客户端应用程序从内部DNS服务器传送区域时，就会从高端口(大于1024)进行DNS区域传输。源端口号是一个高端口号(大于1024)，表明一个客户端进程。

　　 POP缓冲器溢出　当远程攻击者试图通过在服务器上溢出内部缓冲器而获得POP服务器根访问时，就会发生POP缓冲器溢出攻击。

　　 1.2.5　安全发布
　　 ISA Server运用服务器发布来处理传入内部服务器——例如SMTP服务器、FTP服务器、数据库服务器等——的请求。请求向下游转发到位于ISA Server计算机后的内部服务器。

　　 事实上，服务器发布允许内部网络的任何计算机发布到Internet上。这样并不会危及到安全，因为所有的传入请求和传出响应都会经过ISA Server。当一台服务器通过ISA Server计算机进行发布时，所发布的IP地址实际上就是ISA Server计算机的IP地址。请求对象的用户认为，他们是在同ISA Server通信(请求对象时他们指定的是ISA Server的名称或IP地址)，但他们实际是从发布服务器上请求信息的。

　　 例如，当您在ISA Server上使用Microsoft Exchange Server时，您可以创建服务器发布规则，明确地允许电子邮件服务器发布到Internet上。在这种情况下，ISA Server防火墙会拦截Exchange Server的传入电子邮件。这样，ISA Server好像客户端的电子邮件服务器。利用ISA Server可以筛选通信，并根据设置的规则和政策将其转送至Exchange Server。您的Exchange Server绝不会直接暴露给外部用户，它位于安全的环境下，维持对其他内部网服务的访问。

　　 图1.9说明您怎样以相似的方式利用ISA Server安全地发布到Web服务器上。当Internet上的客户端从Web服务器请求对象时，该请求实际上被发送给ISA Server上的一个IP地址。ISA Server上配置的Web发布规则将适当的请求转送至内部的Web服务器。

　　 1.2.6　小结
　　 ISA Server防火墙在3个不同的级别上进行筛选。首先，ISA Server通过IP数据包筛选器根据服务类型、端口数、源计算机名称或者目的计算机名来阻塞或者允许一个连接。IP数据包筛选器是静态的。它们应用于特定的端口，不是允许筛选器就是阻塞筛选器。第二，ISA Server以访问策略规则和发布规则的形式提供会话识别线路筛选。这一能力允许动态的数据包筛选并为有辅助连接的协议提供支持。最后，ISA Server的应用程序筛选器允许您为某一特殊的应用程序分析数据流，并且提供特定应用程序处理，包括当数据经过防火墙时检查、筛选或者阻塞、重新定向或者修改数据。

　　 防火墙服务复杂多层的特性允许您设置强大且灵活的访问控制策略、入侵检测、安全服务器发布、带宽优先级，以及VPN集成。（Firewall简介完）

原文转自：http://www.ltesting.net