ISA Server 2004 中的HTTP筛选（上）

领测软件测试网

　　 
　　简介
　　Microsoft Internet Security and Acceleration (ISA) Server 2004 提供对超文本传输协议 (HTTP) 通信的细化控制。该控制以 HTTP 筛选器的形式给出，即检查用于设置 HTTP 策略的 HTTP 命令和数据的应用程序层筛选器。

HTTP 筛选器筛选所有通过 ISA Server 计算机的 HTTP 流量，只允许符合条件的请求通过。这有助于确保服务器只响应有效请求，因而显著提高了 Web 服务器的安全性。还可以使用户能够控制 ISA Server 客户端 Internet 访问的具体细节。
　　
　　HTTP 筛选可用于两个常规方案: ?
　　源网络上的客户端通过 ISA Server 计算机访问在另一个网络上的 HTTP 对象(可以使用 HTTP 协议传送的 HTML 页面和图形或其他数据)。该访问由 ISA Server 访问规则控制，使用 HTTP 筛选器可将 HTTP 策略应用于这些规则。
　　
　　?Internet 上的客户端访问通过 ISA Server 计算机发布的 Web 服务器上的 HTTP 对象。该访问由 ISA Server Web 发布的规则控制，使用 HTTP 筛选器可将 HTTP 策略应用于这些规则。
　　
　　ISA Server 中的 HTTP 筛选是针对规则的，因此可以根据防火墙策略的具体要求应用不同级别和类型的筛选。例如，可以使用 HTTP 筛选以禁止一组用户使用特定的点对点文件共享服务，而允许另一组用户使用。
　　
　　本文档使用常用术语描述了 HTTP 筛选以及配置 HTTP 筛选器的方法。它给出了 Web 发布和 Outlook Web Access 发布的 HTTP 策略示例。还描述了使用 HttpFilterConfig.vbs 脚本以导入示例策略的方法。
　　
　　注意
　　比较 HTTP 筛选器和 URLScan
　　ISA Server 2000 Feature Pack 1 包括 URLScan 工具，可以提供与 HTTP 筛选器相似的功能。URLScan 和 HTTP 筛选器之间的主要区别在于 URLScan 应用于全部 HTTP 流量，而 HTTP 筛选器可以基于每条规则进行配置。这使您可以对 HTTP 策略进行更强大的控制。
　　另一个区别是 HTTP 筛选器不包括 URLScan 工具中的该功能： ?
　　EnableLogging
　　
　　?PerProcessLogging
　　
　　?AllowLateScanning
　　
　　?PerDayLogging
　　
　　?RejectResponseUrL
　　
　　?UseFastPathReject
　　
　　?DenyUrlSequences
　　
　　在 ISA Server 日志中，日志被合并为一个独立的字段 (FilterAction)。
　　RejectResponseURL 是一种 URLScan 为了将请求客户端重定向到不同页面而使用的机制。ISA Server 包括错误响应页面。
　　UseFastPathReject 是撤销请求时用的选项，而不是使用 RejectResponseURL
　　通过 HTTP 筛选器属性的“签名”选项卡来替换 DenyUrlSequences。
　　
　　访问规则
　　访问规则确定源网络中的客户端访问目标网络中资源的方式。
　　
　　可以配置访问规则应用于所有 IP 流量、应用于协议定义的特定集或应用于除选中协议之外的所有 IP 流量。
　　
　　ISA Server 包括预配置的、已知协议定义的列表，包括广泛使用的 Internet 协议。还可以添加或修改附加协议。
　　
　　当客户端请求对象时，ISA Server 会检查访问规则。只有当访问规则专门允许客户端使用特定协议进行通信并且还允许访问请求的对象时，才会处理请求。
　　
　　Internet 访问控制主要取决于访问规则的设计和顺序。
　　
　　创建访问规则后，通过双击“防火墙策略”详细信息窗格中的规则可以查看和编辑其所有属性。其中一个属性是 HTTP 策略，通过该策略可以为与具体允许访问规则相匹配的请求配置 HTTP 设置。还可以通过右键单击某个规则并选择“配置 HTTP”来访问 HTTP 策略设置。
　　
　　ISA 服务器是应用程序层防火墙，可以将应用程序筛选器应用于 HTTP 流量。因为 ISA Server 可检查 HTTP 请求，所以可根据 HTTP 应用程序筛选器的配置情况阻止通过 HTTP 隧道的应用程序。HTTP 应用程序筛选器提供对防火墙策略所允许 HTTP 请求的细化控制。
　　
　　注意： HTTP 筛选可用于允许规则，对允许施加限制。不能用于拒绝规则。
　　
　　Web 发布规则
　　ISA Server 使用 Web 发布规则在不危及网络安全前提下减轻对发布 Web 相关内容的关注。Web 发布规则决定 ISA Server 将如何截获 Web 服务器上 HTTP 对象的传入请求，以及 ISA Server 如何代表 Web 服务器作出响应。请求转发给了 Web 服务器，该服务器位于 ISA Server 计算机之后。如果可能，由 ISA Server 缓存为请求服务。
　　
　　Web 发布规则实质上将传入请求映射到相应的 Web 服务器。Web 发布规则还允许配置高级筛选功能，因此可在公布基于 Web 的信息的同时保护 Web 免遭恶意访问。
　　
　　HTTP 策略设置
　　HTTP 策略包括下列设置：
　　?请求头的最大长度
　　
　　?请求负载的长度
　　
　　?URL 保护
　　
　　?阻止可执行文件
　　
　　?已拒绝的方法
　　
　　?为特定文件扩展名指定的操作
　　
　　?拒绝特定的头
　　
　　?修改服务器和 Via 头
　　
　　?阻止高位字符
　　
　　选择“阻止高位字符”时，将阻止包含双字节字符集 (DBCS) 或 Latin 1 字符的 URL。这些典型字符来自于要求超过 8 位以代表该语言字符的语言，因此需要使用 16 位。这会对方案（如 Outlook Web Access 发布、SharePoint Portal Server 发布和 GET 请求从 DBCS 传递含有字符参数的任何方案）产生影响。
　　
　　?拒绝特定签名
　　
　　阻止特定签名时，将阻止通过 HTTP 传输流量的应用程序，还可以使用请求头、响应头和正文（例如，Windows Messenger）中的特定模式标注这些应用程序。HTTP 签名阻止不会禁止使用不同类型的内容编码或范围请求的应用程序。
　　
　　“通用应用程序签名”中提供了签名的示例，请参见 (http://go.microsoft.com/fwlink/?linkid=31422).
　　
　　关于范围请求
　　范围请求是为响应指定请求数据范围的请求。它们提供对如下方面的控制，如继续执行已中断下载、用户页面通过时按顺序下载资料，或根据需要下载部分资料。
　　
　　假设所有的 HTTP 请求和响应都是用“统一转换格式 8”（UTF-8，一种 Unicode 字符编码的转换）编码的。如果使用不同的编码方案，则无法执行签名阻止。
　　
　　关于 HTTP 请求和响应头
　　HTTP 请求和响应使用头发送关于 HTTP 消息的信息。头是一系列行，每行包含跟有冒号和空格的名称，然后是值。
　　
　　HTTP 策略可用于客户端 Internet 访问和 Web 发布： ?
　　在客户端 Internet 访问中，您可能希望限制客户端对 Internet 上可用特定服务的访问。例如，您可能希望阻止点对点文件共享服务。
　　
　　?在 Web 发布中，您希望使用 HTTP 筛选阻止可能含有恶意代码的请求。攻击通常会带有特定的签名和扩展名。例如，“红色代码 (Code Red)”病毒使用扩展名 .ida。如果阻止了那些签名和扩展名，攻击将不会到达 Web 服务器。
　　
　　解决方案
　　可以配置 HTTP 策略以说明各种客户端访问和 Web 发布方案。本节提供关于如何配置 HTTP 策略的演练，然后给出几个方案的策略示例。具体说来，本节包括下列主题： ?
　　HTTP 策略——演练
　　
　　?阻止示例
　　
　　?Web 和 Outlook Web Access 发布规则的典型 HTTP 策略
　　
　　?HTTP 策略和 SSL 连接
　　
　　HTTP 策略——演练
　　该演练指导用户完成配置 HTTP 策略所必需的步骤。
　　
　　HTTP 策略演练过程 1：访问 HTTP 策略属性
　　
　　1.HTTP 策略的应用基于每个规则。通过每个希望对其应用 HTTP 策略的规则来访问策略。
　　
　　重要
　　在“为规则配置 HTTP 策略”对话框的“常规”选项卡中，“头的最大长度”设置可在全局范围内应用于所有规则。该设置在请求被阻止前配置请求头中所允许的字节数。
　　“常规”选项卡和其他选项卡上的其余设置以每个规则为基础进行应用。
　　
　　若要访问对话框，为访问规则或 Web 发布规则配置 HTTP 策略，请按照该过程操作。
　　
　　2.打开“Microsoft ISA Server 管理”，展开“ISA Server”计算机节点，然后单击“防火墙策略”。
　　
　　3.在详细信息窗格中，右键单击规则，然后选择“配置 HTTP”。
　　
　　HTTP 策略演练过程 2：配置 HTTP 策略
　　1.通过属性对话框上的五个选项卡可以访问 HTTP 策略属性。该主题中提供有关配置策略的常规信息。如果不打算开发 Web 发布和 Outlook Web Access 发布的特定 HTTP 策略，建议至少应该按照“Web 和 Outlook Web Access 发布规则的典型 HTTP 策略”所描述的内容配置 HTTP 策略。
　　
　　2.对 HTTP 策略作出更改后，必须单击 ISA Server 详细信息窗格中的“应用”以应用更改。
　　
　　注意： ISA Server 预防措施 网站 (http://www.microsoft.com) 将定期提供可用于阻止特定攻击的签名。
　　
　　“常规”选项卡
　　该图显示“HTTP 策略属性”的“常规”选项卡上的默认设置。
　　　
　　若要配置 HTTP 策略，请按照该过程操作。
　　1.依次在“请求头”、“头的最大长度（字节）”上，指定请求被阻止前其头（URL 和头）中可包含的最大字节数。此设置会应用到所有规则中，因此如果在一个规则中更改了设置，则在所有规则中进行了更改。
　　
　　提示： 减小允许的头大小可降低遭受需要复杂和长头的攻击（比如：缓冲区溢出攻击和某些拒绝服务攻击）的风险。如果最大头的长度设的过低，则可能影响使用长头的合法应用程序。建议从 10,000 字节的限制开始，只有当发现

文章来源于领测软件测试网 https://www.ltesting.net/