1、详解 ISA2006 的 HTTP 过滤功能ISA Server 2006 究竟能够过滤 HTTP 数据包中的哪些内容,在此列举如下:头长度的上限。要求负载长度的上限。URL 与查询长度的上限。验证正则化与阻止高位字符阻止可执行 Windows 命令的数据包通过。阻止指定的 HTTP 连接方法(Method)。阻止执行或下载指定的扩展名文件。阻止指定的请求头或响应头的内容。阻止包含的签名内容。看完了上述 HTTP 数据包过滤策略的说明之后,接下来就让我们来看看它的设置方法。目前我的 ISA2006 中只有一条访问规则 Allow all,内容是允许内网和本地主机任意访问,我们如果想在这条访问规
2、则上设置 HTTP 过滤,只要在规则属性中切换到“协议”标签,如下图所示,点击右下角的“筛选”,选择“配置 HTTP“,就可以进行 HTTP 过滤设置了。一常规设置如下图所示,在 HTTP 策略的“常规“标签中,我们可以设置头长度的上限、负载长度的上限、URL 长度上限、查询长度、验证正则化与阻止高位字符以及阻止可执行 Windows 命令的数据包通过,具体解释如下:头长度的上限:此参数设置为较小的值可有效防止一些会导致缓冲区溢出的黑客程序的攻击,不过在此不建议设置小于 10000 字节的大小,因为它可能也会导致一些合法的应用程序无法访问。负载长度的上限:有效地设置此值,可防止企业内部所发布的
3、网站遭受到通过HTTP 中的 POST 方法传送大量的恶意数据包,而导致网站系统的负载过大。URL 长度上限:设置超过此设限的网址长度将被阻止掉。查询长度上限:在过去有一些蠕虫程序就是通过传送大量的 GET 要求给受害的目的地网站,藉此来瘫痪该网站的系统资源。验证正则化与阻止高位字符:对于一些连接要求的数据包中,如果含有非正则化的字符与高位的内容可以在此加以阻止,不过必须注意的是如果网站是全中文化的,那么阻止高位的设置将会导致该网页无法正常显示,例如中文版Exchange Server 2003 OWA 的发布就是如此。阻止包含 Windows 可执行文件内容的响应:还记得最早以前的红色警戒病
4、毒吗?它就是凭借传送带有可执行 Windows 命令(CMD/C)的数据包给目的地的 IIS 网站,来藉此入侵该网站的操作系统。ISA 现在可以利用 HTTP 过滤有效阻止这种攻击。二方法切换到 HTTP 策略的“方法“标签,如下图所示,我们可以阻止特定的 HTTP 方法。例如有些公司不希望员工在上班时间去论坛发贴子,我们就可以通过阻止POST 方法来完成。如下图所示,我们阻止了客户机使用 HTTP 的 POST 方法,我们看看能否起到作用?在客户机上访问百度的贴吧,准备发个帖子测试一下,如下图所示。测试结果如下图所示,ISA 的 HTTP 过滤器拒绝了这个访问请求。阻止方法还可以用于别的用途
5、,例如我们想禁止用户访问代理服务器,就可以考虑阻止 CONNECT 方法,这样一来用户就不能和 Web 代理服务器建立连接了。三扩展名切换到 HTTP 过滤的“扩展名”标签,如下图所示,我们在此可以阻止通过HTTP 协议访问一些具有特定扩展名的文件。如果我们希望阻止用户不小心从网站下载或执行恶意代码,那么就可以在扩展名中阻止*.exe、*.vbs、*.js、*.com 等。在 HTTP 过滤中阻止了访问*.exe 扩展名后,我们来实验一下,如下图所示,我们在客户机上下载 ISA2006 的 180 天试用版,下载的文件扩展名是 exe。结果如下图所示,下载请求被 ISA 过滤器阻止了。四 HT
6、TP 头在 HTTP 策略属性中切换到“头”标签,如下图所示,我们可以阻止指定的请求头或响应头。下面是一些最常见的请求头,大家可以参考使用。Accept:浏览器可接受的 MIME 类型。Accept-Charset:浏览器可接受的字符集。Accept-Encoding:浏览器能够进行解码的数据编码方式,比如 gzip。Servlet能够向支持 gzip 的浏览器返回经 gzip 编码的 HTML 页面。许多情形下这可以减少 5 到 10 倍的下载时间。Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。Authorization:授权信息,通常出
7、现在对服务器发送的 WWW-Authenticate 头的应答中。Connection:表示是否需要持久连接。如果 Servlet 看到这里的值为“Keep-Alive”,或者看到请求使用的是 HTTP 1.1(HTTP 1.1 默认进行持久连接),它就可以利用持久连接的优点,当页面包含多个元素时(例如 Applet,图片),显著地减少下载所需要的时间。要实现这一点, Servlet 需要在应答中发送一个 Content-Length 头,最简单的实现方法是:先把内容写入ByteArrayOutputStream,然 后在正式写出内容之前计算它的大小。Content-Length:表示请求消息
8、正文的长度。Cookie:这是最重要的请求头信息之一From:请求发送者的 email 地址,由一些特殊的 Web 客户程序使用,浏览器不会用到它。Host:初始 URL 中的主机和端口。Pragma:指定“no-cache”值表示服务器必须返回一个刷新后的文档,即使它是代理服务器而且已经有了页面的本地拷贝。Referer:包含一个 URL,用户从该 URL 代表的页面出发访问当前请求的页面。User-Agent:浏览器类型,如果 Servlet 返回的内容与浏览器类型有关则该值非常有用。UA-Pixels,UA-Color,UA-OS,UA-CPU:由某些版本的 IE 浏览器所发送的非标准的
9、请求头,表示屏幕大小、颜色深度、操作系统和 CPU 类型。五签名很多文档在介绍 ISA 的 HTTP 过滤功能时都会重点介绍签名,签名其实就是HTTP 数据包中有规律出现的特征数据。我们想阻止一些 HTTP 应用程序,就可以分析一下这些程序在通讯时有哪些特征数据,然后把这些特征数据以签名的形式提交给 ISA,这样 ISA 就可以阻止这些应用程序了。最典型的例子就是即时通讯软件,如 QQ,MSN 等。XP 中自带了一个 MSN 客户端软件 Windows Messenger,以此软件为例,Windows Messenger 登录服务器时有三种方式1 使用 MSN Messenger 协议直接连接
10、 MSN 服务器的 1863 端口。2 使用 HTTP 协议连接 MSN 服务器的 80 端口。3 使用代理服务器连接到 MSN 服务器的 80 端口。其中第一种和第二种连接方式是很容易控制的,我们在 ISA 上封掉 MSN 服务器即可,虽然 MSN 服务器数量不少,但毕竟只是时间问题。第三种方法就不太好控制了,访问者通过代理服务器绕到 MSN 服务器上,从 ISA 的角度来看这只是内网的一台客户机访问外网的一台服务器而已。我们不可能封掉所有的代理服务器,这时就要靠签名了,我们要找出 MSN 客户端通过代理服务器访问 MSN 服务器时的特征数据,依靠这个来封掉 MSN。微软网站给出了常用的即时通讯软件的签名,如下表所示。应用程序名称 搜寻范围 HTTP 头定义 签名内容MSN Messenger Request headers(请求头)User-Agent: MSN MessengerWindows MessengerRequest headers(请求头)User-Agent: MSMSGSNetscape 7 Request headersUser-Agent: Netscape/7
