ISA Server 2004的一個組件,用於篩選HTTP 通訊和加強配置 HTTP 策略。禁用此策略將禁用在此策略中所有HTTP規則中定義的HTTP篩選屬性。
基本介紹
- 中文名:HTTP 篩選器
- 外文名:Microsoft Internet Security and Acceleration
- 用途:篩選HTTP通訊和加強配置HTTP策略
- 限制:阻止特定 HTTP 頭
簡介,配置擴展名,限制 HTTP 上載,每條規則篩選,
簡介
HTTP 篩選器Microsoft Internet Security and Acceleration (ISA) Server 2004 除了可以執行狀態篩選外,還可以執行狀態檢查。狀態檢查使得 ISA 伺服器可以檢查套用層的命令和數據。ISA 伺服器可以通過狀態篩選機制來阻止傳遞攻擊代碼,因為數據包隨後將被傳遞到狀態檢查機制。ISA 伺服器監控狀態套用層篩選器檢查超文本傳輸協定 (HTTP) 命令和數據,並阻止數據包傳遞到公司網路中的 Web 伺服器上。這阻止了外圍攻擊。
HTTP 篩選器是 Web 篩選器,它允許您基於內容類型 HTTP 頭和以下條件來阻止 HTTP 請求:
請求負載的長度。有關說明,請參閱限制請求負載長度。 URL 的長度。有關說明,請參閱限制可以在請求中指定的 URL 數量。 HTTP 請求方法。例如,可以使用 POST、GET或 HEAD等請求方法。有關說明,請參閱阻止指定的 HTTP 方法。 HTTP 請求檔案擴展名。例如,檔案擴展名可以是 .exe、.asp 或 .dll。有關說明,請參閱阻止指定的 HTTP 擴展名。 HTTP 請求或回響頭。例如,請求或回響頭可以是 Location、Server 或 Via。有關說明,請參閱阻止指定的 HTTP 頭。 在請求頭或回響頭或正文中的簽名或模式。有關說明,請參閱阻止指定的 HTTP 簽名。 HTTP 篩選器最初配置的是有助於確保全全 HTTP 訪問的默認設定。但是,應該根據特定的部署方案,自定義這些默認設定。 例如,對於 Web 發布方案,應允許下列方法:OPTIONS、TRACE、GET、HEAD以及 POST。
注意
阻止特定簽名時,阻止的是通過 HTTP 建立隧道通訊以及可通過請求頭、回響頭和正文中的特定模式來描述的應用程式(如 Windows Messenger)。HTTP 簽名阻止不會阻止使用不同類型的內容編碼或範圍請求的應用程式。 它假定所有 HTTP 請求和回響都採用 UTF-8 編碼。如果使用的是另一編碼方案,將不會執行簽名阻止。 HTTP 篩選器不支持摺疊的 HTTP 頭,如 RFC 2616 中的定義。
配置擴展名
如果 HTTP 篩選器配置為允許或拒絕特定的檔案擴展名,那么它將首先確定擴展名。ISA 伺服器將以最後的句點 (.) 開頭、以斜槓 (/) 或問號 (?) 結尾的所有字元(或者,如果最後句點後面不存在 /或 ?,則為從最後句點直到 URL 末尾的所有字元)視為擴展名。此外,如果 ISA 伺服器認為 .後面的字元好像是擴展名(如 .exe、.dll 或 .com),那么 HTTP 篩選器便會將其用作擴展名。
下表列出了 ISA 伺服器用於 HTTP 篩選的客戶端請求和檔案擴展名的一些示例。
客戶端請求 | 擴展名 |
http://server/path/file.ext | .ext |
http://server/path/file.htm/additional/path/info.asp | .asp |
http://MyServer/Path.exe/file.ext | .exe |
在上表列出的最後一個示例中,如果 HTTP 篩選器允許 .exe 擴展名,將允許該請求(即使篩選器不允許 .ext 擴展名)。要解決此問題,應拒絕 URL 中的 .ext 簽名。有關說明,請參閱阻止指定的 HTTP 簽名。
限制 HTTP 上載
您可以對 HTTP 篩選器進行配置以阻止從客戶端上載。為此,請配置 HTTP 篩選器,以便在請求正文中阻止 MIME 類型簽名。執行此操作時,建議您至少將請求的位元組範圍擴大到 3,000 位元組。請注意,這可能會使 ISA 伺服器的回響時間變慢。有關說明,請參閱阻止指定的 HTTP 簽名。
您可以基於每條規則限制 HTTP 上載。
每條規則篩選
可以在每條規則的基礎上對 Web 發布和訪問規則配置 HTTP 篩選器。對於特定的規則,可以配置阻止哪些方法、擴展名和簽名。
最大頭長度是為適用於 HTTP 的所有規則配置的唯一 HTTP 篩選器屬性。默認情況下,該屬性設定為 32,768 位元組。有關說明,請參閱限制 HTTP 請求中頭的最大大小。
當 HTTP 篩選器拒絕請求時,拒絕的原因會存儲在 Web 代理日誌的“篩選器信息”欄位中。
要點
配置 HTTP 篩選器時,可以選擇阻止高位字元。如果選擇了此選項,將阻止包含 DBCS 或拉丁語 1 字元的 URL。這可能會影響到一些方案,如 Microsoft Outlook® Web Access 發布、Microsoft SharePoint® Portal Server 發布,以及滿足下列條件的任何方案:GET 請求所傳遞的參數包含雙位元組字元集中的某個字元。有關說明,請參閱限制可以在請求中指定的 URL 數量。
Forefront TMG 以 HTTP 篩選器的形式提供對 HTTP 流量的全面而精確的控制。HTTP 應用程式層篩選器檢查通過 Forefront TMG 計算機的 HTTP 命令和數據,只允許符合條件的請求通過。通過確保伺服器僅回響有效請求,從而極大地提高了 Web 伺服器的安全,並且您還可以控制客戶端 Internet 訪問。
可以在下列方案中套用 HTTP 篩選:
當內部客戶端通過 Forefront TMG 計算機訪問其他網路(通常為 Internet)上的 HTTP 對象(HTML 頁和圖形,或者其他可使用 HTTP 協定傳輸的數據)時,由 Forefront TMG訪問規則控制訪問。使用 HTTP 篩選器可以對每一訪問規則套用 HTTP 策略。
當外部客戶端訪問通過 Forefront TMG 伺服器發布的 Web 伺服器上的 HTTP 對象時,由 Forefront TMG Web 發布規則控制訪問。使用 HTTP 篩選器可以對每一 Web 發布規則套用 HTTP 策略。
HTTP 篩選是規則特定的,可以在每個規則上設定不同的條件。例如,可以使用 HTTP 篩選阻止一組用戶使用特定的對等檔案共享服務,但卻允許另一組用戶使用該服務。當內容被某個規則上的 HTTP 篩選器設定阻止時,用戶會收到 502 代理錯誤,同時會收到訊息“HTTP 篩選器已拒絕該請求”。
為規則配置 HTTP 篩選策略需要:
為頭、負載、URL 或查詢設定最大位元組數,並阻止 URL 中含有特定字元的請求。有關在 HTTP 策略中配置頭和 URL 阻止所需的某些設定的說明,請參閱 HTTP 篩選設定概述。
阻止特定 HTTP 方法(動詞)。HTTP 方法(也稱為 HTTP 動詞)是在請求訊息中傳送的指令,用於向 HTTP 伺服器通知對指定資源執行的操作。阻止 POST 就是一個這樣的示例,通過該指令,內部客戶端無法向外部網頁發布數據。在希望阻止在網站上發布敏感信息的安全網路方案中,此功能非常有用。此功能在 Web 發布中也非常有用,可以防止惡意用戶在您的網站上發布惡意資料。
阻止特定擴展名 - 可以允許所有擴展名,也可以只允許特定擴展名。為了保護配置安全,建議您只允許選擇的擴展名。例如,如果要發布網站,網站設計人員或 Web伺服器管理員可以定義運行站點所需的擴展名列表。擴展名阻止的一個典型用法是阻止可執行 (.exe) 檔案。
阻止特定 HTTP 頭。
阻止頭或正文中的特定簽名。