使用ISA Server保护内部的web服务器

使用ISA Server保护内部的web服务器

河北   王春海

现在许多网站经常遭受攻击：有的主页被改，有的网站所在的服务器被入侵：被添加管理员帐户、系统被植入木马或黑客程序等。造成网站以及网站所有服务器被入侵的主要原因有：

操作系统有漏洞、网站代码有漏洞、网站所使用的数据库有漏洞、存在弱密码等、服务器上运行的某个服务软件（例如有的版本的 Serv-U 软件）有漏洞。

上面的任何一个漏洞，都可能被入侵者探测到并利用一些“现成”的针对某个漏洞的程序对服务器入侵或者达到修改主页的目的。

一些网络管理员，非常头疼这个问题：自己管理的服务器，已经及时的打了补丁，并且更新了杀毒软件病毒库，也设置了非常“强”的密码，但对网页代码不熟悉，网站或服务器被入侵后，只是被动的恢复网站，不能从根本上解决问题。解决问题的根本方法需要检查网站的代码，修补有漏洞的代码，但在很多情况下，网站的代码是很不容易被修改的。这时候，可以采用一个“折衷”的办法，就是用 ISA Server 中的“ HHTP 筛选器”功能，保护 Web 网站及网站所在的服务器。为了叙述方便，我们以下页的图 1 为例进行说明。一般情况下， web 服务器直接连接到 Internet （或者采用路由器进行端口转发或重定向到 Internet ），假设此 web 服务器的公网地址是 202.206.197.224 ，则改进后，在 web 服务器与 Internet 之间增加一个有双网卡的服务器，这台服务器一块网卡设置为原来 Web 服务器的 IP 地址（ 202.206.197.224 ）连接到 Internet ，另一块网卡设置一个内网地址（假设为 192.168.10.20/24 ）与 web 服务器相连，并将 web 服务器的地址改为 192.168.10.10/24 ，设置网关为 192.168.10.20 。然后在双网卡的服务器上安装 ISA Server 并创建一条 Web 服务器发布规则，发布 192.168.10.10 的 web 网站到 Internet 。有关 ISA Server 的安装、使用可以参看其他资料，本文主要介绍发布 web 服务器之后的规则设置。

图 1  web 服务器改造前后

创建 web 服务器发布规则后，用鼠标右键单击该策略，从弹出的快捷菜单中选择“配置 HTTP （如图 2 所示）”

图 2 配置 HTTP 过滤

在“方法”选项卡中，在“指定 HTTP 方法要执行的操作”下拉列表中选择“只允许指定的方法” ，单击“添加”按钮，添加 GET 和 POST 方法（注意，都为大写）。如果该 Web 服务器只允许 Internet 上的用户浏览，而网站的更新都是在内网或者通过 FTP 上传的方式更新，则只添加 GET 方法即可，如图 3 所示。

图 3 允许指定的方法

在“签名”选项卡中，单击“添加”按钮，在“查找范围”下拉列表中选择“请求 URL ”，在“签名”中添加要过滤的字符，例如 cmd.exe ，然后在“名称”文本框中指定一个与此对应的名称，如图 4 所示。

图 4  添加过滤的签名

然后参照图 4 的方法，添加如下的 URL 签名：

exec 、 eval 、 truacate 、 dir 、 and 、 insert 、 1 ＝ 1 、 1 ＝ 2 等签名，另外，你也可以在网上查找一些相关的资料，就是一些漏洞扫描工具、入侵工具很容易使用的一些入侵关键字。设置之后如图 5 所示。

图 5  配置签名

设置之后，单击 ISA Server 控制台上的“应用”按钮，让设置生效。

采用此种方法后，可以在很大一部分上，防止网站被入侵，但事物是相对的，没有任何一个防火墙能百分百的保护网络。这需要我们要查看相关的一些资料，及时更新防火墙的设置进行应对。另外，在采用签名后，要测试被 ISA Server 保护的网站，查看一下所有的网页通否被打开，如果 ISA Server 过滤的太严格，可以在图 5 的“签名”中删除相关的签名。在采用图 3 的方法后，如果只使用 GET 方法（注意大小写），则外网中任何尝试更新网站的数据（不管是正常还是不正常的）都会被中止，这时候一些网站中的留言板、论坛将不能使用。对于这种情况，可以把论坛、留言板与网站分开，用 ISA Server 另外发布一个留言板或论坛网站，对这个新发布的网站采取“宽容”的策略，把严格的策略应用于需要“重点保护”的网站上。

 

只允许GET方法后，网站的数据更新，可以在内网直接更新。这在一些政府网站，或者网站就使用自己单位的服务器而需要将网站发布到Internet上的用户，尤其适合。