ISA 2006 实验指南(七)HTTP过滤器

ISA 2006 实验指南(七)HTTP过滤器

http 筛选器可适用于

内部用户访问 Internet 网站的流量

Internet 用户访问被发布网站的流量

HTTP 筛选器进行 HTTP 协议的阻挡与过滤

请求头

URL

扩展名

方法

请求正文

响应头

响应正文

签名

每条防火墙规则的 HTTP 筛选器设置都是独立的因此可以为每一条规则进行单独的配置

打开 ISA 控制台

只要就是配置 HTTP 这项

常规标签下 : 这是默认的配置

1 ）请求头：的长度建议不要少于 10000 字节、不是特殊的情况用默认即可

2 ）请求负载： 防止内部发布的网站遭受到通过 HTTP 中的 POST 方法传送大量的恶意数据包，而导致网站系统的负载过大

3 ）URL保护：超过设置的长度将阻止访问、最大查询长度： 一些程序通过发送大量的 GET 请 求给受害的网站，以此来瘫痪该网站的系统资源。

验证正则化：一些不规范URL访问

阻止高位字符：

选择“阻止高位字符”时，包含 DBCS 或 Latin 1 字符的 URL 将被阻止。这可能会影响到一些方案，如 Outlook  Web Access 发布、SharePoint  Portal Server 发布，以及满足下列条件的任何方案：GET 请求所传递的参数包含双字节字符集中的某个字符

最好不勾上、例如全中文网站必须注意

阻止包含 Windows 可执行文件内容的响应：传送带有可执行 Windows 命令（ CMD/C ）的数据包给目的地的 IIS 网站“勾上”

方法标签下：

三种方试可选

GET: 抓取客户端于请求 -URL 中所指定的资源“阻止就不能访问网站了”

POST: 上传窗体数据“阻止就不能以网页的方式传送数据了、如：在论坛里就不能发贴了、 Mail 等……内部发布的服务器不允许上传数据、可以阻止 POST 方式、因为上传可以把服务器上的数据修改

HEAD: 测试客户端于请求 -URL 中所指定的资源

PUT: 将数据上传至客户端于请求 -URL 中所指定的资源

DELETE: 删除客户端于请求 -URL 中所指定的资源“ PUT and DELETE 般禁用”

OPTIONS: 用以测试服务器端所支持的方法

TRACE: 用以进行应用层循环测试

CONNECT: 于 proxy" 代理 服务器建立 " { 通道 }

这个方法可禁用 QQ 等……用代理连接“前面的文章以说过 QQ 可以用内部的代理上网”

我测试过外部和内部都不可用了、

对于 Web 发布方案，应允许下列方法：OPTIONS、TRACE、GET、HEAD 和 POST

扩展名标签：

也是三种方式、

 

添加你不想用户访问这些扩展名的文件后缀名

头标签：

下面是一些最常见的请求头，大家可以参考使用。转载来的

Accept ：浏览器可接受的 MIME 类型。
Accept-Charset ：浏览器可接受的字符集。
Accept-Encoding ：浏览器能够进行解码的数据编码方式，比如 gzip 。 Servlet 能够向支持 gzip 的浏览器返回经 gzip 编码的 HTML 页面。许多情形下这可以减少 5 到 10 倍的下载时间。
Accept-Language ：浏览器所希望的语言种类，当服务器能够提供一种以上的语言版本时要用到。
Authorization ：授权信息，通常出现在对服务器发送的 WWW-Authenticate 头的应答中。
Connection ：表示是否需要持久连接。如果 Servlet 看到这里的值为 “Keep-Alive” ，或者看到请求使用的是 HTTP 1.1 （ HTTP 1.1 默认进行持久连接），它就可以利用持久连接的优点，当页面包含多个元素时（例如 Applet ，图片），显著地减少下载所需要的时间。要实现这一点， Servlet 需要在应答中发送一个 Content-Length 头，最简单的实现方法是：先把内容写入 ByteArrayOutputStream ，然 后在正式写出内容之前计算它的大小。
Content-Length ：表示请求消息正文的长度。
Cookie ：这是最重要的请求头信息之一
From ：请求发送者的 email 地址，由一些特殊的 Web 客户程序使用，浏览器不会用到它。
Host ：初始 URL 中的主机和端口。
Pragma ：指定 “no-cache” 值表示服务器必须返回一个刷新后的文档，即使它是代理服务器而且已经有了页面的本地拷贝。
Referer ：包含一个 URL ，用户从该 URL 代表的页面出发访问当前请求的页面。
User-Agent ：浏览器类型，如果 Servlet 返回的内容与浏览器类型有关则该值非常有用。
UA-Pixels ， UA-Color ， UA-OS ， UA-CPU ：由某些版本的 IE 浏览器所发送的非标准的请求头，表示屏幕大小、颜色深度、操作系统和 CPU 类型。

 

签名：

下图 IE 浏览哭喊访问抓包

 

方法： GET

HTTP 头： User-Agent

签名： MSIE6.0

请求头

以下是微软列出的一些程序签名

[url]http://www.microsoft.com/china/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx[/url]

 

如果没有可以抓包查看

勾上才会启用

添加

注意：不要在签名里后面或前面带有空格、否则会不成功

现在在内部一台客户机测试

现在是可以登录的、规则还没应用现在来应用

OK 实验成功、为什么提示代理服务器因为客户机没设置网关、 Messenger 设置了内部代理上的、