本文共 3431 字,大约阅读时间需要 11 分钟。
什么是应用层过滤: 传统的筛选器的工作方式 传统筛选器不足 多层过滤 应用层过滤的优点 传统筛选器的工作: 在第三层(网络层)上进行过滤 在第四层(传输层)上进行过滤 通过因素决定是否允许数据包通过: 连接状态 源地址和目标地址 源端口和目标端口 传统筛选器的不足: 传统的包过滤,可有效地将请求转发给指定的服务 传统的包过滤无法检验请求的有效性和可靠性 多层过滤: 包过滤 链路过滤 应用层过滤 应用层过滤的优势: 更深层次的信息内容检查 内置筛选器 以附件形式增强应用层安全 ISA Server 2004如何进行应用层过滤: 高度智能技术 分别控制企图进入ISA或者通过ISA对Internet进行访问的数据 防止应用层攻击 可通过在SMTP信息筛选器中定义的关键字阻止垃圾邮件 性能考虑 ALF: 更智能的技术: 基于传统防火墙的状态过滤基础上 强制验证连接状态和应用层通讯 检查应用层通讯的命令和数据 了解Outlook与Exchange的通讯方式 控制进出数据包: 阻止可能具有危险性的数据包进入企业内部网络 禁止未经授权的通讯传出内部网络 阻止应用层攻击: 保护企业网络阻止SMTP缓冲区溢出攻击 保护企业网络阻止DNS缓冲区溢出攻击 保护企业网络阻止POP3缓冲区溢出攻击 防止Web服务受到基于HTTP的攻击 阻止隐藏于SSL隧道内的攻击 保证远程Outlook MAPI客户端连接 垃圾邮件防御: 垃圾邮件防御: 多层共同防御 从防火墙层次上阻止垃圾邮件 使用SMTP Message Screener防止垃圾邮件 关键子控制 性能影响: 应用层过滤的管理性 应用层过滤会影响防火墙性能 ISA Server 2004所附带的应用层筛选器: The SMTP filter and Message Screener The DNS and POP3 filters The SOCKS v4 filter The FTP Access filter The H.323 filter The MMS filter The PNM filter The PPTP filter The RPC filter The RTSP filter Web filters 打开ISA服务器管理--展开阵列--ISASERVER2004--配置--按插件--可以看到默认情况下SOCKS V4 筛选器是没有被启用的 我现在把它启用 按SOCKS V4筛选器--在右边任务选项的应用程序筛选器任务里面按启用所选筛选器--在ISA服务器管理里面按一下应用--在ISA服务器警告里面选择保存更改,并重启动服务 按确定 如何配置SMTP筛选器呢? 使用SMTP筛选器来阻止垃圾邮件 在ISA服务器管理里面按插件--选中SMTP筛选器--在右边任务选项的应用程序筛选器任务里面按配置所选筛选器 我们可以删除一些关键字来对某些关键字里面的一些电子邮件 比如说在邮件关键字规则里面输入I love you 在如果下列位置找到关键字,则应用操作里面选择消息主题 在操作里面选择删除邮件 这样设置以后如果有人以消息主题为I love you这样的关键字发送进来的电子邮件就会被自动删除掉了 其次还可以阻止掉某一个用户或者某一个域的垃圾邮件 在SMTP筛选器属性里面按用户/域--比如说在发送者里面把 这个电子邮件地址添加在被阻止的发送者里面 这样设置以后一旦这个电子邮件地址的邮件发送到ISA服务器的时候就会自动被阻止掉而不会再被传递到Exchange服务器里面了 当我们发现某一个域名经常发送一些垃圾邮件的时候 我们甚至可以把整一个域名给封闭掉 比如说在域名里面把yejunsheng.com添加在被阻止的域里面 这样设置以后 一旦yejunsheng.com这个域名的邮件发送到ISA服务器的时候就会自动被阻止掉而不会再被传递到Exchange服务器里面了 我们还可以过滤掉一些附件--比如说可以把.exe这样的扩展名的文件删除掉 当某一封邮件发过来的附件里面有.exe文件的时候 ISA服务器就自动删除掉它了 或者特定的一个附件名称 比如说有一些发过来的.doc文件是有病毒的 可以在附件名称里面输入my file.doc(假如是一个有病毒的文件)把它转发到企业内部的一个固定的电子邮件地址( ) 以及还能够对邮件大小的限制 比如说有一些病毒的附件大小是143个字节--可以在附件大小限制里面输入143 当有病毒文件大小是143字节的邮件发送过来的时候就会被自动删除掉而不会再传递给Exchange服务器了 最后我们还可以过滤掉一些SMTP命令 也就是说那一些SMTP命令所允许的最大长度是多少 比如说可以把SEND FROM这个SMTP命令的最大长度从268字节修改成266字节 最大长度是允许266字节 记得在ISA服务器管理里面按一下应用 注意: 在所列出的筛选器中并不是每个筛选器都能够进行编辑的 SMTP筛选器是比较特殊能够编辑的其中一项 而且SMTP筛选器被编辑以后是不需要在每个策略里面进行单独的一些配置和编辑了 ISA Server 2004所带的Web筛选器: HTTP筛选器 链接转换筛选器 SecureID筛选器 OWA基于表单验证筛选器 RADIUS验证筛选器 使用HTTP筛选器: HTTP筛选器设置 HTTP筛选器策略 检查HTTP头部信息 HTTP筛选器日志 SSL隧道的风险 我现在新建一条访问规则 对着防火墙策略(ISASERVER2004)右键--按新建--选择访问规则--访问规则名称就叫做All Internet吧 接着下一步 在符合规则条件时要执行的操作里面选择允许 接着下一步 在此规则应用于来自这些源的通讯里面按添加--展开网络--按内部--按添加--按关闭 接着下一步 在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按外部--按添加--按关闭 接着下一步 这是最后一步了 按完成 在ISA服务器管理里面按一下应用 如何阻止用户访问QQ这一类的站点呢? 对着All Internet这条访问规则右键--选择配置HTTP--按签名--按添加--名称就叫做QQ吧--在签名里面输入tencent.com按确定 这样就可以阻止用户对tencent.com的访问了 有时候它可能请求的URL是QQ.com 按添加--名称就叫做QQ.com吧 在签名里面输入QQ.com按确定 在ISA服务器管理里面按一下应用 这样用户就不能访问tencent.com和QQ.com这两个站点了 另外如果你不想让用户访问到一些黑客站点的话 你也可以在这里面把黑客站点添加在里面 当一个用户使用Proxy的时候 他肯定会发出一些独特的Proxy指定 也就是说这不是一个正常的HTTP网页所需要的一些指定 而是一个Proxy所需要用到的指定 其中一个指定叫做CONNECT 在方法选项的指定HTTP方法要执行的操作里面选择阻止指定的方法(允许所有其他方法)--按添加--在方法里面输入CONNECT按确定 在ISA服务器管理里面按一下应用 CONNECT这个指定基本在我们要分析的时候 我们可以看到这个指定出现在所有使用代理去进行访问即时消息软件的情况下包括MSN和QQ 它都需要使用到CONNECT这一个方法去连接一些指定的Proxy 如果你把CONNECT这个方法添加在里面以后 用户就不能使用代理去进行访问MSN和QQ了 在扩展名选项的指定对文件扩展名要执行的操作里面选择阻止指定的扩展名(允许所有其他扩展名)--按添加 可以阻止扩展名 比如说红色代码(Red code)病毒使用的扩展名是.ida 如果你把.ida添加在扩展名里面以后红色代码(Red code)病毒就没法通过ISA服务器去攻击Web服务器了 以及我们可以直接把阻止包含不明确的扩展名的请求沟上 当扩展名不属于很常规的扩展名 比如说.exe文件 .com文件就可以直接把它们过滤掉而不允许它们传递到服务器里面了 按添加--在扩展名里面输入.ida--按确定 在ISA服务器管理里面按一下应用 本文转自 叶俊生 51CTO博客,原文链接:http://blog.51cto.com/yejunsheng/160983 转载地址:http://smezx.baihongyu.com/