HTTP 策略演练过程 4:测试 HTTP 策略
在配置 HTTP 策略后,应该对其进行测试以确定已经阻止了想要阻止的应用程序。这是十分重要的步骤,因为可能会不经意地阻止了不想阻止的重要应用程序。
在客户端计算机上,运行正试图阻止的应用程序(比如:即时消息程序)。如果应用程序无法连接,那么对该应用程序的阻止成功。在基于浏览器的应用程序中,用户会收到表示应用程序被 HTTP 筛选器阻止的网页。若要查看是否阻止了其他应用程序,可以在试图运行应用程序前运行“网络监视器”。客户端数据包的响应表示应用程序受到 HTTP 筛选器的阻止。
还可以查看 ISA Server 日志以查阅 HTTP 策略阻止了哪些应用程序。
若要查看日志中的信息,请执行下列步骤。
1.在“Microsoft ISA Server 管理”控制台树中,选择“监视”。
2.在“监视”详细信息窗格中,选择“日志”选项卡。
3.在任务窗格中的“任务”选项卡上,单击“编辑筛选器”以打开“编辑筛选器”对话框。在筛选器条件列表中,选择“日志时间”。从“条件”下拉列表框中,选择感兴趣的时间段(比如:“前一个小时”),单击“更新”,然后单击“开始查询”。
注意: 在单击“编辑筛选器”对话框中的“开始查询”以前,不保存对日志筛选器表达式的更改和新创建的表达式。
4.在显示的日志中,右键单击任意列标题,然后单击“添加/删除列”。
5.在“添加/删除列”对话框中,选择“HTTP 状态代码”列,单击“添加”,然后单击“确定”。
6.在已拒绝请求的“HTTP 状态代码”列中,可以看到一个条目,其内容为请求已被 HTTP 筛选器拒绝。请注意,通过单击列标题可以根据任意列数据进行分类。
下一步,运行客户端计算机上的各种其他应用程序,以验证他们是否仍在工作。如果不在工作并且 ISA Server 日志显示 HTTP 筛选器已阻止他们,则必须相应地修改 HTTP 策略。具体说来,您应该验证在 HTTP 策略中使用的签名是否足够特殊。
根据规则筛选日志
还可以编辑日志筛选器以便在日志中仅显示被特定规则拒绝的访问。为此,请按照以下步骤操作。
1.在“Microsoft ISA Server 管理”控制台树中,选择“监视”。
2.在“监视”详细信息窗格中,选择“日志”选项卡。
3.在任务窗格中的“任务”选项卡上,单击“编辑筛选器”以打开“编辑筛选器”对话框。在“筛选依据”中,从下拉列表框中选择“规则”。在“条件”中选择“等于”,然后在“值”中选择希望包含在筛选器中的规则名。
4.单击“添加到列表”,然后单击“开始查询”。
注意: 在单击“编辑筛选器”对话框中的“开始查询”以前,不保存对日志筛选表达式的更改和新创建的表达式。
阻止示例
该主题提供一些阻止方法的示例。阻止对含有恶意代码网站的访问
如果了解常见的恶意代码,则可以阻止对可能包含恶意代码站点的访问。例如,含有该代码的网页将导致 Internet Explorer 以无限嵌套 iframe 元素形式用尽 CPU 资源:
<iframe src="?"/
若要防止对含有该代码网页的访问,请使用签名,以在响应正文中搜索本文 <iframe src="?"/。可以使用默认设置来限制对前 100 个字节搜索的字节范围,这样就不会影响性能。
阻止 HTTP 上的 RPC
若要阻止 HTTP 上的 RPC,请阻止这些方法: ?
RPC_IN_DATA
?
RPC_OUT_DATA
因为 Outlook2003 使用 HTTPS 上的 RPC,所以该方法不适用。
用于 Web 和 Outlook Web Access 发布规则的典型 HTTP 策略
如果不想创建自己的 HTTP 策略,用户可以从这些用于 Web 和 Outlook Web Access 发布规则的基准 HTTP 策略开始,然后对其进行修改以满足自己相应的策略。
如果不想通过 ISA Server 用户界面 (UI) 配置这些策略,附录 A 提供了用于导入每个策略的可扩展标记语言 (XML) 的文档和说明:导入用于 Web 和 Outlook Web Access 发布规则的典型 HTTP 策略。
基准 Web 发布 HTTP 策略
对于 Web 发布,创建带有该表所示参数的 HTTP 策略。 选项卡
参数
常规
头的最大长度为 32768。
已选中允许所有的负载长度。
URL 的最大长度为 260。
查询的最大长度为 4096。
已选中验证规范化。
未选中阻止高位字符。
方法
仅允许指定方法:
GET
HEAD
POST
扩展名
阻止指定的扩展名(允许所有其他的扩展名):
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
头
未更改默认设置。
签名
(请求 URL)
阻止包含这些签名的内容
..
./
:
%
&
选项卡
参数
基准 Outlook Web Access HTTP 策略
对于 Outlook Web Access 发布,创建带有下表所示参数的 HTTP 策略。
注意: 可以允许 & 和 .exe 通过以满足特定 Outlook Web Access 的需求。例如,必须允许 .exe 以启用 S/MIME 控件的下载。因为 HTTP 策略应用到每个规则,因此建议分别创建允许访问规则以满足特定的 Outlook Web Access 需求,并将其排在基于下表的阻止访问的规则之前。如果允许 .exe,将导致仅对 S/MIME 控件的下载允许可执行文件。 选项卡
参数
常规
头的最大长度为 32768。
已选中允许所有负载长度。
URL 的最大长度为 260。
查询的最大长度为 4096。
已选中验证规范化。
未选中阻止高位字符。
方法
仅允许指定的方法:
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
扩展名
阻止指定的扩展名(允许所有其他扩展名):
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
头
未更改默认设置。
签名
(请求 URL)
阻止包含这些签名的内容
./
:
%
&
保护 Web 发布中的 HTTP 上 Outlook RPC 的安全
如果希望在用于 HTTP 上 RPC 的 Web 发布规则中,使用 HTTP 筛选保护 HTTP 上 Outlook RPC 发布的安全,请使用该 HTTP 策略: ?
仅允许这些方法:RPC_IN_DATA,RPC_OUT_DATA。
?负载的最大长度为 2000000000。
?URL 的最大长度为 16384。
?查询的最大长度为 4096。
HTTP 策略和 SSL 连接
如果对所有目标允许 HTTPS 流量,则可回避 HTTP 策略。有些应用程序在内部客户端和 Internet 服务器之间建立了安全套接字层 (SSL) 隧道,然后允许客户端应用程序通过该隧道与服务器通信,这样就覆盖了 HTTP 策略。若要防止这种情况,可以创建访问规则允许 HTTPS 只访问特定的、受信任的站点,也可以创建拒绝访问规则,拒绝访问已知提供了隧道服务的站点。这些访问规则可以从客户端网络(通常是内部网络)到特定的 URL 集(被许可或拒绝的 URL 集,取决于采用的方法)。有关访问规则和 URL 集的更多信息,请参见 ISA Server 产品文档。
应该可以使用站点的签名来试图阻止对 HTTP 隧道站点的访问。然而,隧道站点可能经常将这些签名更改以击垮 HTTP 筛选。因此,使用访问规则限制 HTTPS 访问是更加可靠的阻止 HTTPS 隧道的方法,而且需要较少的维护。
附录 A:用于 Web 和 Outlook Web Access 发布规则的导入典型 HTTP 策略
该小节提供了用于“Web 和 Outlook Web Access 发布规则”中所描述 HTTP 策略的 XML 文档。可以使用下列步骤将这些策略导入 ISA Server。 1.
将 XML 文档复制到“记事本”,然后用描述性名称将其保存为 .xml 文件,如用于 Web 发布的 HTTP 策略.xml。
2.在 ISA Server 光盘上浏览文件夹 sdksamplesadmin。确定脚本 HttpFilterConfig.vbs 的位置。
3.从命令提示,使用以下语法运行脚本 HttpFilterConfig
