HTTP筛选器
ISA Server 2004的一个组件.
筛选 HTTP 通讯和加强配置 HTTP 策略
禁用此策略将禁用在此策略中所有HTTP规则中定义的HTTP筛选属性.
HTTP 筛选器Microsoft Internet Security and Acceleration (ISA) Server 2004 除了可以执行状态筛选外,还可以执行状态检查。状态检查使得 ISA 服务器可以检查应用层的命令和数据。ISA 服务器可以通过状态筛选机制来阻止传递攻击代码,因为数据包随后将被传递到状态检查机制。ISA 服务器监控状态应用层筛选器检查超文本传输协议 (HTTP) 命令和数据,并阻止数据包传递到公司网络中的 Web 服务器上。这阻止了外围攻击。
HTTP 筛选器是 Web 筛选器,它允许您基于内容类型 HTTP头和以下条件来阻止 HTTP 请求:
请求负载的长度。有关说明,请参阅限制请求负载长度。URL 的长度。有关说明,请参阅限制可以在请求中指定的 URL 数量。HTTP 请求方法。例如,可以使用POST、GET或HEAD等请求方法。有关说明,请参阅阻止指定的 HTTP 方法。HTTP 请求文件扩展名。例如,文件扩展名可以是 .exe、.asp 或 .dll。有关说明,请参阅阻止指定的 HTTP 扩展名。HTTP 请求或响应头。例如,请求或响应头可以是 Location、Server 或 Via。有关说明,请参阅阻止指定的 HTTP 头。在请求头或响应头或正文中的签名或模式。有关说明,请参阅阻止指定的 HTTP 签名。 HTTP 筛选器最初配置的是有助于确保安全 HTTP 访问的默认设置。但是,应该根据特定的部署方案,自定义这些默认设置。 例如,对于 Web 发布方案,应允许下列方法:OPTIONS、TRACE、GET、HEAD以及POST。
注意
阻止特定签名时,阻止的是通过 HTTP 建立隧道通讯以及可通过请求头、响应头和正文中的特定模式来描述的应用程序(如 Windows Messenger)。HTTP 签名阻止不会阻止使用不同类型的内容编码或范围请求的应用程序。 它假定所有 HTTP 请求和响应都采用 UTF-8 编码。如果使用的是另一编码方案,将不会执行签名阻止。 HTTP 筛选器不支持折叠的 HTTP 头,如 RFC 2616 (http://www.microsoft.com/) 中的定义。
配置扩展名如果 HTTP 筛选器配置为允许或拒绝特定的文件扩展名,那么它将首先确定扩展名。ISA 服务器将以最后的句点 (.) 开头、以斜杠 (/) 或问号 (?) 结尾的所有字符(或者,如果最后句点后面不存在/或?,则为从最后句点直到 URL 末尾的所有字符)视为扩展名。此外,如果 ISA 服务器认为.后面的字符好像是扩展名(如 .exe、.dll 或 .com),那么 HTTP 筛选器便会将其用作扩展名。
下表列出了 ISA 服务器用于 HTTP 筛选的客户端请求和文件扩展名的一些示例。
客户端请求
扩展名
http://server/path/file.ext
.ext
http://server/path/file.htm/additional/path/info.asp
.asp
http://MyServer/Path.exe/file.ext
.exe
在上表列出的最后一个示例中,如果 HTTP 筛选器允许 .exe 扩展名,将允许该请求(即使筛选器不允许 .ext 扩展名)。要解决此问题,应拒绝 URL 中的 .ext 签名。有关说明,请参阅阻止指定的 HTTP 签名。
限制 HTTP 上载您可以对 HTTP 筛选器进行配置以阻止从客户端上载。为此,请配置 HTTP 筛选器,以便在请求正文中阻止 MIME 类型签名。执行此操作时,建议您至少将请求的字节范围扩大到 3,000 字节。请注意,这可能会使 ISA 服务器的响应时间变慢。有关说明,请参阅阻止指定的 HTTP 签名。
您可以基于每条规则限制 HTTP 上载。
每条规则筛选可以在每条规则的基础上对 Web 发布和访问规则配置 HTTP 筛选器。对于特定的规则,可以配置阻止哪些方法、扩展名和签名。
最大头长度是为适用于 HTTP 的所有规则配置的唯一 HTTP 筛选器属性。默认情况下,该属性设置为 32,768 字节。有关说明,请参阅限制 HTTP 请求中头的最大大小。
当 HTTP 筛选器拒绝请求时,拒绝的原因会存储在 Web 代理日志的“筛选器信息”字段中。
要点
配置 HTTP 筛选器时,可以选择阻止高位字符。如果选择了此选项,将阻止包含 DBCS 或拉丁语 1 字符的 URL。这可能会影响到一些方案,如 Microsoft Outlook® Web Access 发布、Microsoft SharePoint® Portal Server 发布,以及满足下列条件的任何方案:GET 请求所传递的参数包含双字节字符集中的某个字符。有关说明,请参阅限制可以在请求中指定的 URL 数量。