Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 11 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
11
Dung lượng
527,59 KB
Nội dung
Cấu hình ISA Server 2006 HTTP Filter Bài viết nhìn tổng quan ISA Server 2006 HTTP Filter cách dùng HTTP Filter để bảo vệ mạng nội bạn Trong cung cấp cho bạn mức khái quát cao ISA Server 2006 HTTP Filter Chúng hướng dẫn bạn cách dùng HTTP Filter để bảo vệ mạng nội trước số kiểu công môi trường Webserver Publishing, cách ngăn chặn người dùng sử dụng giao thức Universal Firewall Bypass protocol (HTTP) tạo đường vòng cho tường lửa Kiểu tạo đường vòng tiến hành cho lưu lượng mạng Microsoft Live Messenger, Yahoo Messenger hay thành phần tương tự có khả sử dụng HTTP thay giao thức tự nhiên chúng Để hiểu cách đầy đủ khái niệm công nghệ giao thức HTTP, bạn nên tham khảo thêm Còn bắt đầu với số vấn đề Webfilter (bộ lọc Web) ISA Server 2006 Webfilter gì? Một Webfilter (tức lọc Web) ISA Server 2006 tập hợp thư viện liên kết động (DDL) dựa tảng mơ hình Giao diện lập trình ứng dụng Server Internet IIS (IIS ISAPI) Webfilter ISA Server 2006 load từ Webproxy Filter Mỗi lần sử dụng Webfilter, tất thông tin gửi đến Webproxy Filter Webproxy Filter chịu trách nhiệm xác định xem kiểu kiện giám sát Mỗi kiện xuất Webproxy Filter thông báo Bạn thấy ảnh minh họa bên thành phần bổ sung Add-in HTTP Filter ISA Server 2006 Hình 1: Thành phần bổ sung add-in hỗ trợ lọc HTTP ISA Server 2006 HTTP Chức Webfilter Webfilter ISA Server 2006 chịu trách nhiệm thực công việc sau: • Quét chỉnh sửa yêu cầu HTTP • Phân tích lưu lượng mạng • Quét chỉnh sửa đáp ứng HTTP • Loại bỏ số đáp ứng HTTP cụ thể • Mã hóa nén liệu Ngồi cịn nhiều chức khác không quan trọng nên không tiện liệt kê Quan trọng: HTTP Filter ISA Server 2006 có số ngun tắc riêng, trừ thơng số thiết lập độ dài tối đa cho Header Độ dài tối đa cho Header (Maxium Header) tuân theo tất nguyên tắc tường lửa với định nghĩa giao thức HTTP thành phần khác Đáng lưu ý: HTTP Filter ISA Server 2006 có khả lọc lưu lượng HTTPS trường hợp với Web Server đối chiếu dùng HTTPS Bridging Nếu bạn muốn kiểm tra HTTPS hết hạn qua lọc ISA Server 2006 HTTP, bạn phải dùng phần mềm phát triển nhóm thứ ba Cấu hình lọc HTTP Filter Nếu bạn muốn bắt đầu cấu hình lọc HTTP, kích phải chuột lên quy tắc có chứa định nghĩa giao thức HTTP chọn Configure HTTP từ menu ngữ cảnh Hình 2: Các thiết lập chung cho lọc ISA Server 2006 HTTP Request Header Maximum Headers length (bytes): số byte lớn cho yêu cầu HTTP URL HTTP Header ISA Server loại bỏ yêu cầu Request Payload Maximum payload length (bytes): Với tùy chọn bạn giới hạn số byte lớn cho người dùng gửi yêu cầu HTTP POST môi trường Web Server URL-Protection Maximum URL Length (Bytes): độ dài lớn URL phép Maximum Query length (Bytes): độ dài lớn URL yêu cầu HTTP Verify normalization Bạn chọn hộp kiểm để đặc tả yêu cầu đường dẫn URL chứa ký tự viết hoa sau ký tự thường sẽ thay chữ thường Bình thường hóa q trình giải mã u cầu URL mã hóa Sau giải mã, URL bình thường trở lại để chắn chương trình khơng dùng ký tự % mã hóa URL Nếu HTTP Filter tìm điểm khác URL sau lần bình thường hóa thứ hai, u cầu bị loại bỏ Block High bit character Các đường dẫn URL có chứa Ký tự byte kép (DBCS) hay kiểu Latin1 loại bỏ thiết lập kích hoạt Một thiết lập kích hoạt thơng thường loại bỏ ngơn ngữ địi hỏi bit hiển thị ký tự Executables Loại bỏ đáp ứng chứa nội dung thực thi Windows Tùy chọn loại bỏ việc download thực nội dung thực thi file EXE Tiếp theo cấu hình phương thức HTTP phép loại bỏ Hình 3: Các phương thức HTTP Trong ví dụ loại bỏ lệnh HTTP POST để khơng upload nội dung lên website bên ngồi Hình Loại bỏ thực thi Với tùy chọn bạn loại bỏ cho phép số đuôi file mở rộng cụ thể quy tắc tường lửa (Firewall) Hình 5: Dùng ISA Server 2006 để loại bỏ số đuôi mở rộng file Loại bỏ yêu cầu chứa tên mở rộng mơ hồ Tùy chọn thị cho lọc HTTP loại bỏ tất tên file mở rộng ISA Server 2006 khơng thể xác định Trong ví dụ loại bỏ quyền truy cập vào tên file mở rộng EXE Hình 6: Loại bỏ tên file mở rộng EXE Điều khiển HTTP Header Khi Web Client gửi yêu cầu tới Web Server Web Server trả lời yêu cầu, phần câu trả lời HTTP request HTTP response Sau HTTP request HTTP response, Client hay Server gửi HTTP Header Trường Header request cho phép Client gửi thông tin thêm tới Server HTTP Header chứa thông tin trình duyệt, hệ điều hành chi tiết cấp phép… Header client sử dụng phân phối User-Agent để xác định xem ứng dụng chịu trách nhiệm thực yêu cầu Với trợ giúp lọc HTTP Filter, bạn loại bỏ số HTTP Header muốn Hình 7: Phần Header lọc HTTP Filter Các thiết lập trường Server Header cung cấp cho người quản trị khả điều khiển loại bỏ Header HTTP chỉnh sửa HTTP Header phần trả lời số thiết lập khác Ở ví dụ dùng thành phần HTTP Header ISA Server 2006 để loại bỏ Kazaa, thơng tin nằm Request Header Hình 8: Loại bỏ Kazaa Các ký hiệu HTTP Filter Một ký hiệu HTTP tồn phần thân HTTP phần tiêu đề Bạn dùng ký hiệu HTTP để từ chối thực thi ứng dụng cụ thể Muốn tìm ký hiệu HTTP riêng đó, bạn phải biết ký hiệu dùng cho ứng dụng Một số tài liệu Internet giúp bạn tham khảo thêm thông tin ký hiệu HTTP, bạn dùng sniffer mạng để xác định ký hiệu Tôi cho bạn cách dùng sniffer mạng phần Quan trọng: Việc lọc ký hiệu HTTP ISA Server 2006 tiến hành yêu cầu đáp ứng (request/response) mã hóa kiểu UTF-8 Hình 9: Loại bỏ ký hiệu HTTP Trong ví dụ loại bỏ quyền truy cập giao thức Windows Live Messenger Hình 10: Loại bỏ Windows Live Messenger Nếu bạn muốn biết nhiều ký hiệu ứng dụng, xin mời click vào Quan trọng: ISA Server 2006 kiếm tra 100 byte thân yêu cầu đáp ứng Bạn tăng thêm số byte lớn điều thể khiến số thực thi Server bị giảm hiệu Thông báo lỗi HTTP HTTP Filter loại bỏ nội dung Hình 11: Thơng báo truy cập HTTP Filter Tìm HTTP Header cụ thể Muốn tìm ký hiệu HTTP chưa biết đến, bạn dùng sniffer mạng Windows Netmon 3.0 để dị tìm lưu lượng mạng HTTP Phần minh họa thể kiểu dị tìm mạng mẫu Microsoft Netmon 2.0, bạn dùng chương trình giám sát mạng khác Wireshark (trước Ethereal) Hình 12: Dị tìm Netmon HTTP Ví dụ đưa yêu cầu kiểu (GET), yêu cầu HTTP Header (HTTP/1.1) User-Agent (Mozilla/4.0) ký hiệu (MSIE 6.0) HTTPFILTERCONFIG.VBS Bạn dùng HTTPFILTERCONFIG.VBS từ thư mục C:\PROGRAMME\MICROSOFT ISA SERVER 2006 SDK\SDK\SAMPLES\ADMIN ISA Server 2006 SDK để nhập xuất cấu hình HTTP-Filter Hình 13: HTTPFILTERCONFIG.VBS ISA 2006 SDK Kết luận Trong tìm hiểu cách thức hoạt động lọc HTTP ISA Server 2006 HTTP Filter ISA Server 2006 công cụ lớn giúp loại bỏ số nội dung nguy hiểm để bảo vệ chống lại mã độc hại Trojan, worm Bạn dùng HTTP Filter để loại bỏ số ký hiệu HTTP cụ thể Loại bỏ ký hiệu giúp người quản trị hạn chế số kiểu ứng dụng Windows Live Messenger Các kiểu ứng dụng tạo từ HTTP giao thức thông thường loại bỏ phần hạn chế tường lửa ... C:\PROGRAMME\MICROSOFT ISA SERVER 2006 SDK\SDK\SAMPLES\ADMIN ISA Server 2006 SDK để nhập xuất cấu hình HTTP- Filter Hình 13: HTTPFILTERCONFIG.VBS ISA 2006 SDK Kết luận Trong tìm hiểu cách thức hoạt động lọc HTTP ISA. . .Hình 1: Thành phần bổ sung add-in hỗ trợ lọc HTTP ISA Server 2006 HTTP Chức Webfilter Webfilter ISA Server 2006 chịu trách nhiệm thực cơng việc sau: • Qt chỉnh sửa u cầu HTTP • Phân... ISA Server 2006 HTTP, bạn phải dùng phần mềm phát triển nhóm thứ ba Cấu hình lọc HTTP Filter Nếu bạn muốn bắt đầu cấu hình lọc HTTP, kích phải chuột lên quy tắc có chứa định nghĩa giao thức HTTP