ISA 2006 实验指南(七)HTTP过滤器<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
http
筛选器可适用于
内部用户访问
Internet
网站的流量
Internet
用户访问被发布网站的流量
HTTP
筛选器进行
HTTP
协议的阻挡与过滤
请求头
URL
扩展名
方法
请求正文
响应头
响应正文
签名
每条防火墙规则的
HTTP
筛选器设置都是独立的因此可以为每一条规则进行单独的配置
打开
ISA
控制台
只要就是配置
HTTP
这项
常规标签下
:
这是默认的配置
1
)请求头:的长度建议不要少于
10000
字节、不是特殊的情况用默认即可
2
)请求负载:
防止内部发布的网站遭受到通过
HTTP
中的
POST
方法传送大量的恶意数据包,而导致网站系统的负载过大
3
)URL保护:超过设置的长度将阻止访问、最大查询长度:
一些程序通过发送大量的
GET
请
求给受害的网站,以此来瘫痪该网站的系统资源。
验证正则化:一些不规范URL访问
阻止高位字符:
选择“阻止高位字符”时,包含 DBCS 或 Latin 1 字符的 URL 将被阻止。这可能会影响到一些方案,如 Outlook Web Access 发布、SharePoint Portal Server 发布,以及满足下列条件的任何方案:GET 请求所传递的参数包含双字节字符集中的某个字符
最好不勾上、例如全中文网站必须注意
阻止包含
Windows
可执行文件内容的响应:传送带有可执行
Windows
命令(
CMD/C
)的数据包给目的地的
IIS
网站“勾上”
方法标签下:
三种方试可选
GET:
抓取客户端于请求
-URL
中所指定的资源“阻止就不能访问网站了”
POST:
上传窗体数据“阻止就不能以网页的方式传送数据了、如:在论坛里就不能发贴了、
Mail
等……内部发布的服务器不允许上传数据、可以阻止
POST
方式、因为上传可以把服务器上的数据修改
HEAD:
测试客户端于请求
-URL
中所指定的资源
PUT:
将数据上传至客户端于请求
-URL
中所指定的资源
DELETE:
删除客户端于请求
-URL
中所指定的资源“
PUT and DELETE
般禁用”
OPTIONS:
用以测试服务器端所支持的方法
TRACE:
用以进行应用层循环测试
CONNECT:
于
proxy"
代理
服务器建立
" {
通道
}
这个方法可禁用
QQ
等……用代理连接“前面的文章以说过
QQ
可以用内部的代理上网”
我测试过外部和内部都不可用了、
对于 Web 发布方案,应允许下列方法:OPTIONS、TRACE、GET、HEAD 和 POST
扩展名标签:
也是三种方式、
添加你不想用户访问这些扩展名的文件后缀名
头标签:
下面是一些最常见的请求头,大家可以参考使用。转载来的
Accept
:浏览器可接受的
MIME
类型。
Accept-Charset :浏览器可接受的字符集。
Accept-Encoding :浏览器能够进行解码的数据编码方式,比如 gzip 。 Servlet 能够向支持 gzip 的浏览器返回经 gzip 编码的 HTML 页面。许多情形下这可以减少 5 到 10 倍的下载时间。
Accept-Language :浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。
Authorization :授权信息,通常出现在对服务器发送的 WWW-Authenticate 头的应答中。
Connection :表示是否需要持久连接。如果 Servlet 看到这里的值为 “Keep-Alive” ,或者看到请求使用的是 HTTP 1.1 ( HTTP 1.1 默认进行持久连接),它就可以利用持久连接的优点,当页面包含多个元素时(例如 Applet ,图片),显著地减少下载所需要的时间。要实现这一点, Servlet 需要在应答中发送一个 Content-Length 头,最简单的实现方法是:先把内容写入 ByteArrayOutputStream ,然 后在正式写出内容之前计算它的大小。
Content-Length :表示请求消息正文的长度。
Cookie :这是最重要的请求头信息之一
From :请求发送者的 email 地址,由一些特殊的 Web 客户程序使用,浏览器不会用到它。
Host :初始 URL 中的主机和端口。
Pragma :指定 “no-cache” 值表示服务器必须返回一个刷新后的文档,即使它是代理服务器而且已经有了页面的本地拷贝。
Referer :包含一个 URL ,用户从该 URL 代表的页面出发访问当前请求的页面。
User-Agent :浏览器类型,如果 Servlet 返回的内容与浏览器类型有关则该值非常有用。
UA-Pixels , UA-Color , UA-OS , UA-CPU :由某些版本的 IE 浏览器所发送的非标准的请求头,表示屏幕大小、颜色深度、操作系统和 CPU 类型。
Accept-Charset :浏览器可接受的字符集。
Accept-Encoding :浏览器能够进行解码的数据编码方式,比如 gzip 。 Servlet 能够向支持 gzip 的浏览器返回经 gzip 编码的 HTML 页面。许多情形下这可以减少 5 到 10 倍的下载时间。
Accept-Language :浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。
Authorization :授权信息,通常出现在对服务器发送的 WWW-Authenticate 头的应答中。
Connection :表示是否需要持久连接。如果 Servlet 看到这里的值为 “Keep-Alive” ,或者看到请求使用的是 HTTP 1.1 ( HTTP 1.1 默认进行持久连接),它就可以利用持久连接的优点,当页面包含多个元素时(例如 Applet ,图片),显著地减少下载所需要的时间。要实现这一点, Servlet 需要在应答中发送一个 Content-Length 头,最简单的实现方法是:先把内容写入 ByteArrayOutputStream ,然 后在正式写出内容之前计算它的大小。
Content-Length :表示请求消息正文的长度。
Cookie :这是最重要的请求头信息之一
From :请求发送者的 email 地址,由一些特殊的 Web 客户程序使用,浏览器不会用到它。
Host :初始 URL 中的主机和端口。
Pragma :指定 “no-cache” 值表示服务器必须返回一个刷新后的文档,即使它是代理服务器而且已经有了页面的本地拷贝。
Referer :包含一个 URL ,用户从该 URL 代表的页面出发访问当前请求的页面。
User-Agent :浏览器类型,如果 Servlet 返回的内容与浏览器类型有关则该值非常有用。
UA-Pixels , UA-Color , UA-OS , UA-CPU :由某些版本的 IE 浏览器所发送的非标准的请求头,表示屏幕大小、颜色深度、操作系统和 CPU 类型。
签名:
下图
IE
浏览哭喊访问抓包
方法:
GET
HTTP
头:
User-Agent
签名:
MSIE6.0
请求头
以下是微软列出的一些程序签名
如果没有可以抓包查看
勾上才会启用
添加
注意:不要在签名里后面或前面带有空格、否则会不成功
现在在内部一台客户机测试
现在是可以登录的、规则还没应用现在来应用
OK
实验成功、为什么提示代理服务器因为客户机没设置网关、
Messenger
设置了内部代理上的、
转载于:https://blog.51cto.com/mcitp/148340