ISA Server***检测及配置
深入了解ISAServer***检测及配置
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。[url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]
|
深入了解ISAServer***检测及配置<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
ISAServer的***检测功能可以在遭受***时以右键通知、中断连接、中断所选服务、记录***行为或执行其他指定的操作等。我分两个方面来说:ISAServer支持的***检测项目和启用***检测与报警设置。
一、ISAServer支持的***检测项目
ISAServer支持以下几种***检测与数据包阻止功能:
Ø 一般***的***检测
Ø DNS***的***检测
Ø POP***检测
Ø 阻止包含IP选项的数据包
Ø 阻止IP片段的数据包
Ø 淹没缓解
(一)、一般***的***检测
ISAServer可以检测到以下的一般***行为,并发出报警;
î All prots scan attack
ISAServer会检测***者扫描端口的行为。可以指定端口的数量,只要被扫描的端口数量超过指定数量,就会发出报警。
î IP half scan attack
一个完整的连接是由提出连接请求这一端发出SYN信号、然后由被连接端发出一个响应信号SYN/ACK、最后提出一个连接请求这一端会再发出一个响应信号ACK。而一般来说,被连接端必须等收到ACK信号后,这个连接操作才算完成,被连接端才会有此连接的记录,可是IP half scan attack的***行为却是利用故意不返回ACK信号的方式,来规避被连接端记录此连接行为。ISAServer具备检测此类***行为能力。
î Land attack
这种***行为是***者将TCP数据包内的源IP地址与端口改为欺假的源IP地址与端口,也就是它会将源IP地址、端口都改为与目的地IP地址、端口。这种***行为会造成某些系统死机。
î Ping of death attack
***者会发出异常的ICMP echo request数据包给被***者,此异常数据包包含大量数据,会造成某些系统死机
î UDP bomb attack
***者会发出不合法的UDP数据包,造成某些系统死机。
î Windows out-of-band attack
一个被称为WinNuke的程序会送出Out-of-band(OOB)的数据包给被***者的端口139,这将造成被***者不是网络不通,就是系统死机。
(二)、DNS***的***检测
ISAServer包含的DNS筛选器可以检测以下的DNS***行为,并发出报警;
î DNS主机名溢出
查询DNS主机名的响应数据包内,其主机名的字段有固定的长度,而DNS主机名溢出的***行为就是故意让主机名超过此长度。有些应用程序不会检查主机名长度,因此在复制主机名时会造成内部缓冲溢出,让***者有机会执行***代码。
î DNS长度溢出
查询IP地址的DNS响应数据包内,有一个正常为4bytes的长度字段,而DNS长度溢出的***行为就是故意让DNS响应数据包超过长度,造成有些应用程序在执行DNS查询时发生内部缓冲溢出的现象,让***者有机会执行***程序代码。
î DNS区域转移
它是发生在DNS客户端应用程序与内部DNS服务器执行区域转移操作的时候。内部DNS服务器的区域内一般含有内部网络的重要信息,不应该被利用区域转移的方式发送到外部。
(三)、POP***检测
ISAServer的POP***检测筛选器会拦截与分析送到内部网络的POP流量,来检查是否有POP缓冲溢出的***行为。
(四)、阻止包含IP选项的数据包
有些***行为是通过IP头内的IP选项来***的,尤其是通过源路由选项来***内部网络的计算机。可以设置让ISAServer拒绝包含这类IP选项的数据包。
(五)、阻止IP片段的数据包
一个IP数据包可以被拆解为数个小的数据包来发送,这些小的数据包就是IP片段。当目的的计算机接收到这些IP片段后,会根据数据包内的offset(间距)数据来将它们重新组合成原始的数据包。例如正常的IP片段的offset数据可能是:
IP片段1:offset 100-300
IP片段2:offset 301-600
表示第1个IP片段是占用原始数据包的第100到300的位置、而第2个IP片段是占用原始数据包的第301到600的位置。
IP片段的***方式就是故意让offset数据重叠,例如;
IP片段1:offset 100-300
IP片段2:offset 200-400
如此当目的地计算机收到数据后,就无法将这些IP片段组合成原始的数据包,它可能会造成计算机停止反应,甚至重新开机。
可以设置让ISAServer阻止IP片段数据包,不过需注意启用此功能后,可能会干扰到视/音频流的功能,而且可能无法成功建立L2TP/IPSec ×××连接,因为在执行证书交换操作时可能会有IP片段的发生。如果有串流影音与L2TP/IP Server ×××连接问题,请不要启用IP片段筛选功能。
(六)、淹没缓解
它可以避免大量异常数据包通过ISAServer进入内部网络。
二、启用***检测与警报设置
系统默认已经启用了***检测功能,而且会自动记录***事件,除此之外我们还可以另外设置一旦发生***事件后,就自动执行指定的操作,列入发送电子邮件通知系统管理员、执行指定的程序等。
(一)、启用***检测
一般***检测与DNS***检测的启用设置可以通过下图所示,选择“配置”→“常规”→单击“启用***检测和DNS***检测”的方法。
上图中的选项前面我已经介绍过了,再次只补充说明其中“端口扫描”处发生此端口扫描***次数后进行检测:
î 常用端口
也就是说只要常用的端口中有超过10个被扫描,就被视为是***行为。图中的端口数量可自行调整。所谓常用端口为1~2048之间的TCP/UDP端口。
î 所有端口
也就是说所有的端口中,只要有超过20个端口被扫描,就视为***行为。图中的端口数量可自行调整。
有一些数据包会被ISAServer丢弃,因为ISAServer检测到这些数据包是***数据包。若要ISAServer记录被丢弃的数据包,请选择上图中的“记录丢弃的数据包”。
可以通过下图中“DNS***”标签来设置DNS的***检测。
至于POP***检测只要启用POP***检测筛选器即可,而系统默认已经启用了这个筛选器,如下图所示,由下图中还可以看出DNS筛选器默认也被启用了。
(二)、警报设置
一旦ISAServer检测到***行为,系统就会发出警报,并且附带执行警报,而这些警报可以自定义。可以通过下图所示选择“监视”→“警报”的方法来查看警报记录,ISAServer会将相同类型的警报事件集合在一起,如下图中几个检测到***事件被放在一起,而且系统默认是相同的事件每隔1分钟才会记录一次,以避免记录太多的重复数据。
另外在“仪表盘”内也会有相关的摘要记录。
如果在上一个警报图片中选择某个警报事件后单击右方的“确认收到选择的警报”,则它的的状态会改为“已确认收到”,同时仪表板内就会将此事件删除。而如果是单击“重置选择的警报”,则改事件会被从警报窗口内删除。
也可以通过“开始”→“所有程序”→“事件查看器”→“应用程序”→双击警告事件(来源为Microsoft Firewall)的方法来产看此事件,如下图所示:
如果要更改警报配置或者配置警报,请单击前面警报图片中右边的“配置警报定义”,之后可以从下图中看出ISAServer支持各种不同类型的警报项目。
选择上图中的“检测到***”警报然后单击“编辑”按钮来更改其警报配置与警报动作。单击下图中的“事件”标签,我来解释图中的部分选项设置:
î 触发警报之前的事件发生的次数
可以在“发生次数”处指定事件发生多少次后,才发出警报;也可以在“每秒钟的事件数”处指定每秒发生事件多少次后,才发出警报。如果“发生次数”与“每秒钟的事件数”处都有设置,则必须两个条件都达到才会发出警报。
î 在后面每次到达阈值时,触发警报
用来设置“每次发生次数”或“每秒钟的事件数处”所设置的临界值到达时,是否要发出警报:
² 立即
表示只要前面的临界值到达时,就立即发出警报。
² 只有在手动重设警报时
表示必须按前面警报图片中“重置选择的警报”后,才会发出警报。
² 如果在上次执行后的分钟数超过了
前一次发出警报后,必须间隔此处所设置的事件后,才会发出警报。这是默认值,而且默认是1分钟。
可以通过下图中“操作”标签来设置发生警报事件时,是否要发送电子邮件给指定的使用者、运行指定的程序、将事件记录到Windows事件日志中、停止或启动选择的服务等,其中的“发送电子邮件”处需要指定用来发送电子邮件的SMTP服务器,并指定发件人与收件人。
(三)、阻止IP选项与IP片段数据包
阻止IP选项与IP片段数据包的设置方法为如下图所示选择“常规”→单击“配置IP保护”。
然后就可以通过下图中的“IP选项”标签来启用刷选IP选项数据包功能,系统默认已经启用此功能,并且阻止了部分的IP选项数据包。
而启用阻止IP片段数据包的方法是通过下图中“IP片段”便签来设置,系统默认并没有启用此功能。注意如果会有视/音频流与L2TP/IPSec ×××连接问题,请不要启动IP片段阻止功能。
(四)、启用淹没缓解功能
淹没缓解可以便面大量异常数据包通过ISA Server进入内部网络,其设置方法在ISA服务管理器控制台中单击“常规”→单击“配置淹没缓解设置”,然后通过下图来进行设置。
î 每个IP地址每分钟的最大TCP连接请求数
用来限制每个IP地址在每一分钟内最多被允许的TCP连接数量。
î 每个IP地址的最大TCP并行连接数
用来限制每个IP地址在同一时间内最多被允许的TCP链接数量。
î 最大TCP半开连接数
用来限制最多可允许的IP hakf scan数据包数量
î 每个IP地址每分钟的最大HTTP请求数
用来限制每个IP地址在每一分钟内最多被允许的HTTP请求数量。
î 每个规则每分钟的最大非TCP新会话数
用来限制每个规则、每个IP地址在每分钟内最多被允许的非TCP新会话数量。
î 每个IP地址的最大UDP并行会话数
用来限制每个IP地址在同一时间内最多被允许的UDP连接数量。
î 指定触发警报的拒绝数据包数
指定某一IP地址被拒绝的数据包超过指定数量时就触发警报。
î 记录被淹没缓解设置阻止的通信
请求系统记录因为淹没缓解设置而被阻止的通信
可以单击每个项目右边的“编辑”按钮来设置其限制值,如下图所示,图中限制选项用来设置限制值。如果要给予某些特定计算机不同限制值,请他哦难过图中的自定义限制选项来设置。
而这些特定的计算机的IP地址可以通过下图来指定添加。
好了关于ISAServer***检测及配置,我就写到这里。本文基本涵盖ISAServer***检测及配置大部分内容,希望能对大家做好ISA Server安全防护已经内网客户端管理能有所帮助!
本文出自 “周海鹏微软技术社区” 博客,请务必保留此出处[url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]
本文出自 51CTO.COM技术博客 |
转载于:https://blog.51cto.com/cj2536/124749
ISA Server***检测及配置相关推荐
- ISA SERVER 2004之配置网络负载平衡(NLB)
在这次实验中,将通过对ISAServer2004企业版进行配置,以使用NLB功能来达到对外访问的负载. 在这次实验中,使用了四台计算机,分别是Denver-Florence-Firenze–Istan ...
- Windows域环境下部署ISA Server 2006防火墙(四)
构建基于ISA Server 2006的远程接入×××服务器<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:off ...
- ISA系列之ISA Server 2004 中的新增功能--利用多个网络
本实验室在虚拟计算机中使用以下六台计算机. Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition.这两台计算机配备三个网卡,分别 ...
- 从ISA Server 2006升级到TMG2010
ISA Server的下个版本TMG2010已经发布有一段时间了,现在正在逐渐将原来的ISA Server 2006升级到TMG2010.由于TMG2010需要64位的CPU与Windows Serv ...
- ISA Server 2006 升级到 TMG2010
ISA Server的下个版本TMG2010已经发布有一段时间了,现在正在逐渐将原来的ISA Server 2006升级到TMG2010.由于TMG2010需要64位的CPU与Windows Serv ...
- 配置ISA Server 2006 ×××使用户轻松连接内网
ISA Server所支持的×××功能: 远程访问××× 站点间××× 可支持的×××通讯协议: PPTP L2TP IPSec 可使用网络规则及访问规则来控制×××网络与其他网络间 ...
- ISA Server实验环境搭建与企业×××配置
ISAServer是微软在企业网络边界防护上的代表产品.从ISAServer2000到现在被广泛应用的ISAServer2004和ISAServer2006以及即将推出的ISAServer2008,都 ...
- 深入理解及配置ISA Server 2006访问规则
ISA规则列表集合-->见下图: 防火墙策略概述: 源主机和目标主机必须位于不同的网络 ISA Server是严格按照顺序评估防火墙策略 系统策略优先于防火墙策略进行处理 访问规则是按照出 ...
- ISA系列之三:ISA Server 2004防火墙的基本配置
3.1 防火墙策略的组成<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" ...
最新文章
- 【整理】【转载】高薪是怎么跳出来的?
- Windows Server 2012R2 WDS部署Windows 7
- hdu1247 字典树或者hash
- 阿里P7架构师谈:MySQL慢查询优化、索引优化、以及表等优化总结
- Go性能测试benchmark
- DataWorks 功能实践 — 生产开发环境隔离
- 5G NR RLC:PDU Parameters
- 《软件架构设计》学习笔记--6--6大步骤2:领域建模
- rxjs 里的pipe operator
- 第三章选择结构(一)
- 学习Java的几大难题,你们都解决了吗?
- 在阿里云上安装MongoDB,并且远程连接
- 安装mosek并配置到matlab
- 苹果3D视觉报告:龙头引领行业大趋势
- Well-ordered String
- openstack云计算平台 2(计算服务、Networking 服务、命令行方式启动实例)
- mysql 在线热备_MySQL 热备份实现
- Linux宝塔Apache死机,宝塔面板重启不了apache,出现错误:httpd not running, trying to start...
- 图像检测:图像预处理
- 年产2万吨山楂酒工厂的设计-装瓶工段及车间的设计(lunwen+任务书+开题+选题表+cad图纸)
热门文章
- css: transform导致文字显示模糊
- ARM体系结构及内核回顾总结(一)
- Remoting技术简介
- su一键封面插件_插件分享丨一键制作SU爆炸分析图插件分享
- 存在于实数域的微观粒子5-可分类性
- python实例变量初始化_Python – 应该在__init__中初始化所有成员变量
- 【UGV】从单个麦轮受力到麦轮小车运动学分析
- PyTorch 训练可视化教程 visdom
- 4.8 这和大脑有什么关系-深度学习第一课《神经网络与深度学习》-Stanford吴恩达教授
- Ardino基础教程 24_RGB全彩LED