深入了解ISAServer*检测及配置**

2008-11-08 22:05:26

标签：ISAServer ***检测 *** 淹没缓解 DNS***　　　 [推送到技术圈]

深入了解ISAServer***检测及配置<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

ISAServer的***检测功能可以在遭受***时以右键通知、中断连接、中断所选服务、记录***行为或执行其他指定的操作等。我分两个方面来说：ISAServer支持的***检测项目和启用***检测与报警设置。

一、ISAServer支持的***检测项目

ISAServer支持以下几种***检测与数据包阻止功能：

Ø 一般***的***检测

Ø DNS***的***检测

Ø POP***检测

Ø 阻止包含IP选项的数据包

Ø 阻止IP片段的数据包

Ø 淹没缓解

（一）、一般***的***检测

ISAServer可以检测到以下的一般***行为，并发出报警；

î All prots scan attack

ISAServer会检测***者扫描端口的行为。可以指定端口的数量，只要被扫描的端口数量超过指定数量，就会发出报警。

î IP half scan attack

一个完整的连接是由提出连接请求这一端发出SYN信号、然后由被连接端发出一个响应信号SYN/ACK、最后提出一个连接请求这一端会再发出一个响应信号ACK。而一般来说，被连接端必须等收到ACK信号后，这个连接操作才算完成，被连接端才会有此连接的记录，可是IP half scan attack的***行为却是利用故意不返回ACK信号的方式，来规避被连接端记录此连接行为。ISAServer具备检测此类***行为能力。

î Land attack

这种***行为是***者将TCP数据包内的源IP地址与端口改为欺假的源IP地址与端口，也就是它会将源IP地址、端口都改为与目的地IP地址、端口。这种***行为会造成某些系统死机。

î Ping of death attack

***者会发出异常的ICMP echo request数据包给被***者，此异常数据包包含大量数据，会造成某些系统死机

î UDP bomb attack

***者会发出不合法的UDP数据包，造成某些系统死机。

î Windows out-of-band attack

一个被称为WinNuke的程序会送出Out-of-band（OOB）的数据包给被***者的端口139，这将造成被***者不是网络不通，就是系统死机。

（二）、DNS***的***检测

ISAServer包含的DNS筛选器可以检测以下的DNS***行为，并发出报警；

î DNS主机名溢出

查询DNS主机名的响应数据包内，其主机名的字段有固定的长度，而DNS主机名溢出的***行为就是故意让主机名超过此长度。有些应用程序不会检查主机名长度，因此在复制主机名时会造成内部缓冲溢出，让***者有机会执行***代码。

î DNS长度溢出

查询IP地址的DNS响应数据包内，有一个正常为4bytes的长度字段，而DNS长度溢出的***行为就是故意让DNS响应数据包超过长度，造成有些应用程序在执行DNS查询时发生内部缓冲溢出的现象，让***者有机会执行***程序代码。

î DNS区域转移

它是发生在DNS客户端应用程序与内部DNS服务器执行区域转移操作的时候。内部DNS服务器的区域内一般含有内部网络的重要信息，不应该被利用区域转移的方式发送到外部。

（三）、POP***检测

ISAServer的POP***检测筛选器会拦截与分析送到内部网络的POP流量，来检查是否有POP缓冲溢出的***行为。

（四）、阻止包含IP选项的数据包

有些***行为是通过IP头内的IP选项来***的，尤其是通过源路由选项来***内部网络的计算机。可以设置让ISAServer拒绝包含这类IP选项的数据包。

（五）、阻止IP片段的数据包

一个IP数据包可以被拆解为数个小的数据包来发送，这些小的数据包就是IP片段。当目的的计算机接收到这些IP片段后，会根据数据包内的offset（间距）数据来将它们重新组合成原始的数据包。例如正常的IP片段的offset数据可能是：

IP片段1：offset 100－300

IP片段2：offset 301－600

表示第1个IP片段是占用原始数据包的第100到300的位置、而第2个IP片段是占用原始数据包的第301到600的位置。

IP片段的***方式就是故意让offset数据重叠，例如；

IP片段1：offset 100－300

IP片段2：offset 200－400

如此当目的地计算机收到数据后，就无法将这些IP片段组合成原始的数据包，它可能会造成计算机停止反应，甚至重新开机。

可以设置让ISAServer阻止IP片段数据包，不过需注意启用此功能后，可能会干扰到视/音频流的功能，而且可能无法成功建立L2TP/IPSec ×××连接，因为在执行证书交换操作时可能会有IP片段的发生。如果有串流影音与L2TP/IP Server ×××连接问题，请不要启用IP片段筛选功能。

（六）、淹没缓解

它可以避免大量异常数据包通过ISAServer进入内部网络。

二、启用***检测与警报设置

系统默认已经启用了***检测功能，而且会自动记录***事件，除此之外我们还可以另外设置一旦发生***事件后，就自动执行指定的操作，列入发送电子邮件通知系统管理员、执行指定的程序等。

（一）、启用***检测

一般***检测与DNS***检测的启用设置可以通过下图所示，选择“配置”→“常规”→单击“启用***检测和DNS***检测”的方法。

上图中的选项前面我已经介绍过了，再次只补充说明其中“端口扫描”处发生此端口扫描***次数后进行检测：

î 常用端口

也就是说只要常用的端口中有超过10个被扫描，就被视为是***行为。图中的端口数量可自行调整。所谓常用端口为1～2048之间的TCP/UDP端口。

î 所有端口

也就是说所有的端口中，只要有超过20个端口被扫描，就视为***行为。图中的端口数量可自行调整。

有一些数据包会被ISAServer丢弃，因为ISAServer检测到这些数据包是***数据包。若要ISAServer记录被丢弃的数据包，请选择上图中的“记录丢弃的数据包”。

可以通过下图中“DNS***”标签来设置DNS的***检测。

至于POP***检测只要启用POP***检测筛选器即可，而系统默认已经启用了这个筛选器，如下图所示，由下图中还可以看出DNS筛选器默认也被启用了。

（二）、警报设置

一旦ISAServer检测到***行为，系统就会发出警报，并且附带执行警报，而这些警报可以自定义。可以通过下图所示选择“监视”→“警报”的方法来查看警报记录，ISAServer会将相同类型的警报事件集合在一起，如下图中几个检测到***事件被放在一起，而且系统默认是相同的事件每隔1分钟才会记录一次，以避免记录太多的重复数据。

另外在“仪表盘”内也会有相关的摘要记录。

如果在上一个警报图片中选择某个警报事件后单击右方的“确认收到选择的警报”，则它的的状态会改为“已确认收到”，同时仪表板内就会将此事件删除。而如果是单击“重置选择的警报”，则改事件会被从警报窗口内删除。

也可以通过“开始”→“所有程序”→“事件查看器”→“应用程序”→双击警告事件（来源为Microsoft Firewall）的方法来产看此事件，如下图所示：

如果要更改警报配置或者配置警报，请单击前面警报图片中右边的“配置警报定义”，之后可以从下图中看出ISAServer支持各种不同类型的警报项目。

选择上图中的“检测到***”警报然后单击“编辑”按钮来更改其警报配置与警报动作。单击下图中的“事件”标签，我来解释图中的部分选项设置：

î 触发警报之前的事件发生的次数

可以在“发生次数”处指定事件发生多少次后，才发出警报；也可以在“每秒钟的事件数”处指定每秒发生事件多少次后，才发出警报。如果“发生次数”与“每秒钟的事件数”处都有设置，则必须两个条件都达到才会发出警报。

î 在后面每次到达阈值时，触发警报

用来设置“每次发生次数”或“每秒钟的事件数处”所设置的临界值到达时，是否要发出警报：

² 立即

表示只要前面的临界值到达时，就立即发出警报。

² 只有在手动重设警报时

表示必须按前面警报图片中“重置选择的警报”后，才会发出警报。

² 如果在上次执行后的分钟数超过了

前一次发出警报后，必须间隔此处所设置的事件后，才会发出警报。这是默认值，而且默认是1分钟。

可以通过下图中“操作”标签来设置发生警报事件时，是否要发送电子邮件给指定的使用者、运行指定的程序、将事件记录到Windows事件日志中、停止或启动选择的服务等，其中的“发送电子邮件”处需要指定用来发送电子邮件的SMTP服务器，并指定发件人与收件人。

（三）、阻止IP选项与IP片段数据包

阻止IP选项与IP片段数据包的设置方法为如下图所示选择“常规”→单击“配置IP保护”。

然后就可以通过下图中的“IP选项”标签来启用刷选IP选项数据包功能，系统默认已经启用此功能，并且阻止了部分的IP选项数据包。

而启用阻止IP片段数据包的方法是通过下图中“IP片段”便签来设置，系统默认并没有启用此功能。注意如果会有视/音频流与L2TP/IPSec ×××连接问题，请不要启动IP片段阻止功能。

（四）、启用淹没缓解功能

淹没缓解可以便面大量异常数据包通过ISA Server进入内部网络，其设置方法在ISA服务管理器控制台中单击“常规”→单击“配置淹没缓解设置”，然后通过下图来进行设置。

î 每个IP地址每分钟的最大TCP连接请求数

用来限制每个IP地址在每一分钟内最多被允许的TCP连接数量。

î 每个IP地址的最大TCP并行连接数

用来限制每个IP地址在同一时间内最多被允许的TCP链接数量。

î 最大TCP半开连接数

用来限制最多可允许的IP hakf scan数据包数量

î 每个IP地址每分钟的最大HTTP请求数

用来限制每个IP地址在每一分钟内最多被允许的HTTP请求数量。

î 每个规则每分钟的最大非TCP新会话数

用来限制每个规则、每个IP地址在每分钟内最多被允许的非TCP新会话数量。

î 每个IP地址的最大UDP并行会话数

用来限制每个IP地址在同一时间内最多被允许的UDP连接数量。

î 指定触发警报的拒绝数据包数

指定某一IP地址被拒绝的数据包超过指定数量时就触发警报。

î 记录被淹没缓解设置阻止的通信

请求系统记录因为淹没缓解设置而被阻止的通信

可以单击每个项目右边的“编辑”按钮来设置其限制值，如下图所示，图中限制选项用来设置限制值。如果要给予某些特定计算机不同限制值，请他哦难过图中的自定义限制选项来设置。

而这些特定的计算机的IP地址可以通过下图来指定添加。

好了关于ISAServer***检测及配置，我就写到这里。本文基本涵盖ISAServer***检测及配置大部分内容，希望能对大家做好ISA Server安全防护已经内网客户端管理能有所帮助！

本文出自 “周海鹏微软技术社区” 博客，请务必保留此出处[url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]

本文出自 51CTO.COM技术博客

转载于:https://blog.51cto.com/cj2536/124749

ISA Server***检测及配置相关推荐

ISA SERVER 2004之配置网络负载平衡(NLB)
在这次实验中,将通过对ISAServer2004企业版进行配置,以使用NLB功能来达到对外访问的负载. 在这次实验中,使用了四台计算机,分别是Denver-Florence-Firenze–Istan ...
Windows域环境下部署ISA Server 2006防火墙（四）
构建基于ISA Server 2006的远程接入×××服务器<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:off ...
ISA系列之ISA Server 2004 中的新增功能--利用多个网络
本实验室在虚拟计算机中使用以下六台计算机. Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition.这两台计算机配备三个网卡,分别 ...
从ISA Server 2006升级到TMG2010
ISA Server的下个版本TMG2010已经发布有一段时间了,现在正在逐渐将原来的ISA Server 2006升级到TMG2010.由于TMG2010需要64位的CPU与Windows Serv ...
ISA Server 2006 升级到 TMG2010
ISA Server的下个版本TMG2010已经发布有一段时间了,现在正在逐渐将原来的ISA Server 2006升级到TMG2010.由于TMG2010需要64位的CPU与Windows Serv ...
配置ISA Server 2006 ×××使用户轻松连接内网
ISA Server所支持的×××功能: 远程访问××× 站点间××× 可支持的×××通讯协议: PPTP L2TP IPSec 可使用网络规则及访问规则来控制×××网络与其他网络间 ...
ISA Server实验环境搭建与企业×××配置
ISAServer是微软在企业网络边界防护上的代表产品.从ISAServer2000到现在被广泛应用的ISAServer2004和ISAServer2006以及即将推出的ISAServer2008,都 ...
深入理解及配置ISA Server 2006访问规则
ISA规则列表集合-->见下图: 防火墙策略概述: 源主机和目标主机必须位于不同的网络 ISA Server是严格按照顺序评估防火墙策略系统策略优先于防火墙策略进行处理访问规则是按照出 ...
ISA系列之三:ISA Server 2004防火墙的基本配置
3．1 防火墙策略的组成<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" ...

ISA Server***检测及配置

深入了解ISAServer*检测及配置**

ISA Server***检测及配置相关推荐

最新文章

热门文章