ISAServer***检测及配置

深入了解ISAServer***检测及配置<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

ISAServer的***检测功能可以在遭受***时以右键通知、中断连接、中断所选服务、记录***行为或执行其他指定的操作等。我分两个方面来说：ISAServer支持的***检测项目和启用***检测与报警设置。

一、ISAServer支持的***检测项目

ISAServer支持以下几种***检测与数据包阻止功能：

Ø 一般***的***检测

Ø DNS***的***检测

Ø POP***检测

Ø 阻止包含IP选项的数据包

Ø 阻止IP片段的数据包

Ø 淹没缓解

（一）、一般***的***检测

ISAServer可以检测到以下的一般***行为，并发出报警；

î All prots scan attack

ISAServer会检测***者扫描端口的行为。可以指定端口的数量，只要被扫描的端口数量超过指定数量，就会发出报警。

î IP half scan attack

一个完整的连接是由提出连接请求这一端发出SYN信号、然后由被连接端发出一个响应信号SYN/ACK、最后提出一个连接请求这一端会再发出一个响应信号ACK。而一般来说，被连接端必须等收到ACK信号后，这个连接操作才算完成，被连接端才会有此连接的记录，可是IP half scan attack的***行为却是利用故意不返回ACK信号的方式，来规避被连接端记录此连接行为。ISAServer具备检测此类***行为能力。

î Land attack

这种***行为是***者将TCP数据包内的源IP地址与端口改为欺假的源IP地址与端口，也就是它会将源IP地址、端口都改为与目的地IP地址、端口。这种***行为会造成某些系统死机。

î Ping of death attack

***者会发出异常的ICMP echo request数据包给被***者，此异常数据包包含大量数据，会造成某些系统死机

î UDP bomb attack

***者会发出不合法的UDP数据包，造成某些系统死机。

î Windows out-of-band attack

一个被称为WinNuke的程序会送出Out-of-band（OOB）的数据包给被***者的端口139，这将造成被***者不是网络不通，就是系统死机。

（二）、DNS***的***检测

ISAServer包含的DNS筛选器可以检测以下的DNS***行为，并发出报警；

î DNS主机名溢出

查询DNS主机名的响应数据包内，其主机名的字段有固定的长度，而DNS主机名溢出的***行为就是故意让主机名超过此长度。有些应用程序不会检查主机名长度，因此在复制主机名时会造成内部缓冲溢出，让***者有机会执行***代码。

î DNS长度溢出

查询IP地址的DNS响应数据包内，有一个正常为4bytes的长度字段，而DNS长度溢出的***行为就是故意让DNS响应数据包超过长度，造成有些应用程序在执行DNS查询时发生内部缓冲溢出的现象，让***者有机会执行***程序代码。

î DNS区域转移

它是发生在DNS客户端应用程序与内部DNS服务器执行区域转移操作的时候。内部DNS服务器的区域内一般含有内部网络的重要信息，不应该被利用区域转移的方式发送到外部。

（三）、POP***检测

ISAServer的POP***检测筛选器会拦截与分析送到内部网络的POP流量，来检查是否有POP缓冲溢出的***行为。

（四）、阻止包含IP选项的数据包

有些***行为是通过IP头内的IP选项来***的，尤其是通过源路由选项来***内部网络的计算机。可以设置让ISAServer拒绝包含这类IP选项的数据包。

（五）、阻止IP片段的数据包

一个IP数据包可以被拆解为数个小的数据包来发送，这些小的数据包就是IP片段。当目的的计算机接收到这些IP片段后，会根据数据包内的offset（间距）数据来将它们重新组合成原始的数据包。例如正常的IP片段的offset数据可能是：

IP片段1：offset 100－300

IP片段2：offset 301－600

表示第1个IP片段是占用原始数据包的第100到300的位置、而第2个IP片段是占用原始数据包的第301到600的位置。

IP片段的***方式就是故意让offset数据重叠，例如；

IP片段1：offset 100－300

IP片段2：offset 200－400

如此当目的地计算机收到数据后，就无法将这些IP片段组合成原始的数据包，它可能会造成计算机停止反应，甚至重新开机。

可以设置让ISAServer阻止IP片段数据包，不过需注意启用此功能后，可能会干扰到视/音频流的功能，而且可能无法成功建立L2TP/IPSec ×××连接，因为在执行证书交换操作时可能会有IP片段的发生。如果有串流影音与L2TP/IP Server ×××连接问题，请不要启用IP片段筛选功能。

（六）、淹没缓解

它可以避免大量异常数据包通过ISAServer进入内部网络。

二、启用***检测与警报设置

系统默认已经启用了***检测功能，而且会自动记录***事件，除此之外我们还可以另外设置一旦发生***事件后，就自动执行指定的操作，列入发送电子邮件通知系统管理员、执行指定的程序等。

（一）、启用***检测

一般***检测与DNS***检测的启用设置可以通过下图所示，选择“配置”→“常规”→单击“启用***检测和DNS***检测”的方法。

上图中的选项前面我已经介绍过了，再次只补充说明其中“端口扫描”处发生此端口扫描***次数后进行检测：

î 常用端口

也就是说只要常用的端口中有超过10个被扫描，就被视为是***行为。图中的端口数量可自行调整。所谓常用端口为1～2048之间的TCP/UDP端口。

î 所有端口

也就是说所有的端口中，只要有超过20个端口被扫描，就视为***行为。图中的端口数量可自行调整。

有一些数据包会被ISAServer丢弃，因为ISAServer检测到这些数据包是***数据包。若要ISAServer记录被丢弃的数据包，请选择上图中的“记录丢弃的数据包”。

可以通过下图中“DNS***”标签来设置DNS的***检测。

至于POP***检测只要启用POP***检测筛选器即可，而系统默认已经启用了这个筛选器，如下图所示，由下图中还可以看出DNS筛选器默认也被启用了。

（二）、警报设置

一旦ISAServer检测到***行为，系统就会发出警报，并且附带执行警报，而这些警报可以自定义。可以通过下图所示选择“监视”→“警报”的方法来查看警报记录，ISAServer会将相同类型的警报事件集合在一起，如下图中几个检测到***事件被放在一起，而且系统默认是相同的事件每隔1分钟才会记录一次，以避免记录太多的重复数据。

另外在“仪表盘”内也会有相关的摘要记录。

如果在上一个警报图片中选择某个警报事件后单击右方的“确认收到选择的警报”，则它的的状态会改为“已确认收到”，同时仪表板内就会将此事件删除。而如果是单击“重置选择的警报”，则改事件会被从警报窗口内删除。

也可以通过“开始”→“所有程序”→“事件查看器”→“应用程序”→双击警告事件（来源为Microsoft Firewall）的方法来产看此事件，如下图所示：

如果要更改警报配置或者配置警报，请单击前面警报图片中右边的“配置警报定义”，之后可以从下图中看出ISAServer支持各种不同类型的警报项目。

选择上图中的“检测到***”警报然后单击“编辑”按钮来更改其警报配置与警报动作。单击下图中的“事件”标签，我来解释图中的部分选项设置：

î 触发警报之前的事件发生的次数

可以在“发生次数”处指定事件发生多少次后，才发出警报；也可以在“每秒钟的事件数”处指定每秒发生事件多少次后，才发出警报。如果“发生次数”与“每秒钟的事件数”处都有设置，则必须两个条件都达到才会发出警报。

î 在后面每次到达阈值时，触发警报

用来设置“每次发生次数”或“每秒钟的事件数处”所设置的临界值到达时，是否要发出警报：

² 立即

表示只要前面的临界值到达时，就立即发出警报。

² 只有在手动重设警报时

表示必须按前面警报图片中“重置选择的警报”后，才会发出警报。

² 如果在上次执行后的分钟数超过了

前一次发出警报后，必须间隔此处所设置的事件后，才会发出警报。这是默认值，而且默认是1分钟。

可以通过下图中“操作”标签来设置发生警报事件时，是否要发送电子邮件给指定的使用者、运行指定的程序、将事件记录到Windows事件日志中、停止或启动选择的服务等，其中的“发送电子邮件”处需要指定用来发送电子邮件的SMTP服务器，并指定发件人与收件人。

（三）、阻止IP选项与IP片段数据包

阻止IP选项与IP片段数据包的设置方法为如下图所示选择“常规”→单击“配置IP保护”。

然后就可以通过下图中的“IP选项”标签来启用刷选IP选项数据包功能，系统默认已经启用此功能，并且阻止了部分的IP选项数据包。

而启用阻止IP片段数据包的方法是通过下图中“IP片段”便签来设置，系统默认并没有启用此功能。注意如果会有视/音频流与L2TP/IPSec ×××连接问题，请不要启动IP片段阻止功能。

（四）、启用淹没缓解功能

淹没缓解可以便面大量异常数据包通过ISA Server进入内部网络，其设置方法在ISA服务管理器控制台中单击“常规”→单击“配置淹没缓解设置”，然后通过下图来进行设置。

î 每个IP地址每分钟的最大TCP连接请求数

用来限制每个IP地址在每一分钟内最多被允许的TCP连接数量。

î 每个IP地址的最大TCP并行连接数

用来限制每个IP地址在同一时间内最多被允许的TCP链接数量。

î 最大TCP半开连接数

用来限制最多可允许的IP hakf scan数据包数量

î 每个IP地址每分钟的最大HTTP请求数

用来限制每个IP地址在每一分钟内最多被允许的HTTP请求数量。

î 每个规则每分钟的最大非TCP新会话数

用来限制每个规则、每个IP地址在每分钟内最多被允许的非TCP新会话数量。

î 每个IP地址的最大UDP并行会话数

用来限制每个IP地址在同一时间内最多被允许的UDP连接数量。

î 指定触发警报的拒绝数据包数

指定某一IP地址被拒绝的数据包超过指定数量时就触发警报。

î 记录被淹没缓解设置阻止的通信

请求系统记录因为淹没缓解设置而被阻止的通信

可以单击每个项目右边的“编辑”按钮来设置其限制值，如下图所示，图中限制选项用来设置限制值。如果要给予某些特定计算机不同限制值，请他哦难过图中的自定义限制选项来设置。

而这些特定的计算机的IP地址可以通过下图来指定添加。

好了关于ISAServer***检测及配置，我就写到这里。本文基本涵盖ISAServer***检测及配置大部分内容，希望能对大家做好ISA Server安全防护已经内网客户端管理能有所帮助！

本文出自 “周海鹏微软技术社区” 博客，请务必保留此出处[url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]

本文出自 51CTO.COM技术博客

转载于:https://blog.51cto.com/ejunren/124684

ISAServer***检测及配置相关推荐

ISA Server***检测及配置
深入了解ISAServer***检测及配置 2008-11-08 22:05:26 标签:ISAServer ***检测 *** 淹没缓解 DNS*** [推送到技术圈] 版权声明:原创作品,允许转载 ...
彻底剖析ISAServer客户端及配置之一
最近由于我儿子的出世,事情多了好多,也将<彻底剖析ISAServer客户端及配置>此片博文拖延了好久,这篇博文也足足让我写了一周时间,为此让经常看我博文的博友感到很抱歉,毕竟好长时间没有更 ...
对计算机设备配置的认识,检测计算机硬件配置，知道你选购的计算机配置是否真实...
原标题:检测计算机硬件配置,知道你选购的计算机配置是否真实第一种方法使用软件测试,鲁大师就是一个不错的选择.但是,细节还是要说一说. 1. 在官网下载鲁大师软件,这一点非常的重要,很多人不在意,一定 ...
深度学习自学（六）：Android人脸检测环境配置等相关问题
Android人脸检测环境配置等相关问题 1.android studio 包查找不到 2.android studio 快捷键搜索类的快捷键是Ctrl+N,搜索以后点击结果,可以跳到相应类的文件. ...
H3C静态路由与BFD联动（单跳检测）配置案例
1. 组网需求 l 在Switch A上配置静态路由可以到达Switch C,并使能BFD检测功能. l 当Switch A和Switch B之间的 ...
怎么查计算机硬件配置,怎么查看电脑硬件配置详细信息|韩博士一键检测电脑配置...
原标题:怎么查看电脑硬件配置详细信息|韩博士一键检测电脑配置现如今,电脑已经基本上是生活的必需品.但是我们也知道电脑操作系统对电脑本身的配置是有要求额度,特别是win7系统以上的版本.如果说电脑配置 ...
ossec开源入侵检测系统安装配置
ossec开源入侵检测系统安装配置,文档对server/agent模式进行详细介绍,如果只有一台服务器,可以用local模式,这种方式安装更为简单. OSSEC简要介绍: OSSEC 是一款开源的入 ...
Windows下检测电脑配置以及主板显卡接口的方法（比如是否是PCI-E接口及型号）
Windows下检测电脑配置以及主板显卡接口的方法(比如是否是PCI-E接口及型号) 一般windows下使用CPU-Z和GPU-Z等工具来查看,对于ludashi等软件可能没有这么详细,软件网盘下载 ...
车辆视频检测器检测参数配置
车辆视频检测器检测参数的最佳配置 double whiteCarYuZhi=14;//白色车阈值 double blackCarYuZhi=7;//黑色车阈值5 double otherCarYuZh ...

ISAServer***检测及配置

ISAServer***检测及配置相关推荐

最新文章

热门文章