詳解ISA2006的HTTP過濾功能ISAServer2006究竟能夠過濾HTTP數(shù)據(jù)包中的哪些內(nèi)容，在此列舉如下：頭長度的上限。要求負(fù)載長度的上限。URL與查詢長度的上限。驗證正則化與阻止高位字符阻止可執(zhí)行Windows命令的數(shù)據(jù)包通過。阻止指定的HTTP連接方法（Method）。阻止執(zhí)行或下載指定的擴展名文件。阻止指定的請求頭或響應(yīng)頭的內(nèi)容。阻止包含的簽名內(nèi)容。看完了上述HTTP數(shù)據(jù)包過濾策略的說明之后，接下來就讓我們來看看它的設(shè)置方法。目前我的ISA2006中只有一條訪問規(guī)則Allowall,內(nèi)容是允許內(nèi)網(wǎng)和本地主機任意訪問，我們?nèi)绻朐谶@條訪問規(guī)則上設(shè)置HTTP過濾，只要在規(guī)則屬性中切換到“協(xié)議”標(biāo)簽，如下圖所示，點擊右下角的“篩選”，選擇“配置HTTP“就可以進行HTTP過濾設(shè)置了。

一常規(guī)設(shè)置如下圖所示，在HTTP策略的“常規(guī)“標(biāo)簽中，我們可以設(shè)置頭長度的上限、負(fù)載長度的上限、URL長度上限、查詢長度、驗證正則化與阻止高位字符以及阻止可執(zhí)行Windows命令的數(shù)據(jù)包通過，具體解釋如下：

頭長度的上限：此參數(shù)設(shè)置為較小的值可有效防止一些會導(dǎo)致緩沖區(qū)溢出的黑客程序的攻擊，不過在此不建議設(shè)置小于10000字節(jié)的大小，因為它可能也會導(dǎo)致一些合法的應(yīng)用程序無法訪問。負(fù)載長度的上限：有效地設(shè)置此值，可防止企業(yè)內(nèi)部所發(fā)布的網(wǎng)站遭受到通過HTTP中的POST方法傳送大量的惡意數(shù)據(jù)包，而導(dǎo)致網(wǎng)站系統(tǒng)的負(fù)載過大。URL長度上限：設(shè)置超過此設(shè)限的網(wǎng)址長度將被阻止掉。查詢長度上限：在過去有一些蠕蟲程序就是通過傳送大量的GET要求給受害的目的地網(wǎng)站，藉此來癱瘓該網(wǎng)站的系統(tǒng)資源。驗證正則化與阻止高位字符：對于一些連接要求的數(shù)據(jù)包中，如果含有非正則化的字符與高位的內(nèi)容可以在此加以阻止，不過必須注意的是如果網(wǎng)站是全中文化的，那么阻止高位的設(shè)置將會導(dǎo)致該網(wǎng)頁無法正常顯示，例如中文版ExchangeServer2003OWA的發(fā)布就是如此。阻止包含Windows可執(zhí)行文件內(nèi)容的響應(yīng):還記得最早以前的紅色警戒病毒嗎？它就是憑借傳送帶有可執(zhí)行Windows命令（CMD/C）的數(shù)據(jù)包給目的地的IIS網(wǎng)站，來藉此入侵該網(wǎng)站的操作系統(tǒng)。ISA現(xiàn)在可以利用HTTP過濾有效阻止這種攻擊。

二方法切換到HTTP策略的“方法“標(biāo)簽，如下圖所示，我們可以阻止特定的HTTP方法。例如有些公司不希望員工在上班時間去論壇發(fā)貼子，我們就可以通過阻止POST方法來完成。如下圖所示，我們阻止了客戶機使用HTTP的POST方法，我們看看能否起到作用？在客戶機上訪問百度的貼吧，準(zhǔn)備發(fā)個帖子測試一下，如下圖所示。測試結(jié)果如下圖所示，ISA的HTTP過濾器拒絕了這個訪問請求。阻止方法還可以用于別的用途，例如我們想禁止用戶訪問代理服務(wù)器，就可以考慮阻止CONNECT方法，這樣一來用戶就不能和Web代理服務(wù)器建立連接了。三擴展名切換到HTTP過濾的“擴展名”標(biāo)簽，如下圖所示，我們在此可以阻止通過HTTP協(xié)議訪問一些具有特定擴展名的文件。如果我們希望阻止用戶不小心從網(wǎng)站下載或執(zhí)行惡意代碼，那么就可以在擴展名中阻止*.exe、*.vbs、*.js、*.com等。

在HTTP過濾中阻止了訪問*.exe擴展名后，我們來實驗一下，如下圖所示，我們在客戶機上下載ISA2006的180天試用版，下載的文件擴展名是exe。結(jié)果如下圖所示，下載請求被ISA過濾器阻止了。四HTTP頭在HTTP策略屬性中切換到“頭”標(biāo)簽，如下圖所示，我們可以阻止指定的請求頭或響應(yīng)頭。

下面是一些最常見的請求頭，大家可以參考使用。Accept：瀏覽器可接受的MIME類型。Accept-Charset：瀏覽器可接受的字符集。Accept-Encoding:瀏覽器能夠進行解碼的數(shù)據(jù)編碼方式，比如gzip。Servlet能夠向支持gzip的瀏覽器返回經(jīng)gzip編碼的HTML頁面。許多情形下這可以減少5到10倍的下載時間。Accept-Language：瀏覽器所希望的語言種類，當(dāng)服務(wù)器能夠提供一種以上的語言版本時要用到。Authorization：授權(quán)信息，通常出現(xiàn)在對服務(wù)器發(fā)送的WWW-Authenticate頭的應(yīng)答中。Connection:表示是否需要持久連接。如果Servlet看到這里的值為“Keep-Alive”，或者看到請求使用的是HTTP1.1（HTTP1.1默認(rèn)進行持久連接），它就可以利用持久連接的優(yōu)點，當(dāng)頁面包含多個元素時（例如Applet，圖片），顯著地減少下載所需要的時間。要實現(xiàn)這一點，Servlet需要在應(yīng)答中發(fā)送一個Content-Length頭，最簡單的實現(xiàn)方法是：先把內(nèi)容寫入ByteArrayOutputStream，然后在正式寫出內(nèi)容之前計算它的大小。Content-Length：表示請求消息正文的長度。Cookie:這是最重要的請求頭信息之一From：請求發(fā)送者的email地址，由一些特殊的Web客戶程序使用，瀏覽器不會用到它。Host:初始URL中的主機和端口。Pragma:指定“no-cache”值表示服務(wù)器必須返回一個刷新后的文檔，即使它是代理服務(wù)器而且已經(jīng)有了頁面的本地拷貝。Referer:包含一個URL，用戶從該URL代表的頁面出發(fā)訪問當(dāng)前請求的頁面。User-Agent：瀏覽器類型，如果Servlet返回的內(nèi)容與瀏覽器類型有關(guān)則該值非常有用。UA-Pixels,UA-Color,UA-OS,UA-CPU:由某些版本的IE瀏覽器所發(fā)送的非標(biāo)準(zhǔn)的請求頭，表示屏幕大小、顏色深度、操作系統(tǒng)和CPU類型。五簽名很多文檔在介紹ISA的HTTP過濾功能時都會重點介紹簽名，簽名其實就是HTTP數(shù)據(jù)包中有規(guī)律出現(xiàn)的特征數(shù)據(jù)。我們想阻止一些HTTP應(yīng)用程序，就可以分析一下這些程序在通訊時有哪些特征數(shù)據(jù)，然后把這些特征數(shù)據(jù)以簽名的形式提交給ISA，這樣ISA就可以阻止這些應(yīng)用程序了。最典型的例子就是即時通訊軟件，如QQ,MSN等。XP中自帶了一個MSN客戶端軟件WindowsMessenger，以此軟件為例，WindowsMessenger登錄服務(wù)器時有三種方式1使用MSNMessenger協(xié)議直接連接MSN服務(wù)器的1863端口。2使用HTTP協(xié)議連接MSN服務(wù)器的80端口。3使用代理服務(wù)器連接到MSN服務(wù)器的80端口。其中第一種和第二種連接方式是很容易控制的，我們在ISA上封掉MSN服務(wù)器即可，雖然MSN服務(wù)器數(shù)量不少，但畢竟只是時間問題。第三種方法就不太好控制了，訪問者通過代理服務(wù)器繞到MSN服務(wù)器上，從ISA的角度來看這只是內(nèi)網(wǎng)的一臺客戶機訪問外網(wǎng)的一臺服務(wù)器而已。我們不可能封掉所有的代理服務(wù)器，這時就要靠簽名了，我們要找出MSN客戶端通過代理服務(wù)器訪問MSN服務(wù)器時的特征數(shù)據(jù)，依靠這個來封掉MSN。微軟網(wǎng)站給出了常用的即時通訊軟件的簽名，如下表所示。應(yīng)用程序名稱搜尋范圍HTTP頭定義簽名內(nèi)容MSNMessengerRequestheaders（請求頭）User-Agent:MSNMessengerWindowsMessengerRequestheaders（請求頭）User-Agent:MSMSGSNetscape7Requestheaders（請求頭）User-Agent:Netscape/7Netscape6Requestheaders（請求頭）User-Agent:Netscape/6

AOLMessengerRequestheaders（請求頭）User-Agent:Gecko/YahooMessengerRequestheaders（請求頭）HosKazaaRequestheaders（請求頭）P2P-AgentKazaaKazaaclient:KazaaRequestheaders（請求頭）User-Agent:KazaaClientKazaaRequestheaders（請求頭）X—Kazaa-Network:KaZaAGnutellaRequestheaders（請求頭）User-Agent:GnutellaGnucleusEdonkeyRequestheaders（請求頭）User-Agent:e2dkInternetExplorer6.0Requestheaders（請求頭）User-Agent:MSIE6.0MorpheusResponseheader（響應(yīng)頭）ServerMorpheusBearshareResponseheader（響應(yīng)頭）ServerBearshareBitTorrentRequestheaders（請求頭）User-Agent:BitTorrentSOAPoverHTTPRequestheaders（請求頭）Responseheaders（響應(yīng)頭）User-Agent:SOAPAction按照表中內(nèi)容，我們在ISA中利用簽名封鎖MSN。在HTTP策略屬性的“簽名”標(biāo)簽處點擊“添加”，如下圖所示，我們?yōu)楹灻∶麨镸SN”，查找范圍是“請求頭”，HTTP頭是“User-Agent”，簽名內(nèi)容是“MSMSGS”。

在HTTP過濾中阻止了MSN簽名后，再用WindowsMessenger通過代理服務(wù)器登錄，原本是可以登錄的，現(xiàn)在只能收到如下圖的錯誤提示，簽名設(shè)置成功了。取消由于密碼不正確或登錄名不存在取消由于密碼不正確或登錄名不存在j導(dǎo)致登錄.NETMessengerService失敗口如果您V忘記了密碼，諳單擊主窗口中的?幫助“，然后單擊”幫肋主題冷那如果我們要的簽名在表中沒有怎么辦呢？我們可以通過抓包器來抓包分析。以WindowsMessenger為例，如果我們想獲取簽名，只要在一臺客戶機上用WindowsMessenger登錄，然后啟動抓包器抓包就可以了。抓包器我一般喜歡用Ethereal，其實用Windows自帶的網(wǎng)絡(luò)監(jiān)視器也可以，我們甚至可以用網(wǎng)絡(luò)監(jiān)視器抓包，然后用Ethereal解碼分析。下圖就是網(wǎng)絡(luò)監(jiān)視器抓到的WindwosMessenger登錄服務(wù)器時的數(shù)據(jù)包，圖中很明顯地看到User-Agent的內(nèi)容是MSMSGS，這就是我們要的簽名。

AK一4Ifet11Xft■9PKmg?FL-ft0fSTHPJW^I'PtncwEF；z?OI-XIIAK一4Ifet11Xft■9PKmg?FL-ft0fSTHPJW^I'PtncwEF；z?OI-XII■W?FFa:皚<卜Lwvi￡!Wn105!^li網(wǎng)￥FJm"#皿*F.L-ndl-i廳門：村?”「尸；TElCW5?'T*CT4Ql^liUXM■XO^Fh*EmiielA1?Q-Mq,JTTT汗PliFu呂4QIWucuKQjmCvMjtsIIhlli■Iw0-mmCfUWn*0筍篦“owjn11X41Ert^idlVMvA；.L-*罠怙、畑艸徒:碼心EWK<：l?Ti訐10ownwr4mwr>FvtoUvl■(■啊A .a.■IMJimEWKH口■O山CillLCUMij/nIklvAMi-l1EPTk["V-,4CT14ITWamHh>l-E>fel4A[?■亂1M百百胃呻応?,riFiTi口N0IWI4Mmfwwif址Vb??*lm?皿5甘由時4SMmiwmnit0I7K14LX?LwsmCrtirelPlilv=■IK*.屮HJ^WVI