В этом разделе описывается, как выполняется настройка фильтров HTTP. Фильтр HTTP может использоваться в правилах для входящего и исходящего доступа. С его помощью можно управлять типами HTTP-данных и команд, которым требуется разрешить пересечение межсетевого экрана.
Для получения более подробных сведений об использовании фильтрации HTTP см. раздел Планирование фильтрации HTTP.
В следующих процедурах описываются действия, которые требуется выполнить для настройки фильтрации HTTP в правиле доступа:
- Доступ к правилу для
фильтрации HTTP — описывается, как выполняется доступ к
диалоговому окну Настроить политику HTTP для правила, в
котором может осуществляться настройка HTTP фильтрации.
- Настройка блокировки
заголовков и URL-адресов — описывается, как задается
максимальный размер в байтах для заголовка, полезная нагрузка,
URL-адрес или запрос, а также как можно заблокировать запросы к
URL-адресам, содержащие определенные знаки.
- Настройка
HTTP-методов (команд) — описывается, как можно заблокировать
определенные HTTP-методы (команды), расширения и заголовки.
- Настройка блокировки
расширений HTTP — описывается, как можно заблокировать
определенные расширения, например исполняемые (*.exe) файлы.
- Настройка
блокировки заголовков — описывается, как можно заблокировать
определенные HTTP-заголовки.
- Настройка
заблокированных подписей — описывается, как можно заблокировать
определенные подписи, которые могут представлять собой любую строку
в заголовке или основном тексте.
- Определение подписей
— описывается, как выполняется отслеживание сетевого трафика с
целью определить его подпись.
Доступ к правилу для фильтрации HTTP
Чтобы получить доступ к правилу для настройки фильтрации HTTP, выполните следующие действия:
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
В области сведений щелкните правой кнопкой правило, которое нужно изменить, и выберите команду Настроить HTTP. Откроется диалоговое окно Настроить политику HTTP для правила.
-
Настройте фильтрацию HTTP в соответствии с потребностями сети предприятия, используя инструкции, указанные в следующих процедурах.
Настройка блокировки заголовков и URL-адресов
Примечание. |
---|
Описание параметров, необходимых для настройки в этой процедуре, см. в подразделе "Общие сведения о параметрах фильтрации HTTP" раздела Планирование фильтрации HTTP. |
Чтобы настроить блокировку заголовков и URL-адресов, выполните следующие действия:
-
Перейдите на вкладку Общие в диалоговом окне Настроить политику HTTP для правила
-
В поле Максимальная длина заголовков (байт) укажите максимальное количество байтов, которое может использоваться в URL-адресе и HTTP-заголовке запроса HTTP, при превышении которого происходит блокировка.
Примечание. Этот параметр применяется ко всем правилам, то есть его изменение в одном правиле отражается на всех остальных правилах. -
Снимите флажок Разрешить любую длину полезных данных, чтобы включить блокировку запросов с превышением числа байтов, указанного в поле Максимальная длина полезных данных (байт).
-
В поле Максимальная длина URL-адреса (байт) введите максимально допустимую длину URL-адреса. Запросы, длина URL-адреса которых превышает это значение, будут блокироваться.
-
В поле Максимальная длина запроса (байт) введите максимально допустимую длину запроса. Запросы, длина которых превышает это значение, будут блокироваться.
-
Выберите параметр Проверять нормализацию, чтобы включить блокировку запросов с URL-адресами, содержащими переключенные знаки после нормализации.
Примечание. Хотя рекомендуется использовать функцию проверки нормализации, однако следует иметь в виду, что она может заблокировать допустимые запросы, содержащие знак %. -
Выберите параметр Блокировать символы расширенного набора, чтобы включить блокировку URL-адресов, содержащих символы из расширенного набора.
-
Выберите параметр Блокировать запросы, содержащие исполняемое содержимое Windows, чтобы включить блокировку ответов, содержащих исполняемое содержимое Windows (это ответы, начинающиеся с символов "MZ").
Настройка HTTP-методов (команд)
HTTP-методы (также называются HTTP-командами) представляют собой инструкции, отправляемые в сообщении запроса, уведомляющего HTTP-сервер о действии, которое необходимо выполнить с указанным ресурсом. В качестве примера блокировки методом можно привести блокировку метода POST, при которой внутренние клиенты не могут размещать данные на внешней веб-странице. Это очень удобно для безопасных сетевых сценариев, когда требуется предотвратить размещение на веб-сайте важной информации. Также такая блокировка удобна при веб-публикации: она позволяет предотвратить размещение злоумышленниками вредоносного материала на веб-сайте.
Чтобы настроить HTTP-методы, выполните следующие действия:
-
Перейдите на вкладку Методы в диалоговом окне Настроить политику HTTP для правила
-
В разделе Укажите действие для HTTP-методов выберите действие, которое следует выполнять для перечисленных методов. Можно либо разрешить все методы, либо заблокировать перечисленные и разрешить все остальные, либо разрешить перечисленные и заблокировать все остальные. Рекомендуется разрешать только выбранные методы, так как это наиболее безопасная конфигурация.
-
Чтобы добавить метод, нажмите кнопку Добавить. В диалоговом окне Метод введите метод, который требуется добавить.
-
Чтобы удалить существующий метод, выберите его из списка и нажмите кнопку Удалить.
-
Чтобы изменить существующий метод, выберите его из списка и нажмите кнопку Изменить.
Настройка блокировки расширений HTTP
Можно разрешить все расширения либо только указанные в списке. Либо можно заблокировать расширения из списка и разрешить все остальные. Рекомендуется разрешать только выбранные расширения, так как это наиболее безопасная конфигурация. Например, при публикации веб-сайта разработчик этого сайта или администратор веб-сервера могут определить список расширений, необходимых для нормального функционирования узла.
Чаще всего блокировка расширений используется для блокировки исполняемых (.exe) файлов.
Чтобы настроить блокировку расширений HTTP, выполните следующие действия:
-
Перейдите на вкладку Расширения в диалоговом окне Настроить политику HTTP для правила.
-
В разделе Укажите действия для расширений файлов выберите нужное действие.
-
Выберите параметр Блокировать запросы, содержащие неоднозначные расширения, чтобы включить блокировку запросов с расширениями, которые не могут быть определены.
-
Чтобы добавить расширение, нажмите кнопку Добавить. В диалоговом окне Расширение введите расширение, которое необходимо добавить.
-
Чтобы изменить существующее расширение, выберите его из списка и нажмите кнопку Изменить.
-
Чтобы удалить существующее расширение, выберите его из списка и нажмите кнопку Удалить.
Настройка блокировки заголовков
Чтобы настроить блокировку заголовков, выполните следующие действия:
-
Перейдите на вкладку Заголовки в диалоговом окне Настроить политику HTTP для правила.
-
Нажмите кнопку Добавить, чтобы добавить заголовок, который требуется блокировать. Затем в диалоговом окне Заголовок выберите в поле Искать в один из параметров: Заголовки запросов или Заголовки ответов и введите имя заголовка. Разрешаются все заголовки, кроме тех, которые отображаются в списке Разрешать все заголовки, кроме следующих.
-
Чтобы изменить заголовок, выберите его в списке и нажмите кнопку Изменить. Чтобы снять блокировку с заголовка, находящегося в списке блокировки, выберите его и нажмите кнопку Удалить.
-
В поле Заголовок сервера укажите способ возврата заголовка сервера в ответе. Заголовок сервера — это заголовок ответа, содержащий информацию об имени серверного приложения и сведения о версии программы, например HTTP: Server = Microsoft-IIS/6.0. Доступны следующие параметры.
- Отправить исходный заголовок —
исходный заголовок будет возвращен в ответе.
- Вырезать заголовок из ответа — в
ответе не будет возвращено ни одного заголовка.
- Изменить заголовок в ответе — при
выборе этого параметра, в поле Изменить на требуется ввести
значение, которое отображается в ответе. Рекомендуется изменять
заголовки серверов. Значение, отображаемое в ответе, может быть
любым, так как заголовки серверов редко используются клиентами.
- Отправить исходный заголовок —
исходный заголовок будет возвращен в ответе.
-
В разделе Заголовок VIA укажите способ пересылки заголовка VIA в запросе или его возврата в ответе. Описание см. в подразделе "Максимальная длина запроса (байт)" раздела Планирование фильтрации HTTP.
Доступны следующие параметры.
- Отправить заголовок по умолчанию —
будет использоваться заголовок по умолчанию.
- Изменить заголовок в запросе и ответе
— заголовок VIA будет заменен измененным заголовком. Выбрав этот
параметр, в поле Изменить на введите заголовок, который
будет отображаться вместо заголовка VIA.
- Отправить заголовок по умолчанию —
будет использоваться заголовок по умолчанию.
Настройка заблокированных подписей
Вы можете разрешить или заблокировать запросы, в заголовках или теле которых содержатся определенные подписи.
Чтобы настроить блокировку подписей, выполните следующие действия:
-
Перейдите на вкладку Подписи в диалоговом окне Настроить политику HTTP для правила.
-
Нажмите кнопку Добавить, чтобы добавить заблокированную подпись. Затем в диалоговом окне Подписи выполните следующие действия.
- В поле Искать в укажите место
отображения подписи: в URL-адресе, теле или заголовке запроса либо
в теле или заголовке ответа.
- В поле Заголовок HTTP введите имя
заголовка, если указана подпись для типа заголовка.
- В поле Подпись введите строку подписи.
Подписью может быть любая строка в заголовке или теле запроса.
Рекомендуется выбирать строки, которые являются уникальными — это
гарантирует блокировку только нужных запросов или ответов.
Например, если в качестве подписи добавить букву «a», блокироваться
будут все запросы и ответы, содержащие эту букву. Аналогично при
использовании подписи «Mozilla» будет блокироваться большинство
веб-обозревателей. Наиболее типичны следующие подписи: User-Agent:
adatum-software-abc.
- В разделе Диапазон байтов укажите
значения в полях От и До, если в качестве типа
подписи выбрано "Текст ответа" или "Текст запроса". По умолчанию
Forefront TMG проверяет только первые 100 байтов в теле запроса или
ответа. Увеличение этого значения может снизить производительность
системы.
- В поле Искать в укажите место
отображения подписи: в URL-адресе, теле или заголовке запроса либо
в теле или заголовке ответа.
-
Подписи можно включать и отключать посредством расположенных рядом с ними флажков. Щелкните Отображать только включенные строки поиска, чтобы в списке отображались только включенные подписи.
-
Чтобы изменить заблокированную подпись, выберите ее в списке Блокировать содержимое, содержащее данные подписи и нажмите кнопку Изменить.
-
Чтобы разрешить заблокированную подпись, выберите ее в списке Блокировать содержимое, содержащее данные подписи и нажмите кнопку Удалить.
Определение подписей
Можно определить подпись для блокировки определенного трафика путем наблюдения за сетевым трафиком.
Важно. |
---|
Поскольку некоторые средства наблюдения за сетевым трафиком могут представлять угрозу безопасности, рекомендуется использовать эти средства только в лабораторной, а не в рабочей среде. |
Чтобы определить подписи, выполните следующие действия:
-
Добавление средств наблюдения за сетью Windows Это действие выполняется в разделе «Средства управления и наблюдения» дополнительных компонентов Windows.
-
Чтобы открыть сетевой монитор после установки, нажмите кнопку Пуск, затем выберите Администрирование и Сетевой монитор. Если появится сообщение с предложением выбрать сеть, закройте его.
-
В диалоговом окне Выбор сети разверните узел Локальный компьютер. Если внутренние клиенты расположены во внутренней сети Forefront TMG по умолчанию, выберите вариант Внутренняя, чтобы включить отслеживание подписей, используемых этими клиентами. Это позволит блокировать доступ клиентов к определенным Интернет-службам путем использования отслеживаемых подписей.
-
Сетевой монитор будет записывать все пакеты из внутренней сети. Результаты можно отфильтровать после записи; либо можно создать фильтр перед началом работы монитора. Чтобы создать фильтр заранее, выберите в меню пункт Запись, а затем Фильтр (либо нажмите клавишу F8). В диалоговом окне Фильтр записи выберите запись INCLUDE *ANY < - > *ANY и нажмите кнопку Изменить.
-
Щелкните Изменение адресов, затем в разделе Добавить выберите Адрес. В диалоговом окне Выражение адреса щелкните Изменение адресов.
-
В диалоговом окне База данных адресов нажмите кнопку Добавить, чтобы открыть диалоговое окно Информация адреса.
-
В диалоговом окне Информация адреса укажите имя клиентского компьютера. Введите IP-адрес клиентского компьютера в поле Адрес, а затем в списке Тип выберите "IP". Далее нажмите кнопку ОК и Закрыть, чтобы закрыть диалоговое окно База данных адресов.
-
Убедитесь, что в разделе Выражение адреса выбран параметр Включить. В столбце Станция 2 выберите только что созданный клиент. Оставьте значение в поле Направление по умолчанию (оба направления), выберите в качестве пункта назначения в столбце Станция 1 компьютер Forefront TMG, а затем нажмите кнопку ОК.
-
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Фильтр записи.
-
В случае большого объема трафика между двумя данными компьютерами может потребоваться увеличить буфер записи. Это можно выполнить с помощью меню, щелкнув Запись и выбрав Параметры буфера. В диалоговом окне Параметры буфера записи увеличьте значение в поле Размер буфера. Нажмите кнопку ОК.
-
Закройте в клиенте все приложения, кроме того, для которого требуется записать подпись.
-
В меню Сетевой монитор выберите Запись, а затем — "Начать" (или нажмите клавишу F10).
-
Запустите приложение на клиентском компьютере. Например, войдите в Windows Live™ Messenger или AOL Instant Messenger.
-
В меню Сетевой монитор выберите Запись, а затем — нажмите Остановить и просмотреть (или нажмите сочетание клавиш SHIFT+F11). Проверьте записанные пакеты. Обычно четвертый пакет (следующий после пакетов подтверждения SYN, SYNACK и ACK) является пакетом HTTP-запроса с клиентского компьютера и содержит искомую информацию, хотя может понадобиться поиск и в последующих пакетах.
-
Чтобы просмотреть сведения пакета, дважды щелкните его. Найдите уникальную подпись, связанную с приложением, которое требуется заблокировать. Если пакет был тщательно проанализирован сетевым монитором, в области сведений (центральная область) можно просмотреть и выбрать отдельно любые заголовки, а также просмотреть подпись полностью в области Hex (нижняя область). Если пакет не проанализирован, подпись нужно найти в области Hex.
См. также
© Корпорация Майкрософт, 2009 Все права защищены.