HTTP筛选器

ISA Server 2004的一个组件，用于筛选HTTP 通讯和加强配置 HTTP 策略。禁用此策略将禁用在此策略中所有HTTP规则中定义的HTTP筛选属性。

简介

配置扩展名

限制 HTTP 上载

每条规则筛选

简介

HTTP 筛选器Microsoft Internet Security and Acceleration (ISA) Server 2004 除了可以执行状态筛选外，还可以执行状态检查。状态检查使得 ISA 服务器可以检查应用层的命令和数据。ISA 服务器可以通过状态筛选机制来阻止传递攻击代码，因为数据包随后将被传递到状态检查机制。ISA 服务器监控状态应用层筛选器检查超文本传输协议 (HTTP) 命令和数据，并阻止数据包传递到公司网络中的 Web 服务器上。这阻止了外围攻击。

HTTP 筛选器是 Web 筛选器，它允许您基于内容类型 HTTP 头和以下条件来阻止 HTTP 请求：

请求负载的长度。有关说明，请参阅限制请求负载长度。 URL 的长度。有关说明，请参阅限制可以在请求中指定的 URL 数量。 HTTP 请求方法。例如，可以使用 POST、GET或 HEAD等请求方法。有关说明，请参阅阻止指定的 HTTP 方法。 HTTP 请求文件扩展名。例如，文件扩展名可以是 .exe、.asp 或 .dll。有关说明，请参阅阻止指定的 HTTP 扩展名。 HTTP 请求或响应头。例如，请求或响应头可以是 Location、Server 或 Via。有关说明，请参阅阻止指定的 HTTP 头。 在请求头或响应头或正文中的签名或模式。有关说明，请参阅阻止指定的 HTTP 签名。 HTTP 筛选器最初配置的是有助于确保安全 HTTP 访问的默认设置。但是，应该根据特定的部署方案，自定义这些默认设置。 例如，对于 Web 发布方案，应允许下列方法：OPTIONS、TRACE、GET、HEAD以及 POST。

注意

阻止特定签名时，阻止的是通过 HTTP 建立隧道通讯以及可通过请求头、响应头和正文中的特定模式来描述的应用程序（如 Windows Messenger）。HTTP 签名阻止不会阻止使用不同类型的内容编码或范围请求的应用程序。 它假定所有 HTTP 请求和响应都采用 UTF-8 编码。如果使用的是另一编码方案，将不会执行签名阻止。 HTTP 筛选器不支持折叠的 HTTP 头，如 RFC 2616 中的定义。

配置扩展名

如果 HTTP 筛选器配置为允许或拒绝特定的文件扩展名，那么它将首先确定扩展名。ISA 服务器将以最后的句点 (.) 开头、以斜杠 (/) 或问号 (?) 结尾的所有字符（或者，如果最后句点后面不存在 /或 ?，则为从最后句点直到 URL 末尾的所有字符）视为扩展名。此外，如果 ISA 服务器认为 .后面的字符好像是扩展名（如 .exe、.dll 或 .com），那么 HTTP 筛选器便会将其用作扩展名。

下表列出了 ISA 服务器用于 HTTP 筛选的客户端请求和文件扩展名的一些示例。

客户端请求　扩展名

http://server/path/file.ext　.ext

http://server/path/file.htm/additional/path/info.asp　.asp

http://MyServer/Path.exe/file.ext　.exe

在上表列出的最后一个示例中，如果 HTTP 筛选器允许 .exe 扩展名，将允许该请求（即使筛选器不允许 .ext 扩展名）。要解决此问题，应拒绝 URL 中的 .ext 签名。有关说明，请参阅阻止指定的 HTTP 签名。

限制 HTTP 上载

您可以对 HTTP 筛选器进行配置以阻止从客户端上载。为此，请配置 HTTP 筛选器，以便在请求正文中阻止 MIME 类型签名。执行此操作时，建议您至少将请求的字节范围扩大到 3,000 字节。请注意，这可能会使 ISA 服务器的响应时间变慢。有关说明，请参阅阻止指定的 HTTP 签名。

您可以基于每条规则限制 HTTP 上载。

每条规则筛选

可以在每条规则的基础上对 Web 发布和访问规则配置 HTTP 筛选器。对于特定的规则，可以配置阻止哪些方法、扩展名和签名。

最大头长度是为适用于 HTTP 的所有规则配置的唯一 HTTP 筛选器属性。默认情况下，该属性设置为 32,768 字节。有关说明，请参阅限制 HTTP 请求中头的最大大小。

当 HTTP 筛选器拒绝请求时，拒绝的原因会存储在 Web 代理日志的“筛选器信息”字段中。

要点

配置 HTTP 筛选器时，可以选择阻止高位字符。如果选择了此选项，将阻止包含 DBCS 或拉丁语 1 字符的 URL。这可能会影响到一些方案，如 Microsoft Outlook® Web Access 发布、Microsoft SharePoint® Portal Server 发布，以及满足下列条件的任何方案：GET 请求所传递的参数包含双字节字符集中的某个字符。有关说明，请参阅限制可以在请求中指定的 URL 数量。

Forefront TMG 以 HTTP 筛选器的形式提供对 HTTP 流量的全面而精确的控制。HTTP 应用程序层筛选器检查通过 Forefront TMG 计算机的 HTTP 命令和数据，只允许符合条件的请求通过。通过确保服务器仅响应有效请求，从而极大地提高了 Web 服务器的安全，并且您还可以控制客户端 Internet 访问。

可以在下列方案中应用 HTTP 筛选：

当内部客户端通过 Forefront TMG 计算机访问其他网络（通常为 Internet）上的 HTTP 对象（HTML 页和图形，或者其他可使用 HTTP 协议传输的数据）时，由 Forefront TMG访问规则控制访问。使用 HTTP 筛选器可以对每一访问规则应用 HTTP 策略。

当外部客户端访问通过 Forefront TMG 服务器发布的 Web 服务器上的 HTTP 对象时，由 Forefront TMG Web 发布规则控制访问。使用 HTTP 筛选器可以对每一 Web 发布规则应用 HTTP 策略。

HTTP 筛选是规则特定的，可以在每个规则上设置不同的条件。例如，可以使用 HTTP 筛选阻止一组用户使用特定的对等文件共享服务，但却允许另一组用户使用该服务。当内容被某个规则上的 HTTP 筛选器设置阻止时，用户会收到 502 代理错误，同时会收到消息“HTTP 筛选器已拒绝该请求”。

为规则配置 HTTP 筛选策略需要：

为头、负载、URL 或查询设置最大字节数，并阻止 URL 中含有特定字符的请求。有关在 HTTP 策略中配置头和 URL 阻止所需的某些设置的说明，请参阅 HTTP 筛选设置概述。

阻止特定 HTTP 方法（动词）。HTTP 方法（也称为 HTTP 动词）是在请求消息中发送的指令，用于向 HTTP 服务器通知对指定资源执行的操作。阻止 POST 就是一个这样的示例，通过该指令，内部客户端无法向外部网页发布数据。在希望阻止在网站上发布敏感信息的安全网络方案中，此功能非常有用。此功能在 Web 发布中也非常有用，可以防止恶意用户在您的网站上发布恶意资料。

阻止特定扩展名 - 可以允许所有扩展名，也可以只允许特定扩展名。为了保护配置安全，建议您只允许选择的扩展名。例如，如果要发布网站，网站设计人员或 Web 服务器管理员可以定义运行站点所需的扩展名列表。扩展名阻止的一个典型用法是阻止可执行 (.exe) 文件。

阻止特定 HTTP 头。

阻止头或正文中的特定签名。