下载:Forefront Threat Management Gateway (TMG) 2010 RTM简体中文正式版官方下载

我们准备了一台Web服务器SERVER1进行测试，如下图所示，SERVER1有个测试用的网站，我们来看看如何利用ISA2006保护这个可怜的Web服务器。

大致思路是这样的，在Web服务器上安装一块虚拟网卡，将Web站点建在虚拟网卡上，在ISA上用Web发布规则把虚拟网卡上的Web站点发布到物理网卡上。这个过程听起来平淡无奇，为什么还值得大书特书一番呢？关键就是要避免IIS和Web侦听器的冲突。两者都要监听８０端口，前面安装ISA时，我们提到过ISA服务器上不应该有进程守护80端口，就是为了避免和Web侦听器冲突。但现在我们不得不考虑如何解决80端口的冲突问题，这篇文章关键之处就在这里。

解决冲突有两种方法，端口重定向和取消HTTP套接字池，具体容我一一道来。但之前先将实验环境搭好，包括创建虚拟网卡，安装ISA2006等。搭好后的实验拓扑如下图所示。

一安装虚拟网卡

要在Web服务器上安装ISA，首先要有两块以上的网卡，这倒用不着专门去买一块新网卡，我们在Web服务器上添加一块虚拟网卡就可以了。微软在系统中提供了Loopback回路网卡，Loopback网卡就是能提供协议绑定的虚拟网卡，我们只要添加一块Loopback网卡就可以了。在Web服务器的控制面板中选择“添加硬件”，如下图所示，出现添加硬件向导。

选择硬件已连接好。

选择“添加新的硬件设备”。

选择手工添加硬件。

硬件类型为网络适配器。

网卡型号要选择微软公司的Loopback网卡。

安装完Loopback网卡后，如下图所示，计算机中有了两块网卡，Loopback网卡的IP地址为10.1.1.254，255.255.255.0；物理网卡为192.168.1.254 255.255.255.0，虽然添加的是一块虚拟网卡，但在ISA看来和物理网卡并没有区别。

二安装ISA2006

既然Web服务器上已经有了两块网卡，那安装ISA2006就没有问题了。ISA2006的安装过程就不具体介绍了，前面的博文已经提及，大家只要注意两点：

1） ISA内网的地址范围是 10.1.1.0 255.255.255.0，和虚拟网卡关联。

2） ISA安装之前要关闭IIS网站，如下图所示，因为我们目前还没有找到解决冲突的办法，因此只能先把站点关闭。

ISA2006安装完毕，如下图所示，好了，环境已经搭好，我们要开始了！

三端口重定向

我们先考虑简单的解决方法，如果Web站点不放在80端口，而放在其他端口如81，这样就不会和Web侦听器有冲突了。发布规则也恰好支持端口重定向，因此这个解决方法简单易行，如果网站对80端口没有特殊要求，建议用此方法解决问题。

首先我们修改网站端口，如下图所示，在默认站点的属性中将TCP端口改为81。

然后就可以启动Web站点了，如下图所示，右键点击默认网站，选择“启动”。

接下来要在服务器上创建一条Web发布规则，如下图所示，新建一条网站发布规则。

为发布规则取个名字。

当访问请求匹配发布规则时允许访问。

发布单个网站。

此次发布不使用证书加密。

被发布的网站是10.1.1.254，注意，目前ISA认为被发布的服务器在10.1.1.254的80端口，其实是在81端口，我们过一会要修改这个参数。

发布整个网站，从根目录开始。

对访问请求的格式不作任何限制，域名或IP均可。

目前还没有Web侦听器，选择“新建”。

为侦听器取个名字。

侦听器不对访问请求加密。

侦听器负责监听外网。

不对用户进行身份验证。

不使用SSO单一登录设置。

选择使用新创建的Web侦听器。

被发布的服务器不要求身份验证。

发布规则适用于所有用户。

如下图所示，发布规则已经创建，只是此规则中认为发布的网站在10.1.1.254的80端口，我们要修改端口。

切换到发布规则属性的“桥接”标签，如下图所示，勾选“将请求重定向到HTTP端口”，端口值填写81。

好了，我们来测试一下发布规则，如下图所示，客户机访问ISA的外网地址，访问到了内网网卡81端口上的网站，发布ISA服务器上的网站成功了！

四 配置HTTP套接字池

端口重定向为我们提供了一种简单的解决方法，但它改变了发布网站的端口，如果某些网站出于某种原因必须在80端口，那我们就必须想想其他办法了。我们能否让IIS监听内网的80端口，Web侦听器监听外网的80端口，这样不就可以和平共处了？有些朋友立刻想到了IIS中可以把网站绑定到一个指定的IP上，他们说干就干，立即动手，如下图所示，在IIS中将网站绑定到了10.1.1.254上，这么做是否能如愿以偿呢？

如下图所示，我们用netstat检查端口监听情况，如下图所示，发现IIS监听的可不止10.1.1.254的81端口，而是在所有IP的81端口都进行监听，这是为什么呢？

IIS的这种特性称为Socket Pooling（套接字池）。套接字（Socket ）是IP地址和端口的组合，用于进行网络通讯，任何应用程序需要和网络上的其他应用程序进行通许时，必须具有相应的套接字。例如Web站点侦听客 户的HTTP请求，那么它就绑定在相应的套接字（IP地址和端口，例如端口为标准的TCP 80）上。在IIS 4.0中，微软发现当多个Web站点分别通过不同的套接字绑定在不同的IP地址时，会占用较多的系统资源，于是在IIS 5.0中引入了Socket Pool（套接字池）这个概念。它的工作原理是这样的：IIS启动时会将所有Web站点配置的服务端口绑定在计算机的所有IP地址上，而不管这些IP地址是否分配给了这些 Web站点，IIS把绑定的这些套接字称为套接字池；然后IIS再将套接字池中的套接字根据Web站点的配置分配到相应的Web站点，这样 避免了不同Web站点占用不同IP地址的相同Web服务端口时需要不同的套接字，从而减少了系统资源的占用，提高了IIS的性能。

听了上面的介绍，您明白了套接字池是怎么回事，在目前的实验环境中，套接字池显然起了负作用，我们要想办法消除套接字池。Win2003安装光盘的支持工具集中有一个工具httpcfg可以帮我们完成这个任务，我们先安装支持工具，在服务器上放入Win2003的安装光盘，如下图所示，在安装光盘的 \Support\Tools目录下，双击suptools.msi。

启动安装向导。

同意最终用户许可协议。

回答完软件安装路径等问题后开始安装支持工具了。

支持工具很快安装完成。

在服务器上依次点击 开始－程序－Windows Support Tools－Command Prompt，如下图所示，输入httpcfg set iplisten –i 10.1.1.254，这条指令的目的是让IIS只在10.1.1.254上监听端口。

重启服务器让配置生效，然后我们在IIS中将默认网站的端口从81改为80，如下图所示，用netstat查看端口状况，我们发现构想已经实验，ISA监听外网80端口，IIS监听内网80端口。

对发布规则进行修改，如下图所示，将发布网站从81端口改为80端口。

好了，现在测试一下，如下图所示，发布网站工作正常，HTTP套接字池配置成功！

总结：两种方法中端口重定向比较简单，如果网站对端口没有特殊要求，推荐使用这种方法，否则只能借助HTTPCFG配置套接字池了。理论上可以考虑让Web侦听器监听其他端口，但其实缺乏可行性。

ISA2006的HTTP过滤功能基本和ISA2004完全一样，对于大多数用户来说，最常使用的的服务器就是Web服务器，因此了解ISA2006中提供的HTTP过滤功能对更好地进行访问控制有很大的意义。

ISA Server 2006究竟能够过滤HTTP数据包中的哪些内容，在此列举如下：

头长度的上限。

要求负载长度的上限。

URL与查询长度的上限。

验证正则化与阻止高位字符

阻止可执行Windows命令的数据包通过。

阻止指定的HTTP连接方法（Method）。

阻止执行或下载指定的扩展名文件。

阻止指定的请求头或响应头的内容。

阻止包含的签名内容。

看完了上述HTTP数据包过滤策略的说明之后，接下来就让我们来看看它的设置方法。目前我的ISA2006中只有一条访问规则Allow all，内容是允许内网和本地主机任意访问，我们如果想在这条访问规则上设置HTTP过滤，只要在规则属性中切换到“协议”标签，如下图所示，点击右下角的“筛选”，选择“配置HTTP“，就可以进行HTTP过滤设置了。

一常规设置

如下图所示，在HTTP策略的“常规“标签中，我们可以设置头长度的上限、负载长度的上限、URL长度上限、查询长度、验证正则化与阻止高位字符以及阻止可执行Windows命令的数据包通过，具体解释如下：

头长度的上限：此参数设置为较小的值可有效防止一些会导致缓冲区溢出的黑客程序的攻击，不过在此不建议设置小于10000字节的大小，因为它可能也会导致一些合法的应用程序无法访问。

负载长度的上限：有效地设置此值，可防止企业内部所发布的网站遭受到通过HTTP中的POST方法传送大量的恶意数据包，而导致网站系统的负载过大。

URL长度上限：设置超过此设限的网址长度将被阻止掉。

查询长度上限：在过去有一些蠕虫程序就是通过传送大量的GET要求给受害的目的地网站，藉此来瘫痪该网站的系统资源。

验证正则化与阻止高位字符：对于一些连接要求的数据包中，如果含有非正则化的字符与高位的内容可以在此加以阻止，不过必须注意的是如果网站是全中文化的，那么阻止高位的设置将会导致该网页无法正常显示，例如中文版Exchange Server 2003 OWA的发布就是如此。

阻止包含Windows可执行文件内容的响应：还记得最早以前的红色警戒病毒吗？它就是凭借传送带有可执行Windows命令（CMD/C）的数据包给目的地的IIS网站，来藉此入侵该网站的操作系统。ISA现在可以利用HTTP过滤有效阻止这种攻击。

二方法

切换到HTTP策略的“方法“标签，如下图所示，我们可以阻止特定的HTTP方法。例如有些公司不希望员工在上班时间去论坛发贴子，我们就可以通过阻止POST方法来完成。

如下图所示，我们阻止了客户机使用HTTP的POST方法，我们看看能否起到作用？

在客户机上访问百度的贴吧，准备发个帖子测试一下，如下图所示。

测试结果如下图所示，ISA的HTTP过滤器拒绝了这个访问请求。

阻止方法还可以用于别的用途，例如我们想禁止用户访问代理服务器，就可以考虑阻止CONNECT方法，这样一来用户就不能和Web代理服务器建立连接了。

三扩展名

切换到HTTP过滤的“扩展名”标签，如下图所示，我们在此可以阻止通过HTTP协议访问一些具有特定扩展名的文件。如果我们希望阻止用户不小心从网站下载或执行恶意代码，那么就可以在扩展名中阻止*.exe、*.vbs、*.js、*.com等。

在HTTP过滤中阻止了访问*.exe扩展名后，我们来实验一下，如下图所示，我们在客户机上下载ISA2006的180天试用版，下载的文件扩展名是exe。

结果如下图所示，下载请求被ISA过滤器阻止了。

四HTTP头

在HTTP策略属性中切换到“头”标签，如下图所示，我们可以阻止指定的请求头或响应头。

下面是一些最常见的请求头，大家可以参考使用。

Accept：浏览器可接受的MIME类型。

Accept-Charset：浏览器可接受的字符集。

Accept-Encoding：浏览器能够进行解码的数据编码方式，比如gzip。Servlet能够向支持gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减少5到10倍的下载时间。

Accept-Language：浏览器所希望的语言种类，当服务器能够提供一种以上的语言版本时要用到。

Authorization：授权信息，通常出现在对服务器发送的WWW-Authenticate头的应答中。

Connection：表示是否需要持久连接。如果Servlet看到这里的值为“Keep-Alive”，或者看到请求使用的是HTTP 1.1（HTTP 1.1默认进行持久连接），它就可以利用持久连接的优点，当页面包含多个元素时（例如Applet，图片），显著地减少下载所需要的时间。要实现这一点， Servlet需要在应答中发送一个Content-Length头，最简单的实现方法是：先把内容写入ByteArrayOutputStream，然 后在正式写出内容之前计算它的大小。

Content-Length：表示请求消息正文的长度。

Cookie：这是最重要的请求头信息之一

From：请求发送者的email地址，由一些特殊的Web客户程序使用，浏览器不会用到它。

Host：初始URL中的主机和端口。

Pragma：指定“no-cache”值表示服务器必须返回一个刷新后的文档，即使它是代理服务器而且已经有了页面的本地拷贝。

Referer：包含一个URL，用户从该URL代表的页面出发访问当前请求的页面。

User-Agent：浏览器类型，如果Servlet返回的内容与浏览器类型有关则该值非常有用。

UA-Pixels，UA-Color，UA-OS，UA-CPU：由某些版本的IE浏览器所发送的非标准的请求头，表示屏幕大小、颜色深度、操作系统和CPU类型。

五签名

很多文档在介绍ISA的HTTP过滤功能时都会重点介绍签名，签名其实就是HTTP数据包中有规律出现的特征数据。我们想阻止一些HTTP应用程序，就可以分析一下这些程序在通讯时有哪些特征数据，然后把这些特征数据以签名的形式提交给ISA，这样ISA就可以阻止这些应用程序了。最典型的例子就是即时通讯软件，如QQ，MSN等。

XP中自带了一个MSN客户端软件Windows Messenger，以此软件为例，Windows Messenger登录服务器时有三种方式

1 使用MSN Messenger协议直接连接MSN服务器的 1863端口。

2 使用HTTP协议连接MSN服务器的80端口。

3 使用代理服务器连接到MSN服务器的80端口。

其中第一种和第二种连接方式是很容易控制的，我们在ISA上封掉MSN服务器即可，虽然MSN服务器数量不少，但毕竟只是时间问题。第三种方法就不太好控制了，访问者通过代理服务器绕到MSN服务器上，从ISA的角度来看这只是内网的一台客户机访问外网的一台服务器而已。我们不可能封掉所有的代理服务器，这时就要靠签名了，我们要找出MSN客户端通过代理服务器访问MSN服务器时的特征数据，依靠这个来封掉MSN。

微软网站给出了常用的即时通讯软件的签名，如下表所示。

按照表中内容，我们在ISA中利用签名封锁MSN。在HTTP策略属性的“签名”标签处点击“添加”，如下图所示，我们为签名取名为“MSN”，查找范围是“请求头”，HTTP头是“User-Agent”，签名内容是“MSMSGS”。

在HTTP过滤中阻止了MSN签名后，再用Windows Messenger通过代理服务器登录，原本是可以登录的，现在只能收到如下图的错误提示，签名设置成功了。

那如果我们要的签名在表中没有怎么办呢？我们可以通过抓包器来抓包分析。以Windows Messenger为例，如果我们想获取签名，只要在一台客户机上用Windows Messenger登录，然后启动抓包器抓包就可以了。抓包器我一般喜欢用Ethereal，其实用Windows自带的网络监视器也可以，我们甚至可以用网络监视器抓包，然后用Ethereal解码分析。下图就是网络监视器抓到的Windwos Messenger登录服务器时的数据包，图中很明显地看到User-Agent的内容是MSMSGS，这就是我们要的签名。

分析签名是比较复杂的，尤其是有些程序的签名会发生改变，例如QQ，想要准确地分析签名需要能够熟练使用抓包工具并能深入理解HTTP协议。以后有时间我会写篇介绍使用抓包工具的博文，希望大家都能利用好HTTP过滤提供的高级功能，做好ISA的访问控制。

VPN提供商：Prairie Dog VPN
地点：香港
带宽：位置
用户名：随机分配
密码：随机分配
VPN服务器IP：61.238.150.146
注册地址：http://www.pdog-vpn.com/freeaccount.php
备注：香港的VPN，我这里速度很快，Ping才50。注册过程，点击上面地址，填入邮箱，收邮件获取用户名和密码。

VPN提供商：千渡
地点：中国
带宽：256KB/s
用户名：zlnic.net
密码：zhichiaoyun
VPN服务器IP：
电信区:244server1.1000du.net
网通区:244server2.1000du.net
铁通移动联通教育网服务器:244server3.1000du.net
注册地址：http://bbs.1000du.net
备注：共用用户名和密码，每个星期会更换密码，大家可以访问这里获取最新的密码。
最后更新：20080707

VPN提供商：linkideo
地点：英国
带宽：128KB/s
用户名：自己注册
密码：自己注册
VPN服务器IP：pptp1.linkideo.com
注册地址：http://www.linkideo.com/sign-up
备注：适合访问国外网站。

VPN提供商：Relakks
地点：瑞典
带宽：16MB/s
用户名：自己注册
密码：自己注册
VPN服务器IP：pptp.relakks.com
注册地址：https://www.relakks.com/register.php
备注：只提供30天的免费服务，但可以修改MAC地址无限试用。详细参考Relakks——高速免费的无限制VPN代理

OpenVPN 是免费软件，但基本操作上有点难，不过只要依步骤来，还是 ok 的了。
第一次设定如下：

1. 执行 init-config –第一次设定
2. 执行 vars –这个文件的内容要依你的数据修改
   clean-all
   build-ca –生成 CA 文件
3. 执行 build-key-server server –生成server key 文件
4. 执行 build-key client1
   build-key client2
   build-key client3 –生成client key 文件，看有几个client 要用就生成几个。

生成出来的文件，依下表server或client(n)需要，复制到C:\Program Files\OpenVPN\config 目录。

比较复杂的是改server端及client端的config 文件，我把config-example 目录中附的范例修改，有改动的部份列在下面，并稍加说明，请参考。改完同样复制到C:\Program Files\OpenVPN\config 目录。

Server
...
# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one. You will need to
# open up this port on your firewall.
port 4431 # TCP or UDP server?
proto tcp2
;proto udp
...
# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key). Each client
# and the server must have their own cert and
# key file. The server and all clients will
# use the same ca file.
#
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates
# and private keys. Remember to use
# a unique Common Name for the server
# and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca ca.crt
cert server.crt
key server.key3
...
# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
;server 10.8.0.0 255.255.255.0
server 192.168.0.0 255.255.255.04
...
# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# the TUN/TAP interface to the internet in
# order for this to work properly).
# CAVEAT: May break client's network config if
# client's local DHCP server packets get routed
# through the tunnel. Solution: make sure
# client's local DHCP server is reachable via
# a more specific route than the default route
# of 0.0.0.0/0.0.0.0.
push "redirect-gateway"5
...

Client
...
# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp2
;proto udp # The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote your.openvpn.server 4436
...
# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
http-proxy proxy.your.company.com 80807
...
# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client2.crt
key client2.key3
...

最后，Windows 中，在系统托盘中右键菜单的config 选项上按右键就可以执行。或由下面的命令执行:
openvpn --config server.ovpn
另外，Windows 中也可以以service 型式执行。

1. 用 SSL 用的 443 port
2. 使用 proxy 要用 tcp
3. 这三行用你产生出来的 key 档案
4. 换成我常用的 192.168.0 网段
5. client端连上后用将 default gateway 改成连到 server
6. server 的位置及使用的 port，用 SSL 用的 443 port
7. 你公司 proxy 的位置及 port

比如你排除了IM.QQ.COM
那麼從IM.QQ.COM下載的東西將不會被掃描
比如你排除192.168.0.100
那麼192.168.0.100的數據包也不會被掃描

经过这么久的期待，SSG终于将GFI WebMonitor 4.0的注册机发布出来了，经测试可用。
在3.x版本一直不能同时使用的三种杀毒引擎也可以全部启用了。

GFI Webmonitor For ISA Server v4.0 20070817版+注册机下载 （不要使用下载工具，这是skydrive的空间）
只下载注册机请查看下载页面

SurfControl Web Filter for ISA Server V5.5 英文版
SP1
报告中心2.5

这个版本是FOR ISA的，04和06都可以，装完后不像其他for isa的插件ISA中会多出一点东西来，这个装完后是独立的一个软件，在ISA中看不到任何迹象。5.0版本不支持ISA以NAT方式时的过滤，必须使用proxy或fwc方式才可以，不知道安装SP1后能不能支持NAT方式，最近几天官网好像有点问题，没法找到SP1的下载地址，碧咸说“自從你,我,小屁,齊齊下載後的第二天,我想再下載就進不去了”，不会这么衰吧o(∩_∩)o…哈哈

注册机
SurfControl Web Filter V5.0 中文版

安装在ISA Server 2004和2006
通过3个防病毒引擎（ Norman Virus Control，BitDefender 和Kaspersky）确保FTP/HTTP下载无病毒
不但确保高效地使用互联网，还保护用户免受成人网站干扰
允许你实时监控和阻止用户正在浏览的网站和正在下载的文件
显示URL和用户浏览历史

GFI Webmonitor For ISA Server v3.1 20061218版应该是3.1版本中最新的了，4.0现在还暂时没有破解版或注册机
下载