|
Одно из главных преимуществ применения правил публикации Web-сервера для публикации Web-сайтов в защищенных сетях — возможность брандмауэра ISA выполнять на прикладном уровне глубокую проверку всех соединений с опубликованными Web-сайтами. Подобный контроль на уровне приложений препятствует отправке атакующим злонамеренных команд или кода на опубликованный Webсайт. Это позволяет брандмауэру ISA останавливать атаки на уровне сети периметра и мешает атакующему попасть на опубликованный Web-сервер. За глубокий контроль на прикладном уровне Web-запросов отвечает НТТРфильтр в брандмауэре ISA. HTTP-фильтр позволяет контролировать практически любой аспект HTTP-соединения и блокировать или разрешать соединения, основанные на почти любом компоненте HTTP-коммуникаций. Способы контроля соединения с опубликованными Web-сайтами включают:
¦ настройку точно соответствующих НТГР-методов, которые нужно разрешить, и блокирование всех остальных;
¦ разрешение только определенных заголовков запроса (request) или ответа (response);
¦ создание точно настроенных подписей (signatures), которые способны блоки ровать соединения, основываясь на URL-адресах запроса, заголовках запроса, теле запроса, заголовках ответа или теле ответа. Мы рассмотрим некоторые подробности функционирования фильтра защиты HTTP (HTTP Security Filter) или HTTP-фильтра позже в этой главе и вернемся к подробному обсуждению фильтра защиты HTTP в главе 1при изучении набора характеристик фильтрации уровня приложений в брандмауэре ISA.
Перенаправление маршрута
Допустим, что пользователь посылает запрос на сайт www.msfirewall.org/kits. Вы хотите направить этот запрос на сервер с именем WEBSERVER1 и в каталог на сервере, названный /deployment_kits. Можно настроить правило публикации Webсервера для замены маршрута в запросе (который установлен /kits) на маршрут на внутреннем Web-сервере, /deployment_kits. Также можно использовать перенаправление маршрута для отправки запроса целиком на другой Web-сервер. Например, пользователи предлагают запросы к следующим сайтам;
¦ www.msfirewall.org/deploymentkits. Вы можете создать два правила публикации Web-сервера: одно для входящих запросов к www. msfirewall.org/scripts и одно — для доступа к www.msfirewall.org/ deployment_kits. Запрос к www.msfirewall.org/script может быть перенаправлен к Webсерверу WEBSERVER1, а другой запрос — к Web-серверу WEBSERVER2. Можно даже перенаправить запрос по дополнительным маршрутам на каждый Web-сервер. Мы рассмотрим несколько примеров перенаправления маршрута в разделе сценариев этой главы.
|
Изучаем ISA Server | icuwa, web сервер, proxy сервер - Все права защищены!