【正文】 這臺cgi服務(wù)器可以具有訪問數(shù)。為了提高訪問數(shù)據(jù)庫服務(wù)器的安全性，就需要對能夠訪問數(shù)據(jù)庫的CGI程序進(jìn)行限制，這就要求對啟動CGI的URL請求比對普通url進(jìn)行更嚴(yán)格的限制。然而無論那種方式，都需要使得Web服務(wù)器能夠和數(shù)據(jù)庫服務(wù)器進(jìn)行連接、通信。綜合反向代理功能和拒絕外部訪問的ISA Sever防火墻軟件相結(jié)合，就能構(gòu)成一個既具有保護(hù)內(nèi)部網(wǎng)絡(luò)、又能對外提供Web信息發(fā)布的能力的防火墻系統(tǒng) 當(dāng)組織向外提供信息發(fā)布的時候，并不僅僅要提供一些靜態(tài)的網(wǎng)頁，更大的可能是要根據(jù)實(shí)際的數(shù)據(jù)動態(tài)發(fā)布信息。反向代理方式和普通代理方式并無沖突，因此可以在防火墻設(shè)備中同時使用這兩種方式，其中反向代理用于外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時使用，正向代理方式用于拒絕其他外部訪問方式并提供內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問能力。不同之處在于，這個服務(wù)器沒有保存任何網(wǎng)頁的真實(shí)數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁或者CGI程序，都保存在內(nèi)部的Web服務(wù)器上。由于外部網(wǎng)絡(luò)上的主機(jī)并不會配置并使用這個代理服務(wù)器，普通代理服務(wù)器也被設(shè)計為在Internet上搜尋多個不確定的服務(wù)器,而不是針對Internet上多個客戶機(jī)的請求訪問某一個固定的服務(wù)器，因此普通的Web代理服務(wù)器不支持外部對內(nèi)部網(wǎng)絡(luò)的訪問請求。對陣列配置進(jìn)行修改時，陣列中的所有 ISA Server 計算機(jī)也都將得到修改，包括所有訪問和緩存策略。ISA Server 可作為獨(dú)立服務(wù)器安裝或作為陣列成員安裝。所有這些功能，特別是 MMC，會使得管理更容易，因?yàn)椴僮魅藛T熟悉它，并可從一個控制臺同時管理防火墻和 Web 緩存。通過活動緩存，經(jīng)常被訪問的對象在它們到期之前，在低網(wǎng)絡(luò)流量時段自動更新。 6)活動緩存 通過活動緩存的功能，可配置 ISA Server 使其自動更新緩存中的對象。 5)緩存陣列路由協(xié)議 ISA Server 使用了緩存陣列路由協(xié)議（Cache Array Routing Protocol，CARP）。這對于企業(yè)內(nèi)部來說尤其重要，因?yàn)閱T工需要快速訪問 Web 內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)省網(wǎng)絡(luò)帶寬。 4)高性能 Web 緩存 ISA Server 對 Web 緩存進(jìn)行了徹底的重新設(shè)計，使它可以將緩存放入 RAM 中——我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這項(xiàng)技術(shù)給 ISA Server 提供了能識別此類攻擊的集成入侵檢測機(jī)制。 3)集成的入侵檢測 ISA Server利用一家名為 Internet Security Systems 的公司所提供的技術(shù)，提供幫助管理員識別諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網(wǎng)絡(luò)攻擊的這種服務(wù)。管理員可以配置訪問策略規(guī)則，以便只在允許的情況下自動打開端口，然后當(dāng)通信結(jié)束時關(guān)閉端口。 動態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應(yīng)用戶的請求，并且打開端口的持續(xù)時間恰好滿足該請求的需要，從而減少與打開端口相關(guān)的攻擊。2)狀態(tài)檢測 狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。而ISA Sever 2006 提供了更多優(yōu)越的保護(hù)，1)多層防火墻安全 防火墻可以通過各種方法增強(qiáng)安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。代理防火墻允許實(shí)施熟悉協(xié)議的記錄。這使它們能夠比那些純粹以數(shù)據(jù)包頭信息為重點(diǎn)的產(chǎn)品做出更好的安全決策。這就阻止了防火墻兩端的系統(tǒng)直接進(jìn)行連接，使攻擊者很難發(fā)現(xiàn)這個網(wǎng)絡(luò)在什么地方，因?yàn)樗鼈冇肋h(yuǎn)不接收它們的目標(biāo)系統(tǒng)直接創(chuàng)建的數(shù)據(jù)包。本方案采用雙層防火墻模式設(shè)計網(wǎng)絡(luò)，兼具代理型模式和反代理型模式，其優(yōu)點(diǎn)有：　 代理防火墻能夠比其它類型的防火墻提供更多的安全性，代理防火墻與穩(wěn)定的防火墻不同，穩(wěn)定的防火墻允許或者封鎖網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)出受保護(hù)的網(wǎng)絡(luò)，而通信流不經(jīng)過代理。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。將病毒在局域網(wǎng)內(nèi)的所有客戶端傳播之前就被清除，網(wǎng)關(guān)防毒： 網(wǎng)關(guān)防毒是對采用、ftp、smtp協(xié)議進(jìn)入內(nèi)部網(wǎng)絡(luò)的文件進(jìn)行病毒掃描和惡意代碼過濾，從而實(shí)現(xiàn)對整個網(wǎng)絡(luò)的病毒防范。它有一個功能強(qiáng)大的管理工具，可以自動進(jìn)行文件更新，使管理和服務(wù)作業(yè)合理化，并可用來從控制中心管理企業(yè)范圍的反病毒安全機(jī)制，優(yōu)化系統(tǒng)性能、解決及預(yù)防問題、保護(hù)企業(yè)免受病毒的攻擊和危害。如果在分層安全基礎(chǔ)設(shè)施里面集成了能夠封阻16類應(yīng)用漏洞的應(yīng)用防火墻，你就可以解決應(yīng)用安全這一難題。保護(hù)端口80是安全人員面臨的最重大也是最重要的挑戰(zhàn)之一。行為自動預(yù)測又叫規(guī)則自動生成或應(yīng)用學(xué)習(xí)，嚴(yán)格說來不是流量檢測技術(shù)，而是一種元檢測（metainspection）技術(shù)，它能夠分析流量、建立行為模型，并且借助于各種關(guān)聯(lián)技術(shù)生成應(yīng)用于行為模型的一套規(guī)則，以提高精確度。某些情況譬如大量使用JavaScript或者應(yīng)用故意偏離行為模型都會導(dǎo)致行為建模犯錯，從而引發(fā)誤報，拒絕合理用戶訪問應(yīng)用。行為建模是唯一能夠有效對付全部16種應(yīng)用漏洞的技術(shù)。這項(xiàng)技術(shù)要求對應(yīng)用行為進(jìn)行建模，這反過來就要求全面分析提交至應(yīng)用的每個請求的每次響應(yīng)，目的在于識別頁面上的行為元素，譬如表單域、按鈕和超文本鏈接。零時間漏洞是指未寫入文檔或“還不知道”的攻擊。如果發(fā)現(xiàn)這類模式，防火墻就會把它們從響應(yīng)當(dāng)中剔除，或者干脆封阻響應(yīng)。如果發(fā)現(xiàn)內(nèi)容離開Web服務(wù)器后出現(xiàn)了改動，防火墻就會用原始內(nèi)容取代已毀損頁面。響應(yīng)模式匹配分三個級別。它能極其有效地防止網(wǎng)站受毀損，或者更確切地說，防止已毀損網(wǎng)站被瀏覽。這需要能夠跟蹤每個請求的響應(yīng)，并從中提取信息塊信息。這樣就能有效防御會話劫持（sessionhijacking）及信息塊中毒（cookiepoisoning）類型的漏洞。這項(xiàng)功能通常借助于通過URL重寫（URL rewriting）來使用會話信息塊加以實(shí)現(xiàn)。用戶會話跟蹤更先進(jìn)的下一個技術(shù)就是用戶會話跟蹤。它只能檢測當(dāng)前請求。這項(xiàng)技術(shù)對防止緩沖器溢出攻擊非常有效。 請求分析全面的請求分析技術(shù)比單單采用URL過濾來得有效，可以防止Web服務(wù)器層的跨站腳本執(zhí)行（crosssite scripting）漏洞和其它漏洞。其實(shí)，如果把應(yīng)用響應(yīng)考慮進(jìn)來，可以大大提高檢測攻擊的準(zhǔn)確性。對URL過濾采用基于特征的方案，僅僅尋找匹配定期更新的特征、過濾掉與已知攻擊如紅色代碼和尼姆達(dá)有關(guān)的URL，這是遠(yuǎn)遠(yuǎn)不夠的。如果你的安全策略不允許敏感信息在未加密的前提下通過網(wǎng)絡(luò)傳輸，你就需要在流量發(fā)送到Web服務(wù)器之前重新進(jìn)行加密的解決方案。為了阻止惡意流量，應(yīng)用防火墻必須終止SSL，對數(shù)據(jù)流進(jìn)行解碼，以便檢查明文格式的流量。SSL終止如今，幾乎所有的安全應(yīng)用都使用HTTPS確保通信的保密性。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應(yīng)用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。下面每一種技術(shù)代表深度數(shù)據(jù)包處理的不同級別。這時防火墻可以派上用場，應(yīng)用防火墻發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的八項(xiàng)技術(shù)如下：深度數(shù)據(jù)包處理深度數(shù)據(jù)包處理有時被稱為深度數(shù)據(jù)包檢測或者語義檢測，它就是把多個數(shù)據(jù)包關(guān)聯(lián)到一個數(shù)據(jù)流當(dāng)中，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。應(yīng)用安全對于企業(yè)來說是相當(dāng)重要的，畢竟，例如金融交易、信用卡號碼、機(jī)密資料、用戶檔案等信息，對于企業(yè)來說太重要了。ISA 服務(wù)器包含一項(xiàng)鏈接轉(zhuǎn)換功能，以便您可以為內(nèi)部計算機(jī)名稱創(chuàng)建定義詞典，使其映射為眾所周知的名稱。（7）鏈接轉(zhuǎn)換某些發(fā)布的網(wǎng)站可能包含對計算機(jī)內(nèi)部名稱的引用。使用 ISA 服務(wù)器的 RPC 策略，可以阻止所有未加密的 Outlook MAPI 客戶端連接。 MAPI 客戶端通過 Internet 連接到 Exchange。可以精確地控制內(nèi)部和外部用戶可以通過 ISA 服務(wù)器訪問哪些內(nèi)容。可以控制所有 ISA 服務(wù)器客戶端連接的 HTTP 訪問。（2）阻止對所有可執(zhí)行內(nèi)容的訪問可以配置 ISA 服務(wù)器的 HTTP 策略阻止對 Windows 可執(zhí)行內(nèi)容的所有連接嘗試（無論在資源上使用什么文件擴(kuò)展名）。檢查的范圍是在每條規(guī)則的基礎(chǔ)上配置的。記錄到本地數(shù)據(jù)庫有助于提高查詢的速度和靈活性。對于未配置為在創(chuàng)建后自動發(fā)布的報告，可以手動發(fā)布。（6）報告發(fā)布可以配置 ISA 服務(wù)器報告任務(wù)，以便自動將報告的副本保存到本地文件夾或網(wǎng)絡(luò)文件共享中?？梢耘渲檬褂孟铝蟹椒▉泶_定連接性：Ping、傳輸控制協(xié)議 (TCP) 連接到端口或 HTTP GET。此外，可以使用內(nèi)置的會話篩選工具篩選會話界面中的項(xiàng)目，以便集中于您感興趣的會話。（4）會話的實(shí)時監(jiān)視和篩選可以查看所有活動的連接?？梢詫⒉樵兎秶薅樘囟ǖ臅r間段。（3）內(nèi)置日志查詢（篩選）可以使用內(nèi)置的日志查詢工具來查詢?nèi)罩疚募?。?）在日志查看器中進(jìn)行實(shí)時監(jiān)視可以實(shí)時地查看防火墻和 Web 代理日志。（1）儀表板ISA 服務(wù)器的“儀表板”視圖匯總了有關(guān)會話、警報、服務(wù)、報告、連接性以及常規(guī)系統(tǒng)運(yùn)行狀況的監(jiān)視信息。此外，還可以配置 Web 發(fā)布規(guī)則接收壓縮形式的內(nèi)容，但是，在這種情況下將無法檢查響應(yīng)正文。（10）HTTP 支持與上游服務(wù)器連接時，ISA 服務(wù)器是 HTTP 客戶端。（9）安全的 Web 發(fā)布可以將服務(wù)器放置在公司網(wǎng)絡(luò)或外圍網(wǎng)絡(luò)中防火墻的后面，并安全地發(fā)布其服務(wù)。 （7）FTP 支持可以訪問在其他的端口號上進(jìn)行偵聽的 Internet 文件傳輸協(xié)議 (FTP) 服務(wù)器，而不需要在客戶端或 ISA 服務(wù)器計算機(jī)上進(jìn)行特殊的配置。使用這種防火墻策略實(shí)施方法可以更容易地確定允許或拒絕特定連接的原因。（5）防火墻策略規(guī)則代表有序的列表防火墻策略規(guī)則代表有序的列表，其中連接參數(shù)將首先與列表中最上面的規(guī)則進(jìn)行比較。（4）網(wǎng)絡(luò)對象可以定義網(wǎng)絡(luò)對象，其中包括計算機(jī)、網(wǎng)絡(luò)、網(wǎng)絡(luò)集、地址范圍、子網(wǎng)、計算機(jī)集和域名集。角色可以應(yīng)用于任何名稱空間中的用戶或用戶組?？梢詮暮芨叩膶哟螌υ试S哪些數(shù)據(jù)包出入防火墻加以控制。這些應(yīng)用程序需要防火墻來管理復(fù)雜的協(xié)議。（7）VPN 監(jiān)視和日志記錄可以監(jiān)視 VPN 客戶端和遠(yuǎn)程 VPN 網(wǎng)絡(luò)的活動，就像監(jiān)視其他任何 ISA 服務(wù)器客戶端的活動一樣。（6）對站點(diǎn)到站點(diǎn) VPN 鏈接的 IPSec 隧道模式支持ISA 服務(wù)器通過允許將 IPSec 隧道模式用作 VPN 協(xié)議來提供站點(diǎn)到站點(diǎn)的鏈接支持。VPN 客戶端傳遞安全性測試是基于 VPN 客戶端防火墻策略的所允許的網(wǎng)絡(luò)訪問。基于用戶或組的訪問策略可以用來精細(xì)地控制通過鏈路的資源利用。（4）通過站點(diǎn)到站點(diǎn)的 VPN 隧道進(jìn)行狀態(tài)篩選和檢查ISA 服務(wù)器針對通過站點(diǎn)到站點(diǎn)的 VPN 連接移動的所有通訊引入了狀態(tài)篩選和檢查。（3）SecureNAT 客戶端支持連接到 ISA 服務(wù)器 VPN 服務(wù)器的 VPN 客戶端ISA 服務(wù)器允許 SecureNAT 客戶端即便在客戶端系統(tǒng)上未安裝防火墻客戶端軟件的情況下也訪問 Internet，從而擴(kuò)展了 VPN 客戶端支持。 （2）對 VPN 的狀態(tài)篩選和檢查由于 VPN 客戶端配置為獨(dú)立的網(wǎng)絡(luò)，因此可以為 VPN 客戶端創(chuàng)建單獨(dú)的策略。 Windows Server? 2003 和 Windows174。在這些情況下，您可以定義一個路由關(guān)系。對于這些情況，可以定義一個網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 關(guān)系。（5）NAT 和路由網(wǎng)絡(luò)關(guān)系可以使用 ISA Server 來定義網(wǎng)絡(luò)間的關(guān)系，這取決于訪問的類型和網(wǎng)絡(luò)間所允許的通信。可以使用網(wǎng)絡(luò)模板來配置用于網(wǎng)絡(luò)間通訊的防火墻策略。（3）所有通訊的狀態(tài)檢查可以在防火墻協(xié)議的上下文中通過防火墻來檢查數(shù)據(jù)和連接的狀態(tài)，無論是源還是目標(biāo)。（2）獨(dú)特的每網(wǎng)絡(luò)策略ISA Server 的新增多網(wǎng)絡(luò)功能可以保護(hù)您的網(wǎng)絡(luò)免受內(nèi)部或外部的安全威脅，方法是限制客戶端（甚至組織內(nèi)部）的通信。訪問策略是針對網(wǎng)絡(luò)定義的，沒有必要針對給定的內(nèi)部網(wǎng)絡(luò)進(jìn)行定義。3)建立分層管理和各級安全管理中心。(6）網(wǎng)絡(luò)的實(shí)時監(jiān)測：采用入侵檢測系統(tǒng)，對主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)。(2) NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。針對上述分析及企業(yè)現(xiàn)狀需求，我們采取以下技術(shù)： 對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。此外，高安全性 VPN 站點(diǎn)間鏈接提供您的合作伙伴與您的企業(yè)間網(wǎng)絡(luò)互訪，而這種訪問對于企業(yè)間來說是透明的，安全的，在企業(yè)網(wǎng)間訪問是加密的。 可以使您的合作伙伴安全地訪問企業(yè)網(wǎng)絡(luò)信息使用 ISA Server 2006 中的集成 VPN 功能，可以安全地以站點(diǎn)對站點(diǎn) VPN 方式，將業(yè)務(wù)合作伙伴連接到您的企業(yè)網(wǎng)絡(luò)，同時限制它們對特定服務(wù)器和應(yīng)用程序的訪問。 當(dāng)ISA Server 2006企業(yè)版負(fù)載均衡陣列成員不可用的時候，其他陣列成員會取代停止運(yùn)作的服務(wù)器。使用 ISA Server 2006 企業(yè)版，您可以提高遠(yuǎn)程訪問的可用性。 ISA Server 還能夠檢查 Web 和其他網(wǎng)絡(luò)通信的合法性，如強(qiáng)制限制有效的 URLs 。ISA Server 集成的 Web 和服務(wù)器發(fā)布向?qū)ё詣訄?zhí)行普通的安裝任務(wù)，并且減少了錯誤配置的風(fēng)險。為遠(yuǎn)程用戶提供對企業(yè)內(nèi)部網(wǎng)絡(luò)信息的安全訪問Internet Security and Acceleration (ISA) Server 2006 使用 web 和服務(wù)器發(fā)布規(guī)則來通過 Internet 安全地發(fā)布信息。ISA Server 和 Microsoft Windows 網(wǎng)絡(luò)負(fù)載均衡(NLB)緊密集成，通過負(fù)網(wǎng)絡(luò)載均衡在線陣列成員接替離線的陣列成員，大大增強(qiáng)了防火墻正常運(yùn)行時間。附件阻止功能