HTTP 筛选器

除状态筛选外，ISA Server 2004 还可以执行状态检查。状态检查使得 ISA 服务器可以检查应用程序层的命令和数据。ISA 服务器可以通过状态筛选机制来阻止传递攻击代码，因为数据包随后将被传递到状态检查机制。ISA 服务器监控状态应用程序层筛选器检查超文本传输协议 (HTTP) 命令和数据，并阻止数据包传递到公司网络中的 Web 服务器上。这阻止了外围攻击。

HTTP 筛选器是一个 Web 筛选器，它使您可以基于下列标准来阻止 HTTP 请求：

请求负载的长度。有关说明，请参阅限制请求负载长度。
URL 的长度。有关说明，请参阅限制可以在请求中指定的 URL 数量。
HTTP 请求方法。例如，可以使用 POST、GET 或 HEAD 等请求方法。有关说明，请参阅阻止指定的 HTTP 方法。
HTTP 请求文件扩展名。例如，文件扩展名可以是 .exe、.asp 或 .dll。有关说明，请参阅阻止指定的 HTTP 扩展名。
HTTP 请求或响应头。例如，请求或响应头可以是 Location、Server 或 Via。有关说明，请参阅阻止指定的 HTTP 方法。
在请求头或响应头或正文中的签名或模式。有关说明，请参阅阻止指定的 HTTP 签名。

HTTP 筛选器最初配置的是有助于确保安全 HTTP 访问的默认设置。但是，应该根据特定的部署方案，自定义这些默认设置。例如，对于 Web 发布方案，应允许下列方法：OPTIONS、TRACE、GET、HEAD 和 POST。

注意

阻止特定签名的同时，还将阻止通过 HTTP 建立隧道通讯以及可通过请求头、响应头和正文中的特定模式来描述的应用程序（如 Windows Messenger）。HTTP 签名阻止不会阻止使用不同类型的内容编码或范围请求的应用程序。
它假定所有 HTTP 请求和响应都采用 UTF-8 编码。如果使用的是另一编码方案，将不会执行签名阻止。

配置扩展名

如果 HTTP 筛选器配置为允许或拒绝特定的文件扩展名，那么它将首先确定扩展名。ISA 服务器将以最后的句点 (.) 开头、以斜杠 (/) 或问号 (?) 结尾的任何字符或者 URL 末尾的任何字符（如果不存在 / 或 ?）视为扩展名。此外，如果 ISA 服务器认为 . 后面的字符好像是扩展名（如 .exe、.dll 或 .com），那么 HTTP 筛选器便会将它们用作扩展名。

下表列出了 ISA 服务器用于 HTTP 筛选的客户端请求和文件扩展名的一些示例。

客户端请求	扩展名
http://server/path/file.ext	.ext
http://server/path/file.htm/additional/path/info.asp	.asp
http://MyServer/Path.exe/file.ext	.exe

在上表列出的最后一个示例中，如果 HTTP 筛选器允许 .exe 扩展名，将允许该请求（即便筛选器不允许 .ext 扩展名）。要解决此问题，应拒绝 URL 中的 .ext 签名。有关说明，请参阅阻止指定的 HTTP 签名。

每条规则筛选

可以在每条规则的基础上对 Web 发布和访问规则配置 HTTP 筛选器。对于指定的规则，可以配置阻止哪些方法、扩展名和签名。

最大头长度是为适用于 HTTP 的所有规则配置的唯一 HTTP 筛选器属性。默认情况下，该属性设置为 32,768 字节。有关说明，请参阅限定 HTTP 请求中的最大头大小。

当 HTTP 筛选器拒绝请求时，拒绝的原因会存储在 Web 代理日志的“筛选器信息”字段中。

要点

配置 HTTP 筛选器时，可以选择阻止高位字符。如果选择了此选项，将阻止包含 DBCS 或 Latin 1 字符的 URL。这可能会影响到一些方案，如 Outlook® Web Access 发布、SharePoint™ Portal Server 发布，以及满足下列条件的任何方案：GET 请求所传递的参数包含双字节字符集中的某个字符。有关说明，请参阅限制可以在请求中指定的 URL 数量。

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。