启用一般性攻击的入侵检测

1. 在“ISA 服务器管理”的控制台树中，单击“常规”。

   位置

   • Microsoft ISA Server 2004
   • Server_Name
   • 配置
   • 常规
2. 在详细信息窗格中，单击“启用入侵检测和 DNS 攻击检测”。
3. 在“一般性攻击”选项卡上，单击“启用入侵检测”。
4. 选择下面的一项或多项：
   • Windows 带外攻击 (WinNuke)。如果针对 ISA 服务器保护的计算机企图进行带外拒绝服务攻击，ISA 服务器将生成一个事件，此时选择该选项。
   • Land 攻击。如果使用与目标 IP 地址和端口号相匹配的哄骗源 IP 地址和端口号发送 TCP SYN 数据包，则 ISA 服务器将生成一个事件，此时选择该选项。
   • 循环 Ping 攻击。如果接收数据多于最大 IP 数据包大小的 IP 片段，则 ISA 服务器将生成一个事件，此时选择该选项。
   • IP 半扫描。如果出现重复连接到目标计算机的企图，并且没有相应的 ACK 数据包进行通信，则 ISA 服务器将生成一个事件，此时选择该选项。
   • UDP 炸弹。如果存在发送非法用户数据报协议 (UDP) 数据包的企图，则 ISA 服务器将生成一个事件，此时选择该选项。虽然在发生攻击时将生成一个事件，但是您必须专门启用和配置一个警报来触发操作。
   • 端口扫描。如果企图通过探测用于响应的每个端口对在计算机上运行的服务进行计数，则 ISA 服务器将生成一个事件，此时选择此选项。如果选择该选项，还要指定下列选项：
     • 在攻击常用端口后进行检测。键入在检测到端口扫描攻击而生成事件之前可以扫描的常用端口的最大数目。常用端口是从 1 到 2048 范围内的任何端口。
     • 在攻击端口后进行检测。键入在检测到端口扫描攻击而生成事件之前可以扫描的端口的最大数目。

注意

• 要打开“ISA 服务器管理”，请单击“开始”，指向“所有程序”，指向“Microsoft ISA Server”，然后单击“ISA 服务器管理”。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。