网络安全防范：入侵检测与警报设置的使用

1.启用一般攻击的入侵检测

一般入侵检测的启用，可以通过选择“配置”→“常规”→“启用入侵检测”的方法，如图10-8所示。

在图10-8中的“端口扫描”项的“此数量的端口扫描攻击之后进行检测”中的两处设置：

（1）常用端口

也就是说只要常用的端口中有超过10个被扫描，就被视为是攻击行为。图中的端口数量可自行调整。所谓常用端口为1～2048之间的TCP/UDP端口。

（2）所有端口

也就是说所有的端口中，只要有超过20个端口被扫描，就视为攻击行为。图中的端口数量可自行调整。

有一些数据包会被ISA Server丢弃，因为ISA Server检测到这些数据包是入侵数据包。若要ISA Server记录被丢弃的数据包，请选中图10-8中的“记录丢弃的数据包”复选框。

2.启用DNS攻击的入侵检测

用户可以通过图10-9中“DNS攻击”标签来设置DNS的攻击检测。

图10-8 启用一般入侵检测与DNS入侵检测

图10-9 DNS攻击检测

3.启用POP入侵检测

至于POP入侵检测只要启用POP入侵检测筛选器即可，而系统默认已经启用了这个筛选器，如图10-10所示，图中还可以看出DNS筛选器默认也被启用了。

图10-10 启用POP入侵检测筛选器

4.阻止包含IP选项/IP片段的数据包设置

有些入侵行为是通过IP头内的IP选项来攻击的，尤其是通过源路由选项来攻击内部网络的计算机。用户可以设置让ISA Server拒绝包含这类IP选项的数据包。

阻止IP选项与IP片段数据包的设置方法如图10-11所示。选择“常规”→“配置IP保护”。

图10-11 阻止IP选项与IP片段数据包的设置

然后就可以通过图10-12中的“IP选项”标签来启用筛选IP选项数据包功能，系统默认已经启用此功能，并且阻止了部分的IP选项数据包。

启用阻止IP片段数据包的方法是通过图10-13中“IP片段”标签来设置，系统默认并没有启用此功能。注意如果会有视/音频流与L2TP/IPSec VPN连接问题，请不要启动IP片段阻止功能。

图10-12 IP首选项标签

图10-13 IP片段标签

5.设置淹没缓解

在ISA服务管理器控制台中单击“常规”→“配置淹没缓解设置”，然后通过图10-14来进行设置，具体说明如下。

图10-14 配置淹没缓解设置

（1）每个IP地址每分钟的最大TCP连接请求数

用来限制每个IP地址在每一分钟内最多被允许的TCP连接数量。

（2）每个IP地址的最大TCP并行连接数

用来限制每个IP地址在同一时间内最多被允许的TCP连接数量。

（3）最大TCP半开连接数

用来限制最多可允许的IP half scan数据包数量

（4）每个IP地址每分钟的最大HTTP请求数

用来限制每个IP地址在每一分钟内最多被允许的HTTP请求数量。

（5）每个规则每分钟的最大非TCP新会话数(www.xing528.com)

用来限制每个规则、每个IP地址在每分钟内最多被允许的非TCP新会话数量。

（6）每个IP地址的最大UDP并行会话数

用来限制每个IP地址在同一时间内最多被允许的UDP连接数量。

（7）指定触发警报的拒绝数据包数

指定某一IP地址被拒绝的数据包超过指定数量时就触发警报。

（8）记录被淹没缓解设置阻止的通信

请求系统记录因为淹没缓解设置而被阻止的通信。

可以单击每个项目右边的“编辑”按钮来设置其限制值，如图10-15所示，图中限制选项用来设置限制值。如果要给予某些特定计算机不同限制值，请在图中的自定义限制选项来设置。

而这些特定的计算机的IP地址可以通过图10-16来指定添加。

图10-15 淹没缓解设置

图10-16 IP例外

6.警报设置

一旦ISA Server检测到入侵行为，系统就会发出警报，并且附带执行警报，而这些警报可以自定义。用户可以通过图10-17所示选择“监视”→“警报”的方法来查看警报记录，ISA Server会将相同类型的警报事件集合在一起。在图10-17中，几个检测到入侵事件被放在一起，而且系统默认是相同的事件每隔1分钟才会记录一次，以避免记录太多的重复数据。

另外在“仪表板”内也会有相关的摘要记录，如图10-18所示。

如果在上一个警报图片中选择某个警报事件后单击右方的“确认收到选择的警报”，则它的状态会改为“已确认收到”，同时仪表板内就会将此事件删除。而如果是单击“重置选择的警报”，则该事件会被从警报窗口内删除。

图10-17 控制台中的“警报”窗口

图10-18 “仪表板”内的摘要记录

也可以通过“开始”→“所有程序”→“事件查看器”→“应用程序”→双击警告事件（来源为Microsoft Firewall）的方法来查看此事件，如图10-19所示。

如果要更改警报配置或者配置警报，请单击前面警报图片中右边的“配置警报定义”，之后可以从图10-20中看出ISA Server支持各种不同类型的警报项目。

选中图10-20中的“检测到入侵”警报然后单击“编辑”按钮来更改其警报配置与警报动作。单击图10-21中的“事件”标签，来解释图中的部分选项设置。

图10-19 “事件”属性对话框

图10-20 “警报”属性对话框

图10-21 “检测到入侵”属性对话框

（1）触发警报之前的事件发生的次数

可以在“发生次数”处指定事件发生多少次后，才发出警报；也可以在“每秒钟的事件数”处指定每秒发生事件多少次后，才发出警报。如果“发生次数”与“每秒钟的事件数”处都有设置，则必须两个条件都达到才会发出警报。

（2）在后面每次到达阈值时，触发警报

用来设置“每次发生次数”或“每秒钟的事件数处”所设置的临界值到达时，是否要发出警报。

●立即：表示只要前面的临界值到达时，就立即发出警报。

●只有在手动重设警报时：表示必须按前面警报图片中“重置选择的警报”后，才会发出警报。

●如果在上次执行后的分钟数超过了前一次发出警报后，必须间隔此处所设置的事件后，才会发出警报。默认值是1分钟。

可以通过图10-22中“操作”标签来设置发生警报事件时，是否要发送电子邮件给指定的使用者、运行指定的程序、将事件记录到Windows事件日志中、停止或启动选择的服务等，其中的“发送电子邮件”处需要指定用来发送电子邮件的SMTP服务器，并指定发件人与收件人。

图10-22 “操作”标签