配置ISA Server以检测外部攻击和入侵
4.6.8 配置入侵检测
为了检测有害的入侵者,ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。
要启用这个功能,选择IP Packet Filters Properties对话框上的Enable Intrusion Detection复选框,如图4.15所示。
ISA Server包括一个为入侵检测预先配置的名为Intrusion Detected的警报,如图 4.16所示。默认状态下,启用入侵检测后,只要一检测到任何一种入侵类型,该警报就会往Windows 2000事件日志中发消息。也可以修改Intrusion Detected警报,让它在检测到入侵时,作出另外的响应。也可以创建一个新警报,当检测到一个特定的入侵类型时,作出其他可能的警报反应。另外,配置端口扫描警报时,可以设定触发警报的端口攻击数量。
按如下步骤配置入侵检测:
1. 在ISA Management控制台树上,右击IP Packet Filters,然后单击Properties。
2. 在General选项卡上,选中Enable Packet Filtering复选框(如果尚未选择它),同时选定Enable Intrusion Detection复选框。
3. 在Intrusion Detection选项卡中,单击能引起事件的攻击类型:
u Windows Out-Of-Band (WinNuke)
u 登录
u Ping of Death
u IP半扫描
u UDP轰炸
u 端口扫描
4. 如果选择了Port Scan,那么执行以下步骤:
u 在Wel-Known Ports文本框中,输入引起事件之前所能扫描的常用端口的最大 号码。
u 在Ports文本框中,输入触发警报之前所能扫描的端口数目。
注意 Wel-Known Ports(常用端口)就是从0到1023之间的任一端口。
