1、IT專家網技術沙龍 主題一如何構建安全的企業內部網絡主講人：殷杰前言 計算機網絡已經深入我們的生活 計算機網絡安全問題日趨重視 如何應對網絡安全隱患 如何打造安全的企業網絡 目錄 一、邊界網絡安全一、邊界網絡安全 二、內部網絡安全 三、無線網絡安全 四、補丁和更新管理 五、網絡訪問隔離 六、用戶行為管理 七、其他和展望Step 1 邊界網絡安全 ISA 2004防火墻系統應用層篩選內部服務器的發布SSL通訊保護目前的網絡安全形勢管理員遇到的問題怎么樣防止員工訪問任意的網站？怎么樣防止員工訪問任意的網站？怎么樣怎么樣防止防止員工任意的下載軟件？員工任意的下載軟件？怎么樣防止員工使用任意的計算機上

2、網？怎么樣防止員工使用任意的計算機上網？怎么樣防止員工在任意的時間上網？怎么樣防止員工在任意的時間上網？怎么樣阻止怎么樣阻止P2P軟件？軟件？怎么樣控制用戶上網的帶寬使用？怎么樣控制用戶上網的帶寬使用？怎么樣防止用戶使用外部代理？怎么樣防止用戶使用外部代理？怎么樣阻止員工使用私自安裝的二級代理？怎么樣阻止員工使用私自安裝的二級代理？傳統防火墻的局限性對常見攻對常見攻擊行為的擊行為的防范防范難以管理難以管理傳統防火墻之包過濾?Source Address,Dest. Address,TTL, ChecksumSequence NumberSource Port,Destination Port,

3、ChecksumInternetExpected HTTP TrafficUnexpected HTTP TrafficAttacksNon-HTTP TrafficCorporate Network隨著網絡安全在企業IT部門中的地位越來越重要，微軟公司也重視到了這一點。經過4年的努力，微軟在2004年發布了ISA Server 2004，新版本的ISA Server將給重視安全的企業帶來新的選擇。ISA Server 2004的優勢ISA Server 2004 新特性更新的安全結構ISA Server 2004 新特性新的管理工具和用戶界面ISA Server 2004 新特性依然強大的集

4、成性ISA Server 概覽根據內容轉發根據內容轉發n只將合法只將合法 HTTP 流量發送到流量發送到 Web 服務器服務器GET HTTP 流量流量異常異常 HTTP 流量流量Web 服務器攻擊服務器攻擊非非 HTTP 流量流量檢查包頭和應用層內容檢查包頭和應用層內容InternetWeb 服務器服務器HTTP 篩選器 提供了一種控制方法HTTP 篩選器可適用于： 內部用戶訪問 Internet 網站的流量 Internet 用戶訪問被發布網站的流量HTTP 篩選器可以依據下列項目進行 HTTP 協議的阻擋與過濾： 方法、擴展名與URL 請求頭與請求正文 響應頭與響應正文每一條防火墻規則的

5、 HTTP 篩選器設定都是獨立的因此管理員可以為每一條規則進行單獨的設定利用 HTTP 篩選器保護網站MSNBCSource Address,Dest. Address,TTL, ChecksumSequence NumberSource Port,Destination Port,ChecksumHTTP篩選器HTTP篩選器示例應用程序名稱應用程序名稱搜尋范圍搜尋范圍HTTP頭頭簽名簽名MSN Messenger請求頭請求頭User-Agent:MSN MessengerWindows Messenger請求頭請求頭User-Agent:MSMSGSAOL Messenger (and Ge

6、cko browsers)請求頭請求頭User-Agent:Gecko/Yahoo Messenger請求頭請求頭HKazaa請求頭請求頭P2P-AgentKazaa, Kazaaclient:Kazaa請求頭請求頭User-Agent:KazaaClient Kazaa請求頭請求頭X-Kazaa-Network:KaZaAGnutella請求頭請求頭User-Agent:GnutellaGnucleusEdonkey請求頭請求頭User-Agent:e2dkMorpheus請求頭請求頭ServerMorpheusISA Server Web 發布ISA Server 檢查檢查 HTTP 請求

7、請求 只轉發允許的請求只轉發允許的請求ISA Server 可以發布多臺服務器可以發布多臺服務器Web 服務器服務器傳入流量傳入流量Internet安全的 SSL 流量SSL隧道：無需進行流量檢查即可保護內容機密隧道：無需進行流量檢查即可保護內容機密SSL 橋接：橋接：1. Internet 上的客戶端對通信內容進行加密上的客戶端對通信內容進行加密2. ISA Server 對流量進行解密并檢查對流量進行解密并檢查3. ISA Server 將允許的流量發送到已發布的服務器，必要時對其將允許的流量發送到已發布的服務器，必要時對其進行重新加密進行重新加密保護 SMTP 通信基于基于 SMTP 的

8、攻擊：的攻擊： 使用無效、過長或不尋常的使用無效、過長或不尋常的 SMTP 命令攻擊郵件服務器或命令攻擊郵件服務器或收集收件人信息收集收件人信息 通過包含惡意內容（如蠕蟲）對收件人進行攻擊通過包含惡意內容（如蠕蟲）對收件人進行攻擊ISA Server 通過以下方式保護郵件服務器：通過以下方式保護郵件服務器： 實施的實施的 SMTP 命令與標準一致命令與標準一致 攔截禁止的攔截禁止的 SMTP 命令命令 攔截附件類型、內容、收件人或發件人受到禁止的郵件攔截附件類型、內容、收件人或發件人受到禁止的郵件目錄 一、邊界網絡安全 二、內部網絡安全二、內部網絡安全 三、無線網絡安全 四、補丁和更新管理 五

9、、網絡訪問隔離 六、用戶行為管理 七、其他和展望Step 2 內部網絡安全 資產管理的重要性和必要性使用SMS2003管理資產SMS 2003的軟件度量功能盜版軟件克星軟件限制策略安全的保護神Distributed Enterprise Management PointServer LocatorPointDistributionPointReportingPointClientAccessPointSiteServerSMS SiteDatabasePrimary Site(Child andParent Site)SecondarySite(Child Site)Primary (Cent

10、ral) Site(Parent Site)Primary or Secondary Site(Child Site)SQLSQLSQLSQL DistributionServerCollectionProgramPackageClientClientClient規劃工具軟件限制策略SRP-軟件限制策略默認規則不受限的不允許的其他規則HASH規則路徑規則證書規則INTERNET規則目錄 一、邊界網絡安全 二、內部網絡安全 三、無線網絡安全三、無線網絡安全 四、補丁和更新管理 五、網絡訪問隔離 六、用戶行為管理 七、其他和展望Step 3 無線網絡安全 WEP的弱點RADIUS協議和認證使用IA

11、S為無線設備保駕護航安全的無線網絡常見的無線網絡風險威脅Security threats include:Disclosure of confidential information Unauthorized access to dataImpersonation of an authorized clientInterruption of the wireless service Unauthorized access to the InternetAccidental threatsUnsecured home wireless setupsUnauthorized WLAN implem

12、entations了解無線網技術StandardDescription802.11A base specification that defines the transmission concepts for wireless LANs 802.11aTransmission speeds up to 54 megabits (Mbps) per second802.11b11 MbpsGood range but susceptible to radio signal interference802.11g54 Mbps Shorter ranges than 802.11b802.11iE

13、stablishes a standard authentication and encryption process for wireless networks 802.1X - a standard that defines a port-based access control mechanism of authenticating access to a network and, as an option, for managing keys used to protect traffic 無線網絡部署方案Wireless network implementation options

14、include:Wi-Fi Protected Access with Pre-Shared Keys (WPA-PSK)Wireless network security using Protected Extensible Authentication Protocol (PEAP) and passwords Wireless network security using Certificate Services 選擇合適的無線網絡解決方案Wireless Network SolutionTypicalEnvironmentAdditional Infrastructure Compon

15、ents RequiredCertificates Used for Client AuthenticationPasswords Usedfor Client AuthenticationTypical Data Encryption MethodWi-Fi Protected Access with Pre-Shared Keys (WPA-PSK) Small Office/Home Office (SOHO)NoneNOYES Uses WPA preshared key to authenticate to networkWPAPassword-based wireless netw

16、ork securitySmall to medium organizationInternet Authentication Service (IAS)Certificate required for the IAS serverNO However, a certificate is issued to validate the IAS serverYESWPA or Dynamic WEPCertificate-based wireless network securityMedium to large organizationInternet Authentication Servic

17、e (IAS)Certificate Services YESNO Certificates used but may be modified to require passwordsWPA or Dynamic WEP提供有效的驗證和授權StandardDescriptionExtensible Authentication Protocol-Transport Layer Security (EAP-TLS)Uses public key certificates to authenticate clientsProtected Extensible Authentication Prot

18、ocol-Microsoft-Challenge Handshake Authentication Protocol v2 (PEAP-MS-CHAP v2)A two-stage authentication method using a combination of TLS and MS-CHAP v2 for password authenticationTunneled Transport Layer Security (TTLS)A two-stage authentication method similar to PEAPMicrosoft does not support th

19、is method保護數據傳輸安全Wireless data encryption standards in use today include: Wired Equivalent Privacy (WEP)Dynamic WEP, combined with 802.1X authentication, provides adequate data encryption and integrityCompatible with most hardware and software devices Wi-Fi Protected Access (WPA/WPA2)Changes the enc

20、ryption key with each frameUses a longer initialization vector Adds a signed message integrity check valueIncorporates a frame counter WPA2 provides data encryption via AES. WPA uses Temporal Key Integrity Protocol (TKIP)802.1X 的系統需求ComponentsRequirementsClient devicesWindows XP and Pocket PC 2003 p

21、rovide built-in supportMicrosoft provides an 802.1X client for Windows 2000 operating systems RADIUS/IAS and certificate serversWindows Server 2003 Certificate Services and Windows Server 2003 Internet Authentication Service (IAS) are recommendedWireless access pointsAt a minimum, should support 802

22、.1X authentication and 128-bit WEP for data encryption802.1X with PEAP 如何工作Wireless ClientRADIUS (IAS)1ClientConnectWireless Access Point2ClientAuthenticationServerAuthenticationMutual Key Determination453Key DistributionAuthorizationWLAN EncryptionInternal NetworkWLAN Network 的網絡服務Branch OfficeHead

23、quartersWLAN ClientsDomain Controller (DC)RADIUS (IAS)Certification Authority (CA)DHCP Services (DHCP)DNS Services (DNS)DHCPIAS/DNS/DCLANLANAccessPointsIAS/CA/DCIAS/DNS/DCPrimarySecondaryPrimarySecondaryWLAN ClientsAccessPoints目錄 一、邊界網絡安全 二、內部網絡安全 三、無線網絡安全 四、補丁和更新管理四、補丁和更新管理 五、網絡訪問隔離 六、用戶行為管理 七、其他和展

24、望 Step 4 補丁和更新管理 1、補丁的重要性和產品生存周期2、與病毒賽跑及時安裝補丁是保護系統安全的 最基本方法3、微軟提供的軟件補丁更新方法4、使用WSUS進行補丁管理5、使用SMS 2003進行補丁管理和分發商業價值漏洞攻擊時間表實例：沖擊波我們已經收到漏洞報告 /正在開發安全更新公告和安全更新都可以得到/沒有可以利用的蠕蟲向公眾發布代碼蠕蟲July 1July 16July 25Aug 11lRPC/DDOM中的漏洞被報告lMS 激活最高級別的應急響應過程lMS03-026 告訴用戶這個漏洞 (7/16/03)l繼續把服務擴大到分析者、媒體、社會、合作伙伴以及政府機構lX-focu

25、s發布漏洞利用工具lMS 加大力量來告知用戶l沖擊波被發現，不同的病毒共同攻擊 (比如：SoBig公告發布到病毒攻擊的天數更新管理解決方案支持的軟件及內容支持的軟件及內容 產品產品 MBSAMicrosoft UpdateWSUSSMS 2003支持的軟件支持的軟件Same as MU for security update detection. Windows, IE, Exchange and SQL configuration checksWindows 2000+, Exchange 2000+, SQL Server 2000+, Office XP+ wi

26、th expanding supportSame as MUSame as WSUS + NT 4.0 & Win98* + can update any other Windows based software支持內容類型支持內容類型Service Packs and Security UpdatesAll software updates, driver updates, service packs (SPs), and feature packs (FPs)Same as MU with only critical driver updatesAll updates, SPs,

27、& FPs + supports update & app installs for any Windows based software更新管理解決方案Administrator subscribes to update categoriesServer downloads updates from Microsoft UpdateClients register themselves with the serverAdministrator puts clients in different target groupsAdministrator approves updat

28、esAgents install administrator approved updatesMicrosoft UpdateWSUS ServerDesktop ClientsTarget Group 1Server ClientsTarget Group 2WSUS AdministratorWSUS概覽管理 WSUS管理更新目錄 一、邊界網絡安全 二、內部網絡安全 三、無線網絡安全 四、補丁和更新管理 五、網絡訪問隔離五、網絡訪問隔離 六、用戶行為管理 七、其他和展望 Step 5 網絡訪問隔離 IPSEC策略介紹網絡訪問隔離（NAP）和IPSEC數據傳輸面臨的威脅竊聽 數據篡改 身份欺

29、騙拒絕服務攻擊中間人攻擊Sniffer 攻擊應用層攻擊盜用口令攻擊加密術語加密 透過數學公式運算，使文件或數據模糊化 用于秘密通訊或安全存放文件及數據解密 為加密的反運算 將已模糊化的文件或數據還原密鑰 是加密 / 解密運算過程中的一個參數 實際上是一組隨機的字符串加密方法對稱式加密非對稱式加密哈希加密IPSEC的特點IPSec 是工業標準的安全協議， 它工作在網絡層，可以用于身份驗證，加密數據及對數據做認證. 總之，IPSEC被用于保護網絡中傳輸數據的安全性.IPSEC的好處: 在通信前作雙向的身份驗證 通過對數據包加密保證數據包中數據的機密性 通過阻止對數據包的修改保證數據的一致性和原始性

30、 防止重播攻擊IPSec 對使用者及應用程序是透明性 可以使用活動目錄集中管理IPSEC策略IPSEC的功能可以使用ESP加密數據以及使用AH對數據作數字簽名路由器路由器Tunnel mode可以使用傳送模式來保護主機之間的安全可以使用隧道模式來保護兩個網絡的安全ESPAH路由器Transport modeIPSEC 協議組件 IKE（Internet Key Exchange） 協商 AH（Authentication Header） 數據完整性 ESP（Encapsulating Security Payload） 數據加密IPSEC處理過程 TCP 層IPSec驅動TCP 層IPSec

31、驅動加密的 IP 數據包3安全 互聯協商(ISAKMP)2IPSec 策略IPSec 策略1活動目錄創建 IPSec 安全策略IP 安全策略規則IP 篩選器列表IP 篩選器列表IP 篩選器列表IP 篩選器列表IP 篩選器列表篩選器操作IP 篩選器可以指派給域、站點和組織單位IPSEC策略和規則 IPSec 使用策略和規則保護網絡通信的安全 規則由下列組件組成: 篩選器 篩選器操作 身份驗證方法 默認策略包括: Client (僅響應) 服務器 (要求安全性) 安全服務器 (需要安全性)默認策略聯合沒有策略指派沒有策略指派客戶端客戶端（僅回應）（僅回應）服務器服務器（要求安全性）（要求安全性）安

32、全的服務器安全的服務器（需要安全性）（需要安全性）沒有策略指派沒有策略指派 沒有沒有 IPSec沒有沒有IPSec沒有沒有IPSec不會通信不會通信客戶端（僅響應）客戶端（僅響應）沒有 IPSec沒有沒有IPSecIPSecIPSec服務器服務器（要求安全性）（要求安全性）沒有 IPSecIPSecIPSecIPSec安全的服務器安全的服務器（需要安全性）（需要安全性）不會通信不會通信IPSecIPSecIPSec自定義策略 IPSEC規則 篩選器列表（IP Filter List） 篩選器操作（Filter Action） 允許、阻止、協商安全 隧道端點（Tunnel Point） 傳送模式

33、、隧道模式 網絡類型（Network Type） 局域網絡、遠程訪問、所有網絡 身份驗證方法（Authentication Methods） Kerberos V5、證書、預共享密鑰什么是網絡隔離？引入邏輯數據隔離防御層的好處包括： 額外的安全性 對可以訪問特定信息的人員進行控制 對計算機管理進行控制 抵御惡意軟件的攻擊 加密網絡數據的機制 網絡隔離：在直接 IP 互連的計算機之間，能夠允許或禁止特定類型的網絡訪問識別受信任的計算機受信任的計算機：受管理的設備（處于已知狀態并且滿足最低安全要求）不受信任的計算機：可能未滿足最低安全要求的設備（主要因為此設備未受到管理或集中控制）使用網絡隔離能達

34、到的目標通過使用網絡隔離可以達到以下目標：在網絡級別上將受信任的域成員計算機與不受信任的設備相隔離幫助確保設備滿足訪問受信任的資產所需的安全要求允許受信任的域成員將入站網絡訪問限制到特定的一組域成員計算機上將工作重點放在主動監視和守規上，并確定它們的優先次序將安全工作的重點放在要求從不受信任的設備進行訪問的少量受信任的資產上重點關注并加快進行補救和恢復工作使用隔離無法減輕的風險無法通過網絡隔離直接減輕的風險包括：受信任用戶泄露敏感數據對受信任用戶的憑據的危害 不受信任的計算機訪問其他不受信任的計算機受信任用戶誤用或濫用其受信任狀態不符合安全策略的受信任設備失守的受信任計算機訪問其他受信任的計算

35、機網絡隔離如何適應網絡安全？策略、過程和意識物理安全應用程序主機內部網絡周邊數據邏輯數據隔離如何實現網絡隔離？網絡隔離解決方案的組成部分包括：滿足組織最低安全要求的計算機 受信任的主機使用 IPSec 以提供主機身份驗證和數據加密主機身份驗證在本地安全策略中驗證安全組成員身份，在資源上驗證訪問控制列表主機授權使用網絡訪問組和 IPSec 控制計算機訪問邏輯數據隔離計算機訪問權限 (IPSec)主機訪問權限IPSec 策略2共享和訪問權限13組策略Dept_Computers NAG第 1 步：用戶嘗試訪問服務器上的共享資源第 2 步：IKE 主要模式協商第 3 步：IPSec 安全方法協商使用

36、網絡訪問組控制主機訪問第 1 步：用戶嘗試訪問服務器上的共享資源第 2 步：IKE 主要模式協商第 3 步：IPSec 安全方法協商第 4 步：檢查用戶主機訪問權限第 5 步：檢查共享和訪問權限邏輯數據隔離計算機訪問權限 (IPSec)主機訪問權限IPSec 策略213組策略Dept_Computers NAG4Dept_Users NAG共享和訪問權限5目錄 一、邊界網絡安全 二、內部網絡安全 三、無線網絡安全 四、補丁和更新管理 五、網絡訪問隔離 六、用戶行為管理六、用戶行為管理 七、其他和展望Step 6 用戶行為管理 組策略概況使用組策略對用戶環境進行管理自定義安全模板管理用戶行為Group Policy通過使