企業(yè)防火墻管理技巧高手攻略用ISA控制企業(yè)網(wǎng)絡(luò)訪問(wèn)課件_第1頁(yè)
企業(yè)防火墻管理技巧高手攻略用ISA控制企業(yè)網(wǎng)絡(luò)訪問(wèn)課件_第2頁(yè)
企業(yè)防火墻管理技巧高手攻略用ISA控制企業(yè)網(wǎng)絡(luò)訪問(wèn)課件_第3頁(yè)
企業(yè)防火墻管理技巧高手攻略用ISA控制企業(yè)網(wǎng)絡(luò)訪問(wèn)課件_第4頁(yè)
企業(yè)防火墻管理技巧高手攻略用ISA控制企業(yè)網(wǎng)絡(luò)訪問(wèn)課件_第5頁(yè)
已閱讀5頁(yè),還剩38頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

企業(yè)防火墻管理技巧高手攻略:用ISA控制企業(yè)網(wǎng)絡(luò)訪問(wèn)概要ISAServer2004概述上網(wǎng)行為管理技巧之訪問(wèn)策略上網(wǎng)行為管理技巧之HTTP篩選器上網(wǎng)行為管理之防火墻客戶端高級(jí)特性上網(wǎng)行為管理技巧之報(bào)告ISAServer2004概述解決方案?軟件Sygate?WinGate?WinRoute?CCProxy?………………?ISAServer2004!硬件傳統(tǒng)防火墻所面臨的問(wèn)題!ApplicationTransportInternetNetwork內(nèi)部網(wǎng)絡(luò)傳統(tǒng)防火墻網(wǎng)絡(luò)層與傳輸層的攻擊應(yīng)用層的攻擊(病毒、蠕蟲(chóng)與緩沖區(qū)溢出)傳統(tǒng)防火墻之包過(guò)濾ApplicationLayerContent????????????????????????????????????????????僅有數(shù)據(jù)包頭會(huì)被檢查,無(wú)法識(shí)別應(yīng)用層數(shù)據(jù)IPHeaderSourceAddress,

Dest.Address,

TTL,

ChecksumTCPHeaderSequenceNumber

SourcePort,

DestinationPort,

Checksum基于服務(wù)連接進(jìn)行數(shù)據(jù)包傳輸,但是合法的網(wǎng)絡(luò)流量與應(yīng)用層級(jí)的攻擊都是使用相同的服務(wù)連接InternetExpectedHTTPTrafficUnexpectedHTTPTrafficAttacksNon-HTTPTrafficCorporateNetwork攻擊受到傳統(tǒng)防火墻所保護(hù)的網(wǎng)站W(wǎng)eb1.msft.local01AttackerISAServer2004新特性

新的安全構(gòu)架高級(jí)保護(hù)功能應(yīng)用層保護(hù)對(duì)微軟應(yīng)用已做優(yōu)化設(shè)計(jì)深度內(nèi)容過(guò)濾增強(qiáng):可定制的HTTP過(guò)濾器靈活易用的規(guī)則對(duì)所有IP協(xié)議進(jìn)行狀態(tài)檢測(cè)增強(qiáng)與Exchange集成支持Outlook的RPCOverHttp增強(qiáng)OWA安全方便的向?qū)Чδ芘cVPN完全集成對(duì)VPN提供過(guò)濾功能支持IPSec隧道模式的“站到站”VPN支持網(wǎng)絡(luò)訪問(wèn)隔離保護(hù)InternetInformationServer和SPS的安全為IIS和SPS提供SSL橋接功能易用的Web服務(wù)器發(fā)布向?qū)еС諥D,RADIUS,SecurID驗(yàn)證ISA2004網(wǎng)絡(luò)模型任何數(shù)量的“網(wǎng)絡(luò)”將VPN也作為網(wǎng)絡(luò)“本地主機(jī)”也作為網(wǎng)絡(luò)指定關(guān)系(NAT/Route)基于“網(wǎng)絡(luò)”指定策略對(duì)所有interfaces進(jìn)行包過(guò)濾支持即插即用和撥號(hào)CorpNet_1CorpNet_nNetAInternetVPNISA2004DMZ_nDMZ_1任何拓?fù)?任何策略LocalHost

Network上網(wǎng)行為管理技巧之訪問(wèn)策略訪問(wèn)策略元素協(xié)議用戶內(nèi)容類型調(diào)度網(wǎng)絡(luò)對(duì)象實(shí)驗(yàn)環(huán)境InternetISAServer域控制器Web服務(wù)器客戶端訪問(wèn)策略最佳實(shí)踐首先是盡量采取“允許需要的,拒絕所有(其他)的”的原則創(chuàng)建防火墻規(guī)則拒絕對(duì)某些應(yīng)用服務(wù)器IP的訪問(wèn)拒絕對(duì)某些應(yīng)用服務(wù)器端口的訪問(wèn)對(duì)HTTP進(jìn)行應(yīng)用層檢查,阻止相關(guān)請(qǐng)求頭、請(qǐng)求URL、響應(yīng)頭及擴(kuò)展名文件等的連接拒絕對(duì)常用代理端口的訪問(wèn),比如TCP

8080/1080/3128關(guān)注常見(jiàn)的HTTP隧道登錄,隨時(shí)拒絕這類服務(wù)的登錄服務(wù)器上網(wǎng)行為管理技巧之HTTP篩選器ISA2004的HTTP篩選器

傳統(tǒng)防火墻網(wǎng)站/OWAInternet用戶網(wǎng)站要求驗(yàn)證SSL因?yàn)橥ǖ朗羌用艿乃許SL數(shù)據(jù)包直接通過(guò)傳統(tǒng)的防火墻病毒或者蠕蟲(chóng)也可能通過(guò)感染內(nèi)部服務(wù)器ISAServer2004代理驗(yàn)證ISA2004預(yù)先驗(yàn)證使用者,僅允許的數(shù)據(jù)包才能通過(guò)ISA2004的HTTP篩選器SSLorHTTPSSLISA2004能夠先針對(duì)SSL數(shù)據(jù)包予以解密后做檢查解開(kāi)數(shù)據(jù)包做檢查后,接著可以再加密或直接以明文送去內(nèi)部HTTP篩選器即使是SSL數(shù)據(jù)包,ISA2004的HTTP篩選器也能夠防止網(wǎng)頁(yè)型態(tài)的攻擊InternetGET...Accept:.image/gif,.image/x-xbitmap,.image/jpeg,.image/pjpeg,.application/vnd.ms-excel,.application/vnd.ms-powerpoint,.application/msword,.*/*..Accept-Language:.en-us..If-Modified-Since:.Fri,.11.Oct.2002.20:30:04.GMT..If-None-Match:."06ee8fa6471c21:428"..User-Agent:.Mozilla/4.0.(compatible;.MSIE.6.0;.Windows.NT.5.1)..Host:...Proxy-Connection:.Keep-Alive...HTTP協(xié)議之簽名

(Signature)請(qǐng)求頭HTTP請(qǐng)求簽名HTTP頭HTTP協(xié)議之方法(Method)GET:抓取客戶端于Request-URL中所指定的資源HEAD:測(cè)試客戶端于Request-URL中所指定的資源POST:上傳窗體數(shù)據(jù)PUT:將數(shù)據(jù)上傳至客戶端于Request-URL中所指定的資源DELETE:刪除客戶端于Request-URL中所指定的資源OPTIONS:用以測(cè)試服務(wù)器端所支持的方法TRACE:用以進(jìn)行應(yīng)用層循環(huán)測(cè)試CONNECT:于proxy的架構(gòu)中,建立「通道」HTTP協(xié)議之客戶端

RequestURL[:port]/path/file[?query]ProtocolTargetResource%252e%2e.HTTP協(xié)議之客戶端請(qǐng)求

(cont...)HTTP協(xié)議之服務(wù)器響應(yīng)使用HTTP篩選器管理P2P軟件限制BT限制QQ使用HTTP篩選器限制訪問(wèn)特定類型文件使用HTTP過(guò)濾器修改服務(wù)器響應(yīng)數(shù)據(jù)包中

返回的web服務(wù)器類型HTTP篩選最佳實(shí)踐建立一致性的基準(zhǔn)設(shè)定最大的HTTP頭、負(fù)載、URL和查詢長(zhǎng)度驗(yàn)證正規(guī)化但不阻止高位字符僅允許GET及POST方法阻止可執(zhí)行程序及包含擴(kuò)展名的服務(wù)器端阻止可能的惡意簽名使用HTTPFilterConfig.vbs進(jìn)行HTTP篩選器設(shè)定的導(dǎo)入和導(dǎo)出(包含于ISAServer2004SDK,可于Microsoft網(wǎng)站下載)上網(wǎng)行為管理之防火墻客戶端高級(jí)特性簡(jiǎn)介在ISAServer的環(huán)境中配置內(nèi)部客戶為防火墻客戶,除了可以實(shí)現(xiàn)身份驗(yàn)證外,還可以使用防火墻客戶端的高級(jí)特性來(lái)定義客戶端使用的網(wǎng)絡(luò)應(yīng)用程序,從而嚴(yán)格控制用戶可以使用的應(yīng)用程序?qū)崿F(xiàn)使用防火墻客戶端高級(jí)特性限制msn上網(wǎng)行為管理技巧之報(bào)告如何配置報(bào)告摘要數(shù)據(jù)庫(kù)選擇啟用日志摘要配置保存匯總的次數(shù)配置摘要文件保存路徑如何生成報(bào)告配置報(bào)告中包含的內(nèi)容配置報(bào)告中包含的時(shí)間周期配置報(bào)告存儲(chǔ)的位置如何創(chuàng)建循環(huán)報(bào)告作業(yè)配置包含在循環(huán)報(bào)告中的內(nèi)容配制循環(huán)報(bào)告作業(yè)什么時(shí)間運(yùn)行如何發(fā)布報(bào)告將報(bào)告發(fā)布到共享文件夾可以使用戶即使沒(méi)有

ISAServer管理控制臺(tái)也可以查看報(bào)告自定義報(bào)告內(nèi)容生成報(bào)告發(fā)布報(bào)告TechNet是什么?只需輕輕點(diǎn)擊,答案就在您的指尖對(duì)于IT專業(yè)人員來(lái)說(shuō),TechNet是一個(gè)知識(shí)的寶庫(kù),你可以找到關(guān)于如何規(guī)劃,部署和管理微軟產(chǎn)品的的技術(shù)資源每月發(fā)放包含最新信息的DVD或者CD這是最權(quán)威的資源,可以幫助你評(píng)估、配置和維護(hù)微軟產(chǎn)品。訂閱TechNet可以訪問(wèn)該站點(diǎn)在線資源和社區(qū)訂戶--僅僅提供在線服務(wù)TechNet網(wǎng)站兩周發(fā)放一次的中文電子快報(bào)安全更新,新的資源等等TechNet中文電子快報(bào)有關(guān)最新

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論