《企业网络安全与速度的完美结合.ppt》由会员分享,可在线阅读,更多相关《企业网络安全与速度的完美结合.ppt(123页珍藏版)》请在三一办公上搜索。
1、企业网络安全与速度的完美结合ISA Server,用ISA SERVER服务器保障企业的信息安全提高企业信息共享的速度*微软(中国)有限公司*,演讲人信息,舒 骋 计算机科学 工学硕士 工学及管理学 双学士 微软(中国)公司 高级技术顾问 微软全球认证讲师(MCT)微软全球认证系统工程师(MCSE)微软全球认证方案开发工程师(MCSD)微软全球认证数据库管理专家(MCDBA)交流专用E-mail:FORRESTSHU 263.NET,讲演安排大纲:*网络安全背景介绍+网络安全理念讲解*代理服务器 防火墙产品的评估与选型(与系统平台集成)*案例分析 为何选用 ISA SERVER 2000*IS
2、A SERVER 突出优势的见证:*功能强大:代理服务器功能与 防火墙 功能兼备;*配置简单,管理方便,一切基于 GUI界面;*与Windows 服务器级平台深入集成;,当今网络安全发展的现状,网络应用日益广泛,而网络安全问题普遍存在,且人们的防范意识薄弱;代理服务器广泛应用,使用代理服务器后,更多网络安全问题会随之而来。网络攻击的手段越来越多,手法更加诡异,有的就利用代理服务器的安全漏洞;黑客(HACKERs)与骇客(CRACKERs)并存,均有较大危害;网民学习“网络攻击”的途径越来越多,稍加训练,普通的计算机技术人员也能变成“黑客”;用户面临的防火墙的选择也很多,各种防火墙技术参差不齐。
3、,第一部分网络安全背景介绍 网络防范理念讲解,以下是针对网络安全的综述,议题1:热点问题分析议题2:网络安全的定义议题3:攻击和破坏的方式议题4:如何防范议题5:制定企业的安全策略,议题1:热点问题分析,红色代码 Code Red I and II尼母达 Nimada特洛伊木马 Trojan Horse,“红色代码”病毒的工作原理,病毒利用IIS的.ida 漏洞进入系统并获得 SYSTEM 权限(微软在2001年6月份已发布修复程序 MS01-033)病毒产生 100 个新的线程99 个线程用于感染其它的服务器第100个线程用于检查本机,并修改当前首页在 7/20/01 时所有被感染的机器回参
4、与对白宫网站 www.whitehouse.gov的自动攻击.,尼母达 Nimada的工作原理,4 种不同的传播方式IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序 MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件:(已被使用过无数次的攻击方式)文件共享:针对所有未做安全限制的共享,特洛伊木马 Trojan Horse,黑客首先监测用户端口;摸索进出数据流的规律;将Trojan Horse的黑客程序附在用户的正常数据流中,跟进用户系统,潜伏;根据逻辑条件定时发作
5、;骗取用户的管理权限,或秘密监控得到数据并返回;利用超级管理特权进行远程控制和破坏,微软公司的应对措施,及时发布对应的清除方法及时发布新的安全工具及时向用户提供清除工具,对微软公司各种软件产品的认识与使用,安全性的操作系统网络平台 如:WINDOWS 2000,WINDOWS XP等各种基于微软操作系统的系统软件如:IIS(WEB服务器平台);MS PROXY;ISA SERVER等各种基于微软操作系统的应用软件 如:OFFICE 2000;OFFICE XP;IE 6 等问题:如何保证更安全地使用这些产品。,议题2:网络安全的定义,网络安全的物理范围网络安全的语义范围网络安全的级别威胁来自哪
6、里,网络安全的物理范围,网络安全的语义范围,保密性 完整性可用性可控性,安全的级别,Public,Internal,Confidential,Secret,Web SiteData,MarketingData,PayrollData,TradeSecrets,威胁来自哪里,议题3:攻击的方法,攻击的类型攻击的工具和步骤,成功的攻击=目的+手段+系统漏洞,常见的攻击方式,社会工程 Social Engineering病毒virus,木马程序Trojan,蠕虫Worm拒绝服务和分布式拒绝服务攻击 Dos&DDosIP地址欺骗和IP包替换 IP spoofing,Packet modificatio
7、n邮件炸弹 Mail bombing宏病毒 Marco Virus口令破解 Password crack,攻击的工具和步骤,标准的TCP/IP工具(ping,telnet)端口扫描和漏洞扫描(ISS-Safesuit,Nmap,protscanner)网络包分析仪(sniffer,network monitor)口令破解工具(lc3,fakegina)木马(BO2k,冰河,),有同样多的方法和工具保护您的系统,Packet Filtering,DMZs,Operating System Configuration,Application Security,Event Monitoring,PK
8、I,VPN,Virus Scanning,Hotfixes,Change Control,Good Operational Practice,IPSec,SSL,ISA Server,主题4:如何防范,(1)保障Internet 访问的安全控制(2)Internet 上信息发布的安全(3)充分利用服务器操作系统安全管理模块(4)保障远程用户和网络的安全控制(5)保障邮件系统的安全(6)保障客户端的安全(7)及时使用微软发布的安全工具与方法(8)主动检测攻击行为,从这里开始:安全工具安全操作指南安全白皮书可订阅的安全警告信息,Internet 访问的安全控制,远程用户和网络的安全控制,使用确保远
9、程用户和远程网络的安全,(1)Internet 上信息发布的安全,安装所需的 ServicePack 和 Hotfix 按照安全配置列表(Security Checklist)对服务器做正确配置 信息发布过程的安全管理权限管理流程管理Web 应用程序设计的安全数据库连接,(2)IIS的安全配置,IIS 安全检查列表(Security Checklist)http:/安全配置文件(Hisecuweb.inf)IIS Lockdown Tool,(3)利用服务器安全管理模块,安装和配置管理只安装必要的服务,记录和备份当前配置使用NTFS文件系统Service Pack 和 Hotfix帐号管理口令
10、管理 长度,复杂度,寿命,尝试次数登录控制 终端锁定的时间,登录名显示特权帐号管理 administrator,guest系统平台各种安全和加密策略:GPO,CA,Kerberos V5使用先进的身份验证方式NTLM,智能卡,生物识别技术,(3)利用服务器安全管理模块(续),安全审计和性能监控Event ViewerPerformance Monitor网络连接和传输过程的安全Port FilterIPSec使用负载平衡和容错技术NLBCluster部署防病毒系统,(4)邮件系统的安全,ServicePack and Hotfix拒绝服务式攻击将服务分布于多台服务器限制传入邮件的大小严格控制邮
11、件附件关闭Relay Host选项通过邮件传播病毒部署服务器端和客户端的防病毒软件在防火墙使用邮件过滤技术在Outlook客户端使用安全限制,(5)邮件系统的安全,在邮件传输过程中窃取信息 S/MIMESSL假冒身份发送邮件数字签名,(6)客户端安全管理,普通用户缺乏安全意识是最大的安全问题认为安全是系统管理员的事随意下载机密信息到本地共享信息时不做任何安全限制随意让他人使用自己的机器随意执行不清楚用途的应用程序随意的口令管理利用Win2000中的组策略实现对桌面系统的控制和自动的软件分发利用SMS或其它网管软件,(7)微软产品提供的安全功能,Windows 2000 VPN(PPTP,L2T
12、P),PKI,Group policy IPSec,EFS,SmartCard SupportWindows XP ICFISA 服务器 集成的防火墙和代理服务器MOM 统一的网络监控 SMS 网络监控和软件分发,(7)微软新近发布的安全工具,HFNetChk URLScanIIS Lockdown ToolMicrosoft Personal Security Advisor(MPSA)累加的Hotfix和QChain,(8)如何主动检测非法攻击行为,使用任务管理器和性能监测器发现服务器异常使用TCP/IP工具和网络监视器检查网络通信使用事件察看器检查异常的帐号活动利用Web服务器或防火墙日
13、志找出攻击来源利用第三方工具Symantec,CA等,题目4:制订安全策略,明确一下以下问题“我们力图保护的是些什么资源?”“计算机系统必须防范谁?”“我们需要什么级别的安全?”,安全防护体系,制订安全策略,确定安全需求确定安全需求的范围评估面临的风险制订可实现的安全目标制订安全规划本地网络:帐户,文件,邮件远程网络:远程用户,远程分支机构Internet:浏览,文件传输 制订系统的日常维护计划,制订安全策略 案例分析,一家软件公司,为保护它的日常工作,软件财产和客户利益需要制定一个安全策略 安全需求:确保它的源代码不会丢失,不会泄密,并让开发人 员随时可以得到 安全目标:所有超过1天以上的开
14、发工作的结果都应被保存;严格的权限控制,确保只有开发部门具有修改权限,其它部门只有读权限;每年服务器宕机时间不超过24小时 安全计划:使用VSS控制开发过程;在服务器端设定不同用户的权限;使用服务器容错技术;建立异地的备份中心 维护计划:确定备份方案,灾难恢复计划和针对安全策略。这些目标只有使用合适的 系统平台多层防火墙 才可以达到,常用的安全规范和安全评估机构,TCSEC(美国1985)ITSEC(欧洲1991)CTCPEC(加拿大1993)FC(美国1992)CC(欧美1999)CNISTEC(中国1998),防火墙的重要性,公网和内网的隔离带公网和内网的连接桥梁可以对网络行为实行统一的控
15、制但是,必须选择 令人满意的,防火墙产品的评估与选型(防火墙选型的重要原则:与系统平台集成者优先),第二部分,防火墙选择时的决定因素和权重,我们的拳头安全产品,ISA SERVER,您的明智选择,What is ISA server?,ISA Server 提供了企业级的 网络安全+管理+加速解决方案,ISA 的设计目标Secure,fast Internet connectivity,多功能,多层次控制的防火墙,高性能的,可扩展的Web缓存,灵活方便的策略管理,统一的帐号控制,安全的Internet访问,快速的Web访问,统一和灵活的管理,开放的,可扩展的平台,强大的扩展能力和定制化能力,I
16、SA通过国际权威的ICSA认证,ISA 的产品特性(PART I),Microsoft Internet Security and Acceleration Server 2000提供了安全、快速、可管理的Internet连接性。ISA Server包括一个可扩展的、多层的企业防火墙,该防火墙能够进行动态的数据包过滤、透明的、SecureNAT、“智能的”数据感知的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了Web访问速度,而同时节约了带宽,并且可以进行按比例放大以获得有效的、动态的负荷平衡。,ISA 的产品特性(PART II),统一,灵活的管理工具为用户、应用程序、目的
17、地、计划和内容类型提供了多层策略。同时与Windows 200的虚拟专用网(VPN,virtual private networking)和带宽控制进行了集成。ISA Server是一个进行扩展和自定义的丰富的平台,它包括一个广泛的软件开发工具包(SDK)和多个用于进行管理、应用程序过滤器、Web过滤器和缓存控制的应用程序设计接口(API),ISA 的一些竞争对手,ISA的长处与优势:网络安全与速度的完美结合其他产品的基本特点*硬件防火墙,如:Cisco PIX 等;*其他软件防火墙,如:Check Point FW-1 等。Firewall Product Comparison,Firewa
18、ll Product Comparison,Firewall,应用范例-小型网络或分公司的配置,企业內部网络,Access Policy rules-IP封包,应用程式,使用者,群组等的存取规则Bandwidth rules-不同Internet request所分配不同带宽的规则Publishing rules-将Internet服务(如web,ftp,mail)透过防火墙 的保护公布給外界大众Intrusion Detection-防火墙入侵监测与警示Monitor and Logging 进出流量分析与报表Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上,DMZ方式1:
19、一个防火墙连接3个网络(3-homed),Internet,内部网络,DMZ区,ISA服务器,应用范例 广域网络的配置,加速分支机构的访问速度(chain 的部署)实现内部的安全控制(不同部门和网络之间部署防火墙)统一的策略管理,DMZ方式2:“背靠背”模式,Internet,内部网,DMZ 区,Web 服务器,数据库服务器,ISA服务器,ISA服务器,ISA和VPN在远程网络的部署,可以选择让VPN服务器和 ISA安装在同一台机器上或分开,ISA 企业级防火墙,企业资源的强大防火墙保护保护资产,如Web服务器、数据库服务器和E-mail服务器免受黑客、病毒和未授权使用的侵扰。保护内部计算机和
20、用户的身份,以免被外部Internet用户获取。在允许使用敏感性的计算资源之前执行强大的用户身份验证。外发和外来网络通信量的控制定义允许穿过防火墙的数据类型;默认情况下,通信被拒绝。利用用于高级筛选的应用程序感知的过滤器对数据内容进行检查。利用动态的会话状态管理和状态检查,自动地限制打开端口的数量防火墙安全性的活动监控 利用事件驱动的报警系统,通知管理员并实施计数器测量。利用集成的入侵检测功能,对潜在的、已知的攻击进行检测。,ISA 企业级Web 缓存,用于更快的Web访问的高性能Web缓存通过在本地而不是拥挤的Internet提供内容,从而使得Web访问更快更可靠。自动预取和刷新Web缓存以
21、提供最新的内容。利用SMP多处理器支持和负荷平衡群集,提高性能。更智能、更经济合算的Internet使用 将Internet访问限制为批准的Web内容、目的地和应用程序。通过降低外发的Internet通信量和本地提供内容,节约带宽。将Web内容发布到距离客户更近的位置 既有效又经济合算地将网络分段,并将Web服务器和电子商务应用程序发布到距离更近的位置。,ISA 提供企业级灵活统一的管理,丰富的访问控制和管理 按用户和组、应用程序类型、时刻、目的地集合等对访问进行限制。利用分两层的策略,委派不同水平的管理权限。分配带宽以满足商务优先权。面向大型企业的集中管理将多个分布式的服务器作为一个可以很容
22、易进行扩展的逻辑阵列进行管理。从一个位置集中管理访问策略、计算机配置和用户信息。简化的管理工具利用图形化的任务板(taskpad)和安装向导,可以很容易地配置和管理安全性、Web访问和缓存。为了进行一致的控制,集成管理合并了防火墙和Web访问的管理。通过集中的通信量日志记录、趋势报告、会话监控和报警系统,对防火墙和Web活动进行监控。,简单概括ISA特性,微软的ISA=防火墙+代理服务器+反向代理ISA的安全特性支持IP包过滤,进程级过滤和应用级过滤支持流媒体和多址广播报表功能入侵检测功能System Harden通过ICSA认证,第三部分,案例分析 为何选用 ISA SERVER,使用ISA
23、时应有的正确理念,不要将所有家当,全都押在某种安全产品上,这是很危险的;使用ISA SERVER,应该充分发挥其突出优势,即:利用其与微软平台 WINDOWS 2000/XP 良好的集成性,这是ISA SERVER在MICROSOFT平台上,无可动摇的优势;部署ISA SERVER时,将多种安全措施并用,形成从上到下立体的网络安全体系。必须根据当前需求,并考虑未来的网络发展,选用合适的ISA SERVER 版本。,Microsoft ISA Server 2000标准版与企业版功能比较表,ISA的用户,制造业:BSH(owned by Bosch and Siemens,3rd largest
24、 WW appliance manufacturer)37000 employeesDMZ Firewall,Internal FirewallNSCP-ISA:Reliability,performance,Authentication能源工业:Shell 75,000 Win2k desktops running ISA firewall client6 ISA servers be deployed on Win2k DC in 3 data centers around the world.Evaluating ISA over Firewall-1金融证券业:Celestial As
25、ia Securities Holdings(Cash)Win over Firewall-1 for e-commerce scenario(publishing)Win over PIX for DMZ scenario(secure internet access)教育业:University of Texas(德州大学)ISA in production as Firewall 10K users,ISA 的中国用户,金融:上海浦发银行制造:贝尓中国有限公司 西门子中国有限公司零售:左丹奴中国有限公司运输:中国远洋运输有限公司教育:上海浦东教育网能源:深圳燃气集团,一些具体的ISA S
26、ERVER 的部署场景,请看以下DOC 文档中的一些具体的ISA SERVER案例,第四部分 ISA SERVER 的配置,ISA SERVER 的配置,突出优势的见证:*功能强大;*配置简单,管理方便;*与Windows 2000平台深入集成;,企业确保网络安全的目标:,目标1:安全的Internet访问 目标2:快速的Web访问目标3:统一和灵活的管理目标4:开放和可扩展的平台,目标1:安全的Internet访问,多层次控制方式的防火墙(Multilayer)入侵检测功能(Intrusion Detection)支持DMZ区(DMZ Zone)服务器发布功能(Server Publishi
27、ng)集成的VPN功能(Integration VPN)支持动态包过滤(Dynamic Filter)支持NAT“安全锁紧”功能(System Harden)支持负载均衡,多层次控制方式的防火墙,由下至上 保护每个层次IP层静态过滤动态过滤电路层基于会话的过滤基于连接的控制应用层智能的内容探测,IP层Packetlevel,应用层Applicationlevel,电路层Circuitlevel,IP包过滤,利用IP包头信息分析IP包内容,Src,Dst,payload,port,IP Header,UDP/TCP HDR,Payload,协议级的安全控制,会话与连接之间的关系 智能的监测和控制
28、主连接,服务器,客户端,应用层的安全控制,智能检查支持内容的过滤和锁定防范已知的安全漏洞,Client,Company server,Internet,ISA服务器内置的应用过滤器,邮件过滤功能,(Mail Screen),入侵检测功能Intrusion Detection,检测和预警:All types of Port ScanPing of deathUDP bomb attack WinNukeLand attacks Others,入侵检测功能,应用过滤器 DNS Intrusion Detection filter FTP Access filter H.323 filter HTT
29、P Redirector filterPOP Intrusion Detection filter RPC filter SMTP filter(Message Screener)SOCKS V4 filter Streaming Media Filter 支持开发自定义的应用过滤器,入侵检测功能(Intrusion Detection),服务器发布和DMZ区设置,什么是服务器发布设置DMZ区的好处更好的保护内部网络隔离风险 DMZ方式1:一个防火墙连接3个网络DMZ方式2:“背靠背”模式,什么是服务器发布Server Publishing,Internet,www.nwtraders.msf
30、t,防火墙外网卡,Web 服务器,防火墙内网卡,内部网络,ISA服务器,通过ISA发布服务的好处,严格限制外网对内网的访问支持地址转换(NAT)支持端口的重定向(Port Mapping)支持Web站点的重定向(Redirect)支持SSL桥接技术(SSL Bridging),DMZ方式1:一个防火墙连接3个网络(3-homed),Internet,内部网络,DMZ区,ISA服务器,DMZ方式2:“背靠背”模式,Internet,内部网,DMZ 区,Web 服务器,数据库服务器,ISA服务器,ISA服务器,发布服务和路由功能的关系,服务器发布功能可以让外网访问内部网络的资源本地地址列表(LAT
31、)区分了内网和外网采用 3-homed 方式设置的DMZ区被视为外网需要在两块外网卡之间配置路由利用包过滤功能对路由的信息进行安全控制,发布服务和路由功能的关系,便捷的服务器发布过程(Server Publishing),集成的VPN功能,集成Windows 2000的VPN功能2种隧道协议可供选择:L2TP/IPSecPPTP支持多种连接方式:Server to ServerClient to Server方便的VPN功能发布向导,一个典型的VPN远程访问图,公司的内部局域网,远程访问协议,远程访问客户端,远程访问服务器,数据传输协议(Data Transport Protocols),Re
32、mote Access Server,Remote Access Client,Remote Access Protocols,LAN Protocols,虚拟专有网络协议(Virtual Private Network Protocols),集成的VPN功能,可以选择让VPN服务器和 ISA安装在同一台机器上或分开,“安全锁紧”功能 System Harden,自动配置ISA服务器自身的安全设置获得ICSA的防火墙认证经过严格的防火墙穿透测试“Based on our own evaluation of ISA Servers security features,Im confident t
33、hat it will compete successfully with well-established products in the security field”-Foundstone,the author of a best-selling book on Internet security,“Hacking Exposed”.,ISA 防火墙的性能,Exodus(KeyLabs)对 ISA 的防火墙功能进行了标准的测试 282 mbps out of 300 mbps接近线路的最大饱和度(94%)远超过T4线路的带宽ISA 在FireBench 超过了 FireWall-1 的最
34、好测试结果 Claims 246 mbps on linux with 1GB card(25%utilization)集成的Web缓存将进一步提高测试结果,目标2:快速的Web访问,改进的存储和检索机制内存缓存(RAM caching)主动的和定时的内容下载支持阵列(Array&CARP)层次化的缓存系统,NEW,Enhanced,NEW,Enhanced,Enhanced,改进的存储和检索机制,重新编写的存储和检索引擎检索速度远超过Proxy2.0评测中显示最佳性价比,内存缓存(RAM caching),1,GET,主动的和定时的内容下载,以TTL为基础ISA自动分析缓存内容的寿命ISA自
35、动下载并更新缓存内容使用拨号访问Internet的用户应考虑使用定时下载内容的方式,灵活的缓存管理机制,TTLActive Caching&Schedule CachingCaching SizeDynamic Content,ISA SERVER管理中的高级特性(归纳),Tiered policy and flexible management integrates with Windows 2000,Policy&Rules,Enterprise&array-levelAccess controlBy user/groupBy applicationBy destinationBy con
36、tent typeBy scheduleBandwidth priorities,Tasks Pads and Wizards,Tasks PadsThe easy way to set up and maintainWizardsStep-by-step for complex tasks,Alerting,AlertingFlexible alert dispatch mechanism,ISAServer,Logging,reporting,monitoring,LoggingPacket logSession logReportingDaily summariesPopular rep
37、ortsMonitoringActive connectionsPerformance counters,Extensibility,Superior extensibility and customizability,Extensibility Mechanisms,Application filtersSmart inspection of data streamsWeb filters Based on ISAPIAdministration COM objectAll administrative properties and actions available programmati
38、cally(read/write)Cache APIsMMC snap-insExtend the ISA Server user interfaceStorageIntegrate with array propagation,backup/restoreAlerts,A Community of ISVs,Summary(总结),Secure,Fast Internet Connectivity,ISA Server Competitive Advantages,Best Windows IntegrationActive DirectoryNetworking FeaturesWindo
39、ws applicationsIntegrated Firewall and Web Cache ManagementUnified Policy and Access ControlUnified Management Scale up and Scale Out for the EnterpriseTiered Policy ManagementScale Up-SMP optimizedScale Out-NLB and CARP Lower TCOIntegrated ServicesLeverage Existing SkillsWorks with what you haveExt
40、ensible Open Platform,Key Takeaways,Firewall&cache integrationMulti-layered firewall with smart filtersHigh performance and scalable cacheDesigned for reverse caching and secure publishingIntegrated VPN,intrusion detection,reporting,bandwidth controlTiered policy modelExtensibility,ISA的合作软件厂商,有许多微软公司的软件合作厂商,为ISA SERVER提供了二次开发模块,更好地扩展了ISA SERVER的应用面。,A Community of Parteners,微软企业技术支持服务,咨询服务 技术培训 现场支持服务 客户专案管理,专业开发支持 协助构建解决方案 技术资料和信息 软件问题修复,针对ISA服务器的微软技术服务,Windows系统安全审核 ISA系统安装与部署服务ISA部署和系统管理培训 系统实施跟踪服务,请访问:,Question?,Any Questions,PLS?,相关的信息资源列表,微软公司:http:/,谢谢各位的耐心,THANK YOU!:,
