《企业防火墙管理技巧高手攻略用ISA控制企业网络访问.ppt》由会员分享,可在线阅读,更多相关《企业防火墙管理技巧高手攻略用ISA控制企业网络访问.ppt(43页珍藏版)》请在三一办公上搜索。
1、,企业防火墙管理技巧高手攻略:用ISA控制企业网络访问,概要,ISA Server 2004概述上网行为管理技巧之访问策略上网行为管理技巧之HTTP筛选器上网行为管理之防火墙客户端高级特性上网行为管理技巧之报告,ISA Server 2004概述,管理员遇到的问题,怎么样防止员工访问任意的网站?怎么样防止员工任意的下载软件?怎么样防止员工使用任意的计算机上网?怎么样防止员工在任意的时间上网?怎么样阻止P2P软件?怎么样控制用户上网的带宽使用?怎么样防止用户使用外部代理?怎么样阻止员工使用私自安装的二级代理?,解决方案?,软件Sygate?WinGate?WinRoute?CCProxy?ISA
2、 Server 2004!硬件,传统防火墙所面临的问题!,内部网络,传统防火墙,网络层与传输层的攻击,应用层的攻击(病毒、蠕虫与缓冲区溢出),传统防火墙之包过滤,Application Layer Content?,仅有数据包头会被检查,无法识别应用层数据,基于服务连接进行数据包传输,但是合法的网络流量与应用层级的攻击都是使用相同的服务连接,传统防火墙所无法保护的项目,看似合法的网络流量(缺乏应用层级的检查)经过加密的网络流量,如 VPN 或 SSL网络已经遭到渗透后的攻击行为使用懒人密码的网络系统,如 Windows Terminal、VPN、Mail,攻击受到传统防火墙所保护的网站,Att
3、acker,ISA Server 2004 新特性新的安全构架,高级保护功能应用层保护对微软应用已做优化设计,深度内容过滤,增强:可定制的HTTP过滤器灵活易用的规则对所有IP协议进行状态检测,增强与Exchange集成,支持Outlook的RPC Over Http增强OWA安全方便的向导功能,与VPN完全集成,对VPN提供过滤功能支持IPSec隧道模式的“站到站”VPN支持网络访问隔离,保护Internet Information Server和SPS的安全,为IIS和SPS提供SSL桥接功能易用的Web服务器发布向导支持AD,RADIUS,SecurID验证,ISA 2004 网络模型,
4、任何数量的“网络”将VPN也作为网络“本地主机”也作为网络指定关系(NAT/Route)基于“网络”指定策略对所有interfaces进行包过滤支持即插即用和拨号,ISA 2004,任何拓扑,任何策略,Local HostNetwork,ISA 2004 策略模型,规则顺序决定优先级更易理解,更有逻辑便于查看与审计新的,统一的规则结构应用于所有规则 三种类型的主要规则访问规则服务器发布规则Web 服务器发布规则应用层过滤设定为规则的一部份默认的系统策略,上网行为管理技巧之访问策略,访问策略元素,协议用户内容类型调度网络对象,实验环境,根据用户或IP来设置Internet访问根据时间来设置Int
5、ernet访问根据协议来设置Internet访问根据内容来设置Internet访问拒绝访问某些Internet带宽控制,访问策略最佳实践,首先是尽量采取“允许需要的,拒绝所有(其他)的”的原则创建防火墙规则拒绝对某些应用服务器IP的访问拒绝对某些应用服务器端口的访问对HTTP进行应用层检查,阻止相关请求头、请求URL、响应头及扩展名文件等的连接拒绝对常用代理端口的访问,比如TCP8080/1080/3128关注常见的HTTP隧道登录,随时拒绝这类服务的登录服务器,上网行为管理技巧之HTTP筛选器,ISA 2004的HTTP筛选器,传统防火墙,网站/OWA,Internet用户,网站要求验证,因
6、为通道是加密的所以SSL数据包直接通过传统的防火墙,病毒或者蠕虫也可能通过,感染内部服务器,ISA Server 2004,代理验证,ISA 2004 预先验证使用者,仅允许的数据包才能通过,ISA 2004的 HTTP 筛选器,ISA 2004能够先针对SSL数据包予以解密后做检查,解开数据包做检查后,接着可以再加密或直接以明文送去内部,HTTP 筛选器,即使是SSL数据包,ISA 2004的HTTP 筛选器也能够防止网页型态的攻击,Internet,HTTP 筛选器可适用于:内部用户访问 Internet 网站的流量Internet 用户访问被发布网站的流量HTTP 筛选器可以依据下列项目
7、进行 HTTP 协议的阻挡与过滤:方法、扩展名与URL请求头与请求正文响应头与响应正文每一条防火墙规则的 HTTP 筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定,利用 HTTP 筛选器保护网站,Application Layer ContentMSNBC,HTTP筛选器,.Accept:.image/gif,.image/x-xbitmap,.image/jpeg,.image/pjpeg,.application/vnd.ms-excel,.application/vnd.ms-powerpoint,.application/msword,.*/*.Accept-Langua
8、ge:.en-us.If-Modified-Since:.Fri,.11.Oct.2002.20:30:04.GMT.If-None-Match:.06ee8fa6471c21:428.User-Agent:.Mozilla/4.0.(compatible;.MSIE.6.0;.Windows.NT.5.1).Proxy-Connection:.Keep-Alive.,HTTP 协议之签名(Signature),请求头,HTTP 请求,签名,HTTP头,HTTP 协议之方法(Method),GET:抓取客户端于 Request-URL 中所指定的资源HEAD:测试客户端于 Request-UR
9、L 中所指定的资源POST:上传窗体数据PUT:将数据上传至客户端于 Request-URL中所指定的资源DELETE:删除客户端于 Request-URL 中所指定的资源OPTIONS:用以测试服务器端所支持的方法TRACE:用以进行应用层循环测试CONNECT:于 proxy 的架构中,建立通道,HTTP 协议之客户端 Request URL,http:/:port/path/file?query,%252e,%2e,.,HTTP 协议之客户端请求,HTTP 协议之客户端请求(cont.),HTTP 协议之服务器响应,HTTP 协议之服务器响应,HTTP筛选器示例,使用HTTP筛选器管理P
10、2P软件限制BT限制QQ使用HTTP筛选器限制访问特定类型文件使用HTTP过滤器修改服务器响应数据包中 返回的web服务器类型,HTTP筛选最佳实践,建立一致性的基准设定最大的HTTP头、负载、URL 和查询长度验证正规化但不阻止高位字符仅允许 GET 及 POST 方法阻止可执行程序及包含扩展名的服务器端阻止可能的恶意签名使用 HTTPFilterConfig.vbs 进行 HTTP 筛选器设定的导入和导出(包含于 ISA Server 2004 SDK,可于 Microsoft 网站下载),上网行为管理之防火墙客户端高级特性,简介,在ISA Server的环境中配置内部客户为防火墙客户,除
11、了可以实现身份验证外,还可以使用防火墙客户端的高级特性来定义客户端使用的网络应用程序,从而严格控制用户可以使用的应用程序,实现,使用防火墙客户端高级特性限制msn,上网行为管理技巧之报告,如何配置报告摘要数据库,选择启用日志摘要,配置保存汇总的次数,配置摘要文件保存路径,如何生成报告,配置报告中包含的内容,配置报告中包含的时间周期,配置报告存储的位置,如何创建循环报告作业,配置包含在循环报告中的内容,配制循环报告作业什么时间运行,如何发布报告,将报告发布到共享文件夹可以使用户即使没有ISA Server管理控制台也可以查看报告,自定义报告内容生成报告发布报告,TechNet是什么?,只需轻轻点
12、击,答案就在您的指尖对于IT 专业人员来说,TechNet 是一个知识的宝库,你可以找到关于如何规划,部署和管理微软产品的的技术资源,每月发放包含最新信息的 DVD或者CD这是最权威的资源,可以帮助你评估、配置和维护微软产品。,订阅TechNet,可以访问该站点 在线资源和社区订户-仅仅提供在线服务,TechNet 网站,两周发放一次的中文电子快报安全更新,新的资源等等,TechNet 中文电子快报,有关最新微软产品介绍和技术的简报上机试验,“如何操作”等信息,TechNet 活动和网站消息,用户群可管理的新闻组,中文社区,我们从哪里可以了解到 TechNet?,访问TechNet的官方网站technet注册TechNet快报 technet/abouttn/subscriptions/flash.mspx加入到中文在线论坛 成为 TechNet的订户/technet参与到更多的TechNet活动中或者在线了解/technet,您的潜力,我们的动力!,
