《ISA与企业网络安全管理.ppt》由会员分享,可在线阅读,更多相关《ISA与企业网络安全管理.ppt(51页珍藏版)》请在三一办公上搜索。
1、1,ISA与企业网络安全管理,营造健康网络生活环境王立丰,2,一、企业网络安全系统的构建,ISA的安全结构,3,企业为什么需要ISA2000,网络资源合理分配的需要网络内容安全合法的需要网络故障排除和内部安全的需要员工上网管理的需要费用控制的需要网络资源共享使用的需要提高网络速度和效率的需要,4,ISA2000主要解决的企业网络安全问题,代理服务资源共享防火墙服务安全管理缓冲服务提高网络效率视频服务多媒体支持,5,ISA安全体系结构,6,防火墙功能,内网、外网访问控制攻击检测访问权限控制,7,代理服务功能,共享网络资源实现高速上网控制内部上网控制协议使用控制时间范围,8,加速功能,通过缓冲区提
2、高上网速度根据带宽优先级别调整上网速度,9,网络资源合理分配,10,网络资源管理范围,时间协议站点内容流量权限,11,时间,对网络使用时间的控制充分利用Schedule Rule,12,协议,对网络各种协议的控制利用Protocol Rule 控制协议自己建立新的协议,13,站点,对外部网络站点的控制利用Destionation Rule实现对外部站点的控制,14,内容,对网络访问文件内容的控制利用Content Rule实现对各种外部网络内容和各种文件类型的访问控制,15,流量,建立带宽优先级,分配优先级小组通过Bandwith Rule 确定上网人员的不同优先级别,16,权限,通过权限管理
3、,控制网络用户的对网络使用的不同权限利用Incoming,Outgoing,Request 等控制不同的上网方式通过Client Address Rule 分配不同的用户权限小组,17,分配管理的策略,站点内容规则 Site and Content Rule协议规则 Protocol Rule时间规则 Schedule Rule优先权 Bandwith Rule网络数据筛选规则 IP Packet FilterLAT和LDT用户规则,18,站点内容规则,设置了不同用户对不同网络站点和内容的访问控制什么人什么时间什么内容什么方式,19,协议规则,通过对网络协议的控制,实现用户上网请求的控制什么人
4、什么时间可用的网络协议(不仅仅是浏览器方式的上网,包括邮件、专用客户端程序等实用的协议),20,时间规则,通过制定时间规则,对不同的用户组进行上网时段的控制,21,优先权,分配不同的优先级别控制不同用户使用网络的优先级,22,LAT和LDT,建立基于IP地址的阵列,控制通过 ISA 访问网络的不同的用户IP地址段通过基于Window Domain 的网络,控制不同的域用户通过ISA访问网络的方式,23,用户规则,通过对网络不同用户的分组和权限分配,管理不同用户上网基于用户IP的小组划分方式基于Windows用户管理机制的小组划分方式,24,访问策略,通过访问策略利用已经设置好的规则控制网络访问
5、权限利用已经设置好的规则控制网络资源利用已经设置好的规则控制网络使用时间利用已经设置好的规则控制网络流量利用已经设置好的规则控制网络应用程序,25,发布规则,通过发布规则控制Web发布(向外、向内)控制外部非法攻击控制服务器间发布,26,IP筛选器,通过建立筛选器,实现网络协议数据包的筛选控制网络远程计算机和本级计算机的各种网络协议的侦测方式控制各种协议的使用,27,应用程序和Web筛选器,通过内置的应用程序过滤器,控制网络各种应用程序的使用,如邮件软件是否可以发送附件等通过Web筛选器控制对网站和网页内容的过滤,需要第三方开发的插件产品ISA提供了可扩展的开发接口,让用户可以根据需要扩充不同
6、的筛选器,28,网络事件及时处理,通过系统监视功能(LOG、Report Job)监视服务器监视上网人员在线情况监视网络使用的各种数据IP,用户上网情况接收发送流量占用网络时间网络各种事件发生情况,29,二、各种安全措施分析,常用安全管理功能,30,服务器管理,服务器状态监测事件状态监测工作状态监测日常报告和日志,31,人员上网权限管理,内网访问权限外网访问权限浏览器权限拨号上网管理,32,人员上网控制管理,部门及人员管理外网资源管理网站内容管理上网时间管理,33,人员上网功能管理,上网功能管理网络开通时间管理,34,人员上网安全管理,设置防范措施查看预设措施设置攻击控制,35,人员上网优先级
7、管理,优先权分配优先权使用时间管理,36,网络缓冲管理,设置预先下载,37,ISA其他常用网络管理,服务器设置网络设置日志和报表设置客户端设置警报设置,38,三、ISA实现网络安全管理,结合企业业务加强安全管理,39,ISA实现安全管理的三部曲,第一步:制定策略元素第二步:组织控制策略第三步:实施控制策略(启用否),说明:ISA必须在真实的网络环境中配置,有些功能在没有其他计算机与ISA服务器连接的时候无法设置和看到效果,40,案例一:谁可以上网,手段建立Client Address Set建立 Access Policy启用/不启用,41,案例二:何时让用户上网,手段建立Schedule 策
8、略建立Access Policy启用/不启用,42,案例三:是否允许使用邮件,手段建立Protocol Set建立Access Policy启用/不启用,43,案例四:是否允许使用聊天软件,手段建立Protocol Set建立Access Policy启用/不启用,44,案例五:是否可以上搜索引擎网,手段建立Destination Set建立Access Policy启用/不启用,45,案例六:是否可以访问多媒体网页,手段建立Content Set建立Access Policy启用/不启用,46,案例七:设置攻击检测,手段设置 IP Filter启用/不启用,47,案例八:防止外部非法入侵,手段建立 Web Publish Rule启用/不启用,48,案例九:设置不同的上网优先权,手段建立Bandwith Set建立Access Policy启用/不启用,49,案例十:防止Nimda病毒,手段建立Site and Content Set建立Access Policy启用/不启用,50,案例十一:防止ISA服务停止导致无法上网,手段设置网络Client 的 Web Browser,51,感谢,安全管理,事在必行ISA防火墙系统=全面的安全管理,
