企业网络纵深防御讲义.pptx

IT专家网技术沙龙 主题一 如何构建安全的企业内部网络 主讲人：殷杰 前言 计算机网络已经深入我们的生活 计算机网络安全问题日趋重视 如何应对网络安全隐患 如何打造安全的企业网络 …… 目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展望 Step 1 边界网络安全 ISA 2004防火墙系统 应用层筛选 内部服务器的发布 SSL通讯保护 目前的网络安全形势 90% 的Web站点存在安全隐患 95% 的安全问题可以用“配置”解决 约70% 的基于 Web 站点的攻击发生在应用层 安全 Internet 上的设备日益增多 远程访问用户普遍存在 Web 站点的数量急剧增加 管理员遇到的问题 怎么样防止员工访问任意的网站？ 怎么样防止员工任意的下载软件？ 怎么样防止员工使用任意的计算机上网？ 怎么样防止员工在任意的时间上网？ 怎么样阻止P2P软件？ 怎么样控制用户上网的带宽使用？ 怎么样防止用户使用外部代理？ 怎么样阻止员工使用私自安装的二级代理？ … 传统防火墙的局限性 应用层攻击: Code-Red, Nimda IT部门已经面临超负荷的压力 有限和昂贵的带宽 数据检测降低网络性能 陈旧设备面临淘汰 需求增长需要购买更多设备. 传统防火墙之包过滤 仅有数据包头会被检查，无法识别应用层数据 基于服务连接进行数据包传输，但是合法的网络流量与应用层级的攻击都是使用相同的服务连接 随着网络安全在企业IT部门中的地位越来越重要，微软公司也重视到了这一点。经过4年的努力，微软在2004年发布了ISA Server 2004，新版本的ISA Server将给重视安全的企业带来新的选择。 ISA Server 2004的优势 高级防护 应用层的安全设计方案最大程度的保护应用程序 ISA Server 2004 新特性更新的安全结构 增强的 Exchange Server 集成度 ISA Server 2004 新特性新的管理工具和用户界面 网络模板和向导 ISA Server 2004 新特性依然强大的集成性 Web 缓存 ISA Server 概览 根据内容转发 只将合法 HTTP 流量发送到 Web 服务器 应用层内容： GET /partners/default.htm 序号 源端口 目标端口 源地址 目标地址 TTL 检查包头和应用层内容 Internet Web 服务器 HTTP 筛选器 提供了一种控制方法 HTTP 筛选器可适用于： 内部用户访问 Internet 网站的流量 Internet 用户访问被发布网站的流量 HTTP 筛选器可以依据下列项目进行 HTTP 协议的阻挡与过滤： 「方法」、「扩展名」与「URL」 「请求头」与「请求正文」 「响应头」与「响应正文」 每一条防火墙规则的 HTTP 筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定 利用 HTTP 筛选器保护网站 HTTP筛选器示例 应用程序名称 搜寻范围 HTTP头 签名 MSN Messenger 请求头 User-Agent: MSN Messenger Windows Messenger 请求头 User-Agent: MSMSGS AOL Messenger (and Gecko browsers) 请求头 User-Agent: Gecko/ Yahoo Messenger 请求头 Host Kazaa 请求头 P2P-Agent Kazaa, Kazaaclient: Kazaa 请求头 User-Agent: KazaaClient Kazaa 请求头 X-Kazaa-Network: KaZaA Gnutella 请求头 User-Agent: Gnutella Gnucleus Edonkey 请求头 User-Agent: e2dk Morpheus 请求头 Server Morpheus ISA Server Web 发布 ISA Server 检查 HTTP 请求 只转发允许的请求 ISA Server 可以发布多台服务器 Web 服务器 传入流量 Internet ? /../cmd?.. /%20%20 /scripts/ /partners ? 安全的 SSL 流量 SSL隧道：无需进行流量检查即可保护内容机密 SSL 桥接： Internet 上的客户端对通信内容进行加密 ISA Server 对流量进行解密并检查 ISA Server 将允许的流量发送到已发布的服务器，必要时对其进行重新加密 保护 SMTP 通信 基于 SMTP 的攻击： 使用无效、过长或不寻常的 SMTP 命令攻击邮件服