ISA与企业网络安全管理.pptVIP

ISA与企业网络安全管理 —营造健康网络生活环境 王立丰 amymax@263.net 一、企业网络安全系统的构建 ISA的安全结构 企业为什么需要ISA2000 网络资源合理分配的需要 网络内容安全合法的需要 网络故障排除和内部安全的需要 员工上网管理的需要 费用控制的需要 网络资源共享使用的需要 提高网络速度和效率的需要 ISA2000主要解决的企业网络安全问题 代理服务——资源共享 防火墙服务——安全管理 缓冲服务——提高网络效率 视频服务——多媒体支持 ISA安全体系结构 防火墙功能 内网、外网访问控制 攻击检测 访问权限控制 代理服务功能 共享网络资源 实现高速上网 控制内部上网 控制协议使用 控制时间范围 加速功能 通过缓冲区提高上网速度 根据带宽优先级别调整上网速度 网络资源合理分配 网络资源管理范围 时间 协议 站点 内容 流量 权限 时间 对网络使用时间的控制 充分利用Schedule Rule 协议 对网络各种协议的控制 利用Protocol Rule 控制协议 自己建立新的协议 站点 对外部网络站点的控制 利用Destionation Rule实现对外部站点的控制 内容 对网络访问文件内容的控制 利用Content Rule实现对各种外部网络内容和各种文件类型的访问控制 流量 建立带宽优先级，分配优先级小组 通过Bandwith Rule 确定上网人员的不同优先级别 权限 通过权限管理，控制网络用户的对网络使用的不同权限 利用Incoming,Outgoing,Request 等控制不同的上网方式 通过Client Address Rule 分配不同的用户权限小组 分配管理的策略 站点内容规则 Site and Content Rule 协议规则 Protocol Rule 时间规则 Schedule Rule 优先权 Bandwith Rule 网络数据筛选规则 IP Packet Filter LAT和LDT 用户规则 站点内容规则 设置了不同用户对不同网络站点和内容的访问控制 什么人 什么时间 什么内容 什么方式 协议规则 通过对网络协议的控制，实现用户上网请求的控制 什么人 什么时间 可用的网络协议（不仅仅是浏览器方式的上网，包括邮件、专用客户端程序等实用的协议） 时间规则 通过制定时间规则，对不同的用户组进行上网时段的控制 优先权 分配不同的优先级别控制不同用户使用网络的优先级 LAT和LDT 建立基于IP地址的阵列，控制通过 ISA 访问网络的不同的用户IP地址段 通过基于Window Domain 的网络，控制不同的域用户通过ISA访问网络的方式 用户规则 通过对网络不同用户的分组和权限分配，管理不同用户上网 基于用户IP的小组划分方式 基于Windows用户管理机制的小组划分方式 访问策略 通过访问策略 利用已经设置好的规则控制网络访问权限 利用已经设置好的规则控制网络资源 利用已经设置好的规则控制网络使用时间 利用已经设置好的规则控制网络流量 利用已经设置好的规则控制网络应用程序 发布规则 通过发布规则 控制Web发布（向外、向内） 控制外部非法攻击 控制服务器间发布 IP筛选器 通过建立筛选器，实现网络协议数据包的筛选 控制网络远程计算机和本级计算机的各种网络协议的侦测方式 控制各种协议的使用 应用程序和Web筛选器 通过内置的应用程序过滤器，控制网络各种应用程序的使用，如邮件软件是否可以发送附件等 通过Web筛选器控制对网站和网页内容的过滤，需要第三方开发的插件产品 ISA提供了可扩展的开发接口，让用户可以根据需要扩充不同的筛选器 网络事件及时处理 通过系统监视功能（LOG、Report Job） 监视服务器 监视上网人员在线情况 监视网络使用的各种数据 IP，用户上网情况 接收发送流量 占用网络时间 网络各种事件发生情况 二、各种安全措施分析 常用安全管理功能 服务器管理 服务器状态监测 事件状态监测 工作状态监测 日常报告和日志 人员上网权限管理 内网访问权限 外网访问权限 浏览器权限 拨号上网管理 人员上网控制管理 部门及人员管理 外网资源管理 网站内容管理 上网时间管理 人员上网功能管理 上网功能管理 网络开通时间管理 人员上网安全管理 设置防范措施 查看预设措施 设置攻击控制 人员上网优先级管理 优先权分配 优先权使用时间管理 网络缓冲管理 设置预先下载 ISA其他常用网络管理 服务器设置 网络设置 日志和报表设置 客户端设置 警报设置 三、ISA实现网络安全管理 结合企业业务 加强安全管理 ISA实现安全管理的三部曲 第一步：制定策略元素 第二步：组织控制策略 第三步：实施控制策略（启用否） 案例一：谁可以上网 手段 建立Client Address Set 建