企业网络纵深防御讲义优质PPT.pptx

企业网络纵深防御讲义优质PPT.pptx

《企业网络纵深防御讲义优质PPT.pptx》由会员分享，可在线阅读，更多相关《企业网络纵深防御讲义优质PPT.pptx（97页珍藏版）》请在冰豆网上搜索。

怎么样防止员工在任意的时间上网？

怎么样阻止P2P软件？

怎么样控制用户上网的带宽使用？

怎么样防止用户使用外部代理？

怎么样阻止员工使用私自安装的二级代理？

传统防火墙的局限性,应用层攻击:

Code-Red,Nimda,IT部门已经面临超负荷的压力,有限和昂贵的带宽数据检测降低网络性能,陈旧设备面临淘汰需求增长需要购买更多设备.,传统防火墙之包过滤,ApplicationLayerContent?

仅有数据包头会被检查，无法识别应用层数据,基于服务连接进行数据包传输，但是合法的网络流量与应用层级的攻击都是使用相同的服务连接,随着网络安全在企业IT部门中的地位越来越重要，微软公司也重视到了这一点。

经过4年的努力，微软在2004年发布了ISAServer2004，新版本的ISAServer将给重视安全的企业带来新的选择。

ISAServer2004的优势,高级防护应用层的安全设计方案最大程度的保护应用程序,简单易用针对各种复杂场景的高效部署与管理,快速且安全的访问使用户能够以最高的效率安全的连接到网络,ISAServer2004新特性更新的安全结构,高级防护应用层安全设计最大程度的保护应用程序,深层防护,增强的、可自定义的HTTP筛选器全面灵活的策略支持IP路由,增强的ExchangeServer集成度,支持OutlookRPCoverHTTP增强的OutlookWebAccess安全性简单易用的配置向导,功能强大的VPN,统一的防火墙-VPN筛选支持站点到站点IPsec隧道模式网络访问隔离,全面的身份验证,增加对RADIUS和RSASecurID的支持基于用户和组的访问策略可扩展,ISAServer2004新特性新的管理工具和用户界面,多网络支持,不限制的网络定义应用到所有流量的防火墙策略针对每个网络的路由关系,网络模板和向导,向导简化了路由配置内置常见网络拓扑结构对常见场景的简单定义,可视化的策略编辑,基于单一规则的统一防火墙策略支持拖拽支持基于XML的配置文件的导入和导出,增强的排错能力,仪表板实时的日志监视任务板,简单易用有效的保护网络安全,高性能最大化应用层筛选速度,ISAServer2004新特性依然强大的集成性,增强的结构,高速数据传输充分利用硬件能力SSL桥接简化WEB服务器管理,Web缓存,更新的策略规则本地化服务组件,Internet访问控制,基于用户和组的WEB使用策略可扩展,ISAServer概览,根据内容转发只将合法HTTP流量发送到Web服务器,应用层内容：

GET,序号源端口目标端口,源地址目标地址TTL,检查包头和应用层内容,Internet,Web服务器,HTTP筛选器,提供了一种控制方法,HTTP筛选器可适用于：

内部用户访问Internet网站的流量Internet用户访问被发布网站的流量HTTP筛选器可以依据下列项目进行HTTP协议的阻挡与过滤：

方法、扩展名与URL请求头与请求正文响应头与响应正文每一条防火墙规则的HTTP筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定,利用HTTP筛选器保护网站,ApplicationLayerContentMSNBC,HTTP筛选器,HTTP筛选器示例,ISAServerWeb发布,ISAServer检查HTTP请求只转发允许的请求ISAServer可以发布多台服务器,Web服务器,传入流量,Internet,http:

/http:

/39.1.1.1http:

/,安全的SSL流量,SSL隧道：

无需进行流量检查即可保护内容机密SSL桥接：

Internet上的客户端对通信内容进行加密ISAServer对流量进行解密并检查ISAServer将允许的流量发送到已发布的服务器，必要时对其进行重新加密,保护SMTP通信,基于SMTP的攻击：

使用无效、过长或不寻常的SMTP命令攻击邮件服务器或收集收件人信息通过包含恶意内容（如蠕虫）对收件人进行攻击ISAServer通过以下方式保护邮件服务器：

实施的SMTP命令与标准一致拦截禁止的SMTP命令拦截附件类型、内容、收件人或发件人受到禁止的邮件,ISAServer能够在攻击到达邮件服务器以前将其阻止,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step2内部网络安全,资产管理的重要性和必要性使用SMS2003管理资产SMS2003的软件度量功能盗版软件克星软件限制策略安全的保护神,ITPro深深的痛,绝大多数企业的IT管理现状很不理想问题：

ITPro对于PC缺乏控制安全问题突出：

补丁病毒间谍软件.很多企业，某种程度上就像一个免费的网吧！

ITPro=“修电脑的”,ITPro的期望,当今系统运维的挑战,您知道自己系统中有多少台设备?

分别运行在什么平台上?

硬件配置如何?

安装了什么软件?

牺牲过n个周末进行系统升级?

为安装一个驱动楼上、楼下跑，为了找出安装有xxx软件的机器而一台一台的查有多少人利用公司设备在上班时间上网、看DVD、玩游戏?

计算过损失吗?

$1000*t/n,WhereWeAreToday,SERVERS,CLIENTS,SMS在企业中所扮演的角色,AssetManagement,SecurityPatchManagement,ApplicationDeployment,LeveragingWindowsManagementServices,SupportfortheMobileWorkforce,SystemCenter,DistributedEnterprise,ReportingServer,SMS2003的系统组件,ManagementPoint,ServerLocatorPoint,DistributionPoint,ReportingPoint,ClientAccessPoint,SiteServer,SMSSiteDatabase,SMS单一站点架构,SMS多站点架构,PrimarySite（ChildandParentSite）,SecondarySite（ChildSite）,Primary（Central）Site（ParentSite）,PrimaryorSecondarySite（ChildSite）,SQL,SQL,SQL,SQL,自动化的资产管理,减少硬件、软件成本需要了解公司的硬件配置确定我公司拥有什么样的应用知道有多少应用软件被使用管理授权可以清楚的进行业务决定正确识别资产记录并且跟踪资产信息,软件、硬件信息收集机制,软件资产收集（SoftwareInventory）收集文件信息硬件资产收集（HardwareInventory）收集WMI信息,硬件信息收集配置,软件信息收集配置,软件信息,软件分发,简化商务软件部署流程OfficeSystemPrograms计划工具扩展和改进目录和软件测量强大的部署工具以满足商业需求为目标把正确的应用准时部署给相应的用户更好的用户体验,DistributionServer,Collection,Program,Package,Client,Client,Client,规划工具,采用资产管理进行系统规划硬件目录我需要什么硬件去运行最近的应用软件？

运行新的应用软件公司有多少电脑需要更新？

软件目录可以知道有多少office被安装？

部署一个应用软件可能的最大费用？

如何去建立测试环境？

软件计量哪位员工使用什么软件、使用多长时间？

卸载不使用的应用程序保护软件版权,软件限制策略,SRP-软件限制策略默认规则不受限的不允许的其他规则HASH规则路径规则证书规则INTERNET规则,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step3无线网络安全,WEP的弱点RADIUS协议和认证使用IAS为无线设备保驾护航安全的无线网络,常见的无线网络风险威胁,了解无线网技术,802.1X-astandardthatdefinesaport-basedaccesscontrolmechanismofauthenticatingaccesstoanetworkand,asanoption,formanagingkeysusedtoprotecttraffic,无线网络部署方案,Wirelessnetworkimplementationoptionsinclude:

Wi-FiProtectedAccesswithPre-SharedKeys（WPA-PSK）WirelessnetworksecurityusingProtectedExtensibleAuthenticationProtocol（PEAP）andpasswordsWirelessnetworksecurityusingCertificateServices,选择合适的无线网络解决方案,提供有效的验证和授权,保护数据传输安全,Wirelessdataencryptionstandardsinusetodayinclude:

WiredEquivalentPrivacy（WEP）DynamicWEP,combinedwith802.1Xauthentication,providesadequatedataencryptionandintegrityCompatiblewithmosthardwareandsoftwaredevicesWi-FiProtectedAccess（WPA/WPA2）ChangestheencryptionkeywitheachframeUsesalongerinitializationvectorAddsasignedmessageintegritycheckvalueIncorporatesaframecounterWPA2providesdataencryptionviaAES.WPAusesTemporalKeyIntegrityProtocol（TKIP）,802.1X的系统需求,802.1XwithPEAP如何工作,WirelessClient,RADIUS（IAS）,1,ClientConnect,WirelessAccessPoint,2,ClientAuthentication,ServerAuthentication,MutualKeyDetermination,4,5,3,KeyDistribution,Authorization,WLANEncryption