实现远程访问安全.pptVIP

TechNet TNT1-16 实现远程访问安全 标题 脆弱的网络 网络本身的脆弱性 病毒、蠕虫泛滥 攻击时间越来越多 攻击方法越来越多 网络信息资源的风险 人为因素 黑客常用的攻击手段 网络监听 数据篡改 欺骗 中间人攻击 密码破解 缓冲区溢出 什么是纵深防御？ 使用分层的方法： 增加攻击者被检测到的风险 降低攻击者的成功几率 边缘防御的目的和限制 正确配置的防火墙和边界路由器是边缘安全的基础 Internet 和移动性增加了安全风险 VPN 使边缘变得脆弱，并与无线联网一起在本质上造成了网络边缘的传统概念的消失 传统的数据包筛选防火墙只阻止针对网络端口和计算机地址的攻击 现今大多数攻击都发生在应用程序层 企业应用移动化 原有的应用系统+移动能力=高效的移动信息平台 设计目标 减轻非授权的使用客户信用资料的威胁 减轻不可靠访问装置的威协 确保用户在网络检疫期间满足所有远程访问安全的必要条件 确保所有要求远程访问联接的装置不受到其它装置访问的威胁 身份认证-信息安全体系的基础 用于解决访问者的物理身份与数字身份一致性问题, 给其它安全技术提供权限管理依据 根据你所知道的信息来证明身份 (What you know) 假设某些信息只有某人知道，比如暗号等，通过询问这个信息就可以确认此人的身份； 据你所拥有的物品来证明身份 (What you have) 假设某一物品只有某人才有，比如印章等，通过出示该物品也可以确认个人的身份； 直接根据你独一无二的身体特征来证明身份 (Who you are) 如指纹、面貌等。 单因子认证和双因子认证-安全性的提高 防火墙等技术针对数字身份进行权限管理，解决数字身份能干什么的问题 多因子认证 多因子认证使用场景 用于多因子认证的装置 在企业中使用智能卡 了解VPN隔离网络 VPN隔离 避开防火墙检查的通信  由于 SSL 是加密的，因此可以穿过传统防火墙，这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器 VPN 通信是加密的，因此无法对其进行检查 Instant Messenger (IM) 通信经常不会受到 检查，因此可能会用于传输文件 检查所有通信 使用入侵检测和其他机制在解密了 VPN 通信后对其进行检查 请记住：深层防御 使用可以检查 SSL 通信的防火墙 扩展防火墙的检查功能 使用防火墙附件来检查 IM 通信 SSL 检查 由于 SSL 是加密的，因此可以穿过传统防火墙，这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器。 ISA Server 可以解密并检查 SSL 通信。可以通过重新加密或明文方式将已检查的通信发送到内部服务器。 保护 Exchange Server  最佳做法  使用多因子身份验证 使用ISA只允许明确允许的请求的访问规则 使用 ISA Server 的身份验证功能限制和记录 Internet 访问 通过ISA Server发布特定的服务器 实现VPN隔离 使用 SSL 检查来检查进入网络的加密 数据 使用的产品及技术 Windows Server 2003 Microsoft Windows XP Professional MOM 2005 VPN IAS ISA 2004 Standard Edition RADIUS PKI and Certificate Services Microsoft SQL Server 2000 Connection Manager Smart card technologies TechNet是什么? 只需轻轻点击，答案就在您的指尖 对于IT 专业人员来说，TechNet 是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源 我们从哪里可以了解到 TechNet? 访问TechNet的官方网站/China/technet 注册TechNet快报 /china/technet/abouttn/subscriptions/flash.mspx 加入到中文在线论坛 /china/community/ 成为 TechNet的订户 /china/technet 参与到更多的TechNet活动中或者在线了解/china/technet 分层安全：最先进的方法最安全？ 香港：把ATM机挖走了。 企业环境中许多环节，攻击最薄弱的环节。 是否安装了补丁 是否打开了个人防火墙 强调不是推翻是扩展访问能力 图改一下