企业安全设计案例分析.PPT

* 更多参考信息 /isaserver /ISAToolzz.htm / / 如果您需要今天课程的幻灯片资料，请访问: /china/msclub * 您的问题 感谢您对网络安全和ISA Server的关注！您的问题与建议？ Firewall engine Near line speed throughput of 282 Mbps (94% saturation) 48,000 concurrent connections with a single server Cache Dramatically improves efficiency of bandwidth utilization and overall web content response time for users 11x faster than Proxy Server 2.0 cache Price/performance winner in recent cache evaluation by The Measurement Factory Integrated bandwidth prioritization Allows administrators to give timing-sensitive protocols priority in bandwidth allocation A public interface with a public network address A DMZ interface with a public network address An internal network interface with a private network address * 防止信息泄露 攻击者总是要挖空心思找到有关企业网络环境的信息。信息本身有时非常有用，但有的时候，它也是获取进一步信息和资源的一种手段。 防范信息收集的关键是限制外界对您的资源进行未经授权的访问。确保这种防范效果的方法包括（但是不限于）： 确保网络上只有那些已标识的特定设备能够建立远程访问连接。 在通过外部防火墙直接连接 Internet 的计算机上关闭TCP/IP 上的 NetBIOS，包括端口 135、137、139 和 445。 对于Web服务器，在防火墙或者服务器上仅启用端口 80 和 443。 审查企业对外网站上的信息以确保： 该站点上使用的电子邮件地址不是管理员帐户。 没有透露网络技术 审查员工向新闻组和论坛张贴的内容，避免暴露企业内部信息，包括管理员在技术论坛上求助技术问题。 审查为一般公众提供的信息有没有您的 IP 地址和域名注册信息。 确保攻击者无法通过对DNS服务器执行区域传输。通过转储 DNS 中的所有记录，攻击者可以清楚地发现最易于攻击的计算机。 减少服务器暴露的技术细节，修改Web服务，SMTP服务的旗标。 * 规划网络安全 将企业网络划分和定义为以下几部分： 内部网络 需要被外部访问的企业网络（停火区，DMZ） 商业伙伴的网络 远程访问（远程机构或者用户） Internet 在防火墙，路由器上进行访问控制和隔离 使用基于网络和基于主机的入侵监测系统，提供预警机制，最好能够和防火墙联动。 * 防火墙 近乎线性的吞吐速度，在HTTP吞吐量测试方 面，ISA Server的吞吐量保持为每秒1.59 GB 应用层性能最好的防火墙 (数据来源：/1405/1405f3.html ) 单台服务器可以处理48,000个并发连接 缓存 极大改善了带宽的利用效率和Web内容的响应时间 在最近由The Measurement Factory进行的缓存产品评比中，赢得了价格/性能比项目的第一 (数据来源：/results/ ) 应用层的精细控制上网行为和丰富的拓展 允许管理员控制上网行为和为紧急任务分配较高的带宽优先级 ISA Server：Windows平台上的最佳防火墙 * Firewall Internet 应用案例 - 小型网络或分公司的配置 企业內部网络 Access Policy rules - IP包, 应用程序, 用户, 组等的访问策略 Bandwidth rules - 不同Internet request所分配不同带宽的规则 Publishing rules - 将Internet服务(如web,ftp,mail)透过防火墙 的保护发布給外网用户 Intrusion Detection - 防火墙入侵监测 Monitor and Logging – 进出流量分析与报表 Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内