isa2000应用解析2KEDa.pptVIP

演讲人：李强Dickey@广州灵通高级技术培训 关于李强： 微软认证讲师 微软认证系统工程师 微软认证数据库管理员 擅长 Microsoft NT4,Windows 2000网络系统的管理、迁移规划和部署； Microsoft Exchange 5.5，Exchange 2000的升级和迁移规划，管理和部署； Microsoft ISA 2000的管理和网络安全设计、管理。网络系统的灾难恢复计划； 曾提供太古可乐、中山伟力、东莞Pulse、中南石油集团惠州Amtek 等多家企业网络系统培训和顾问 议题： 网络安全综述 ISA 2000特性 ISA 2000在企业中的部署 总结 以下是针对网络安全的综述 议题1: 热点问题分析 议题2: 网络安全的定义 议题3: 攻击和破坏的方式 议题4: 如何防范 议题5: 制定企业的安全策略 议题1: 热点问题分析 红色代码 Code Red I and II 尼母达 Nimada 特洛伊木马 Trojan Horse “红色代码”病毒的工作原理 病毒利用IIS的 .ida 漏洞进入系统并获得 SYSTEM 权限 (微软在2001年6月份已发布修复程序 MS01-033) 病毒产生 100 个新的线程 99 个线程用于感染其它的服务器 第100个线程用于检查本机, 并修改当前首页 在 7/20/01 时所有被感染的机器回参与对白宫网站 的自动攻击. 尼母达 Nimada的工作原理 4 种不同的传播方式 IE浏览器: 利用IE的一个安全漏洞 (微软在2001年3月份已发布修复程序 MS01-020) IIS服务器: 和红色代码病毒相同, 或直接利用它留下的木马程序. (微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案) 电子邮件附件: (已被使用过无数次的攻击方式) 文件共享: 针对所有未做安全限制的共享 特洛伊木马 Trojan Horse 黑客首先监测用户端口； 摸索进出数据流的规律； 将Trojan Horse的黑客程序附在用户的正常数据流中，跟进用户系统，潜伏； 根据逻辑条件定时发作； 骗取用户的管理权限，或秘密监控得到数据并返回； 利用超级管理特权进行远程控制和破坏 微软公司的应对措施 及时发布对应的清除方法 及时发布新的安全工具 及时向用户提供清除工具 议题2: 网络安全的定义 网络安全的物理范围 网络安全的语义范围 网络安全的级别 威胁来自哪里 网络安全的物理范围 网络安全的语义范围 保密性 完整性 可用性 可控性 安全的级别 威胁来自哪里 议题3: 攻击的方法 攻击的类型 攻击的工具和步骤 成功的攻击 = 目的 + 手段 + 系统漏洞 常见的攻击方式 社会工程 Social Engineering 病毒virus, 木马程序Trojan, 蠕虫Worm 拒绝服务和分布式拒绝服务攻击 DosDDos IP地址欺骗和IP包替换 IP spoofing, Packet modification 邮件炸弹 Mail bombing 宏病毒 Marco Virus 口令破解 Password crack 攻击的工具和步骤 标准的TCP/IP工具 (ping, telnet…) 端口扫描和漏洞扫描 (ISS-Safesuit, Nmap, protscanner…) 网络包分析仪 (sniffer, network monitor) 口令破解工具 (lc3, fakegina) 木马 (BO2k, 冰河, …) …有同样多的方法和工具保护您的系统 主题4: 如何防范 (1)保障Internet 访问的安全控制 (2)Internet 上信息发布的安全 (3)充分利用服务器操作系统安全管理模块 (4)保障远程用户和网络的安全控制 (5)保障邮件系统的安全 (6)保障客户端的安全 (7)及时使用微软发布的安全工具与方法 (8)主动检测攻击行为 从这里开始：/security安全问题公告 安全工具安全操作指南安全白皮书可订阅的安全警告信息… Internet 访问的安全控制 远程用户和网络的安全控制 使用ＶＰＮ确保远程用户和远程网络的安全 (1)Internet 上信息发布的安全 安装所需的 ServicePack 和 Hotfix 按照安全配置列表(Security Checklist) 对服务器做正确配置 　 信息发布过程的安全管理 权限管理 流程管理 Web 应用程序设计的安全 数据库连接 (2)IIS的安全配置 IIS 安全检查列表 (Security Checklist) /technet/treeview/default.asp?url=/techn