勇攀高峰系列课程部署最佳实践_1.pptVIP

攻击缓解方案 ISA 连接表滥用 攻击者使用许多非欺骗的 IP 对 ISA 的 TCP 连接进行 DoS 攻击 不会触发每个源的限制 检查非分页内存池数量；在 NPP 达到 90% 后停止接受新连接 清空空闲连接的连接表 不常见的攻击 可能导致针对 ISA 2004 的永久 DoS 市场上很少有防火恰能抵挡这种攻击 攻击缓解方案 挂起的 DNS 滥用 ISA 被配置为拒绝到不希望的域的连接（或仅允许到特定域的连接） 感染主机向随机 IP 发送许多 TCP 连接；ISA 执行逆向 DNS 查找 在可用线程已使用 80% 以后阻止新请求 继续为不需要逆向 DNS 或答案在缓存中的请求服务 最常见原因：蠕虫传播 可能导致针对 ISA 2004 的临时 DoS 攻击缓解方案 连续 TCP 连接泛洪 攻击者连续打开并关闭许多 TCP 连接 使用同样的蠕虫传播缓解措施：检测来自相同 IP 的高数量连接 阻止该 IP 不常见 可能导致针对 ISA 2004 的临时 DoS 攻击缓解方案 通过现有连接的 HTTP DoS 攻击者建立到 Web 服务器的 TCP 连接 发送无数 HTTP 请求，超过阈值 ISA 检测并限制客户端的请求速度 正在逐渐流行 可能导致针对 ISA 2004 的临时 DoS 警报触发器 源 IP 在“例外”中？ 是什么攻击？ 搭建服务器队列构建高性能、可靠的企业防火墙 开始之前先大致了解一下当前安全环境，然后介绍微软安全产品系列的原则。 我们将介绍 Microsoft Forefront 系列产品，并详细讲解 Microsoft Forefront Client Security。 3 安全环境面临日益严峻的挑战 在当今的安全环境中，威胁呈现出前所未有的危险性： - 攻击更加高级和受利益驱动。 它们已“沿堆栈往上移动”到包括面向应用程序的攻击 除了这种更危险的环境，威胁环境由于安全技术的多种多样而变得更加糟糕。 存在太多无法互操作的点产品，每种产品通常有单独的管理控制台和完全不同的产品，妨碍了统一的事件报告和分析。 最后，现有的安全产品难于部署和管理。 它们有多个控制台，分别用于反病毒和反间谍软件，并且那些控制台缺乏集成。 部署那些解决方案的成本越来越高，部署起来越来越复杂，使其难于在整个大型网络中部署。 基于这些观察结果，我们可以确定安全解决方案的三个关键需要。 这三个关键需要是微软用于构建其安全解决方案的原则。 它们是“全面”、“集成” 和“简化”。 演讲者根据需要插入其它信息 摘自“微软安全情报报告”（2006 年 10 月）的精选评论 2006 年上半年期间的恶意和可能有害软件的趋势： 2006 年上半年，后门特洛伊木马和 Bot 是最活跃的恶意软件类别；微软反恶软件解决方案检测到了 43,000 多种新变体。 后门特洛伊木马使攻击者可以控制被感染的计算机并访问机密信息。 Bot 是后门特洛伊木马的子类别。 攻击者受金钱利益驱动，正在明显将大量注意力集中于此类别。 在 Microsoft? Windows? 恶意软件工具 (MSRT) 清除的 4 百万台计算机中，大约 2 百万台计算机（或存在恶意软件的计算机的 50%）至少包含一种后门特洛伊木马。 社会工程继续成为传播恶意软件的流行手段，尤其是通过电子邮件和点对点 (P2P) 网络发送恶意软件。 例如，在 MSRT 和 Microsoft Windows Live? OneCare? 同时遇到的情况中，所清除的计算机中大约有 20% 被群发邮件蠕虫所感染。 根据 Windows Defender Beta 2 所清除的情况看，全球检测到的 10 大广告程序占据可能有害软件的 28%。 该报告可从以下地址下载： /security 您可以在本幻灯片看到，通过电子邮件和协作系统进入企业的风险是巨大的。我们今天讨论的服务器安全性仅仅是企业需要防御的其中一个方面。具体说来，就是保护企业免受恶意软件事件带来的停机时间和数据损失的影响，以及避免不恰当的信息共享带来的商业和法律问题。 Forefront Security 产品原则 “全面”、“集成”和“简化”对微软安全解决方案意味着什么呢？ 全面意味着安全解决方案交付跨操作系统、服务器应用程序、网络边缘和内容的保护。 集成意味着不同解决方案彼此紧密集成，与它们保护的应用程序集成，还与现有的 IT 基础结构集成。 例如，存在多个用于在整个组织中部署软件和更新的解决方案。 Forefront Client Security 是微软的客户端保护解决方案，可配置此解决方案以使用它们来进行签名部署（例如，SMS 或 WSUS）。 简化意味着它易于使用、部署和购买。 例