企业防火墙管理技巧高手攻略用元isa控制企业网络访问.ppt

TechNet TNT1-16 企业防火墙管理技巧高手攻略：用ISA控制企业网络访问 概要 ISA Server 2004概述 上网行为管理技巧之访问策略 上网行为管理技巧之HTTP筛选器 上网行为管理之防火墙客户端高级特性 上网行为管理技巧之报告 ISA Server 2004概述 管理员遇到的问题 解决方案？ 软件 Sygate? WinGate? WinRoute? CCProxy? ………………? ISA Server 2004! 硬件 传统防火墙所面临的问题！ 传统防火墙之包过滤 传统防火墙所无法保护的项目 看似合法的网络流量(缺乏应用层级的检查) 经过加密的网络流量，如 VPN 或 SSL 网络已经遭到渗透后的攻击行为 使用懒人密码的网络系统，如 Windows Terminal、VPN、Mail… 攻击受到传统防火墙所保护的网站 ISA Server 2004 新特性新的安全构架 ISA 2004 网络模型 任何数量的“网络” 将VPN也作为网络 “本地主机”也作为网络 指定关系 (NAT/Route) 基于“网络”指定策略 对所有interfaces进行包过滤 支持即插即用和拨号 ISA 2004 策略模型 规则顺序决定优先级 更易理解，更有逻辑 便于查看与审计 新的，统一的规则结构 应用于所有规则 三种类型的主要规则 访问规则 服务器发布规则 Web 服务器发布规则 应用层过滤设定为规则的一部份 默认的系统策略 上网行为管理技巧之访问策略 访问策略元素 实验环境 根据用户或IP来设置Internet访问 根据时间来设置Internet访问 根据协议来设置Internet访问 根据内容来设置Internet访问 拒绝访问某些Internet 带宽控制 访问策略最佳实践 首先是尽量采取“允许需要的，拒绝所有（其他）的”的原则创建防火墙规则 拒绝对某些应用服务器IP的访问 拒绝对某些应用服务器端口的访问 对HTTP进行应用层检查，阻止相关请求头、请求URL、响应头及扩展名文件等的连接 拒绝对常用代理端口的访问，比如TCP?8080/1080/3128 关注常见的HTTP隧道登录，随时拒绝这类服务的登录服务器 上网行为管理技巧之HTTP筛选器 ISA 2004的HTTP筛选器 利用 HTTP 筛选器保护网站 HTTP 筛选器可适用于： 内部用户访问 Internet 网站的流量 Internet 用户访问被发布网站的流量 HTTP 筛选器可以依据下列项目进行 HTTP 协议的阻挡与过滤： 「方法」、「扩展名」与「URL」 「请求头」与「请求正文」 「响应头」与「响应正文」 每一条防火墙规则的 HTTP 筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定 HTTP 协议之签名 (Signature) HTTP 协议之方法 (Method) GET：抓取客户端于 Request-URL 中所指定的资源 HEAD：测试客户端于 Request-URL 中所指定的资源 POST：上传窗体数据 PUT：将数据上传至客户端于 Request-URL中所指定的资源 DELETE：删除客户端于 Request-URL 中所指定的资源 OPTIONS：用以测试服务器端所支持的方法 TRACE：用以进行应用层循环测试 CONNECT：于 proxy 的架构中，建立「通道」 HTTP 协议之客户端 Request URL HTTP 协议之客户端请求 HTTP 协议之客户端请求 (cont...) HTTP 协议之服务器响应 HTTP 协议之服务器响应 HTTP筛选器示例 HTTP筛选最佳实践 建立一致性的基准 设定最大的HTTP头、负载、URL 和查询长度 验证正规化但不阻止高位字符 仅允许 GET 及 POST 方法 阻止可执行程序及包含扩展名的服务器端 阻止可能的恶意签名 使用 HTTPFilterConfig.vbs 进行 HTTP 筛选器设定的导入和导出(包含于 ISA Server 2004 SDK，可于 Microsoft 网站下载) 上网行为管理之防火墙客户端高级特性 简介 在ISA Server的环境中配置内部客户为防火墙客户，除了可以实现身份验证外，还可以使用防火墙客户端的高级特性来定义客户端使用的网络应用程序，从而严格控制用户可以使用的应用程序 实现 使用防火墙客户端高级特性限制msn 上网行为管理技巧之报告 如何配置报告摘要数据库 如何生成报告 如何创建循