建置应用层防护机制.pptVIP

利用 ISA Server 2004 建置應用層防護機制 時　間：2005/8/12 (五 ) PM13:30~16:30 主講人：唐任威 精誠公司恆逸資訊教育訓練中心 系統產品部 認　證：MCT 、MCSE、MCSA、TCSE 議程大綱 如何以 ISA Server 2004 篩選應用層網路流量 應用案例研討 以 ISA Server 2004 建置企業 VPN 網路環境 ISA Server 2004 企業版新增功能介紹 傳統防火牆所面臨的問題！ 傳統防火牆之封包過濾 傳統防火牆所無法保護的項目 看似合法的網路流量(缺乏應用層級的檢查) 經過加密之網路流量，如 VPN 或 SSL 網路已經遭到滲透後的攻擊行為 使用懶人密碼之網路系統，如 Windows Terminal、VPN、Mail… 攻擊受到傳統防火牆所保護的網站 ISA Server 2004 之多層次過濾 綜觀 ISA Server 2004 ISA Server 2004 之防火牆原則 內對外的存取 存取規則(Action、Protocol、From、To、Condition) 外對內的存取 網頁發佈規則 (以反向代理的方式發佈網站) 安全的網頁發佈規則 伺服器發佈規則 (以反向對應的方式發佈伺服器) 郵件伺服器發佈規則 網站發佈所可能面臨的問題 公開性的網站 需確保網頁資料不會被竄改 需確保網站不會淪為攻擊他人的跳板 隱藏內部網路環境的配置 需要安全控管的網站 需要進行身份確認 需要進行資料加密 存取非網頁資源 確保僅有必要的資源可以外部存取 針對應用層的流量進行篩選檢查 如何利用網頁發佈規則發佈網站 利用 ISA Server 發佈網站 網頁發佈規則之路徑對應 網頁發佈規則之連結轉譯 網頁中超連結的寫法 相對路徑 - a href=xyz.htmxyz/a 絕對路徑 - a href=.tw/xyz.htmxyz/a 發佈後所會面臨的問題 若超連結為相對路徑則無任何後遺症 若超連結為絕對路徑則可能導致使用者無法存取如： a href=http://internalweb.msft.local/xyz.htmxyz/a 或 a href=http://internalweb/xyz.htmxyz/a 網頁發佈規則之連結轉譯 (cont...) ISA Server 之連結轉譯功能 支援絕對路徑之連結轉換 支援字典項目之連結轉換 網頁發佈規則之身份驗證 藉由網頁發佈規則中指定非「所有使用者」群組，ISA Server 會要求使用者進行身份驗證 可適用於「網頁發佈規則」及「安全網頁發佈規則」 身份驗證可於「網頁接聽程式」中指定 可支援的驗證機制有：基本、整合、摘要、SSL 憑證、OWA Forms-Based、RADIUS及 SecureID 發佈規則的執行是有順序性的，當該發佈規則需要使用者進行身份驗證時，ISA Server 會要求使用者輸入帳號密碼 網頁發佈規則之身份驗證 (cont...) 網頁發佈規則之身份驗證 (cont...) 由 ISA Server 及 Web Server 進行雙重驗證時會造成使用者必須登入二次的問題 可利用 ISA Server 所支援「基本委派」解決 ISA Server 及 Web Server 都必須要使用「基本驗證」 強烈建議利用 SSL 保護 HTTP 流量 「基本委派」可以在網頁發佈規則中的「使用者」標籤進行設定 應用案例研討 利用 HTTP 篩選器保護網站 HTTP 篩選器可適用於： 內部使用者存取 Internet 網站的流量 Internet 使用者存取被發佈網站的流量 HTTP 篩選器可以依據下列項目進行 HTTP 協定的阻擋與過濾： 「方法」、「副檔名」與「URL」 「要求標頭」與「要求本文」 「回應標頭」與「回應本文」 每一條防火牆規則的 HTTP 篩選器設定都是獨立的因此管理者可以為每一條規則進行專屬的設定 HTTP 協定之方法 (Method) GET：抓取用戶端於 Request-URI 中所指定的資源 HEAD：測試用戶端於 Request-URI 中所指定的資源 POST：上傳表單資料 PUT：將資料上傳至用戶端於 Request-URI 中所指定的資源 DELETE：刪除用戶端於 Request-URI 中所指定的資源 OPTIONS：用以測試伺服器端所支援的方法 TRACE：用以進行應用層迴圈測試 CONNECT：於 proxy 的架構中，建立「通道」 HTTP 協定之用戶端 Request URL HTTP 協定之用戶端要求 HTTP 協定之用戶端要求 (cont...) HTTP 協定之伺服器回應 HTTP 協定之伺服