企业网络纵深防御讲义

应用程序名称 MSN Messenger Windows Messenger AOL Messenger (and Gecko browsers) Yahoo Messenger Kazaa
Kazaa Kazaa Gnutella
搜寻范围 请求头 请求头 请求头
请求头 请求头
请求头 请求头 请求头
HTTP头 User-Agent: User-Agent: User-Agent:
IT Pro深深的痛…
• 绝大多数企业的IT管理现状很不理想 • 问题：
– IT Pro 对于PC缺乏控制 – 安全问题突出：
• 补丁 • 病毒 • 间谍软件 – …. • 很多企业，某种程度上就像一个免费的网吧！ • IT Pro=“修电脑的”
IT Pro的期望
当今系统运维的挑战
? 您知道自己系统中有多少台设备? ? 分别运行在什么平台上?
ISA Server 概览
检查包头和应用层内容
源地址 目标地址
TTL
序号 源端口 目标端口
应用层内容：
GET www.contoso.com/partn ers/default.htm
根据内容转发
只将合法 HTTP 流量发送到 Web 服务器
Internet
正常 HTTP 流量 异常 HTTP 流量 Web 服务器攻击 非 HTTP 流量
进行重新加密
保护 SMTP 通信
• 基于 SMTP 的攻击： – 使用无效、过长或不寻常的 SMTP 命令攻击邮件服务器或 收集收件人信息 – 通过包含恶意内容（如蠕虫）对收件人进行攻击
• ISA Server 通过以下方式保护邮件服务器： – 实施的 SMTP 命令与标准一致 – 拦截禁止的 SMTP 命令 – 拦截附件类型、内容、收件人或发件人受到禁止的邮件
SQL
自动化的资产管理
减少硬件、软件成本 ➢ 需要了解公司的硬件配置
➢ 确定我公司拥有什么样的应用 ➢ 知道有多少应用软件被使用
➢ 管理授权 可以清楚的进行业务决定
➢ 正确识别资产 ➢ 记录并且跟踪资产信息
软件、硬件信息收集机制
• 软件资产收集（Software Inventory ） – 收集文件信息
基于服务连接进行数据包传输，但是合法的网络流 量与应用层级的攻击都是使用相同的服务连接
Internet
Expected HTTP Traffic
Corporate Network
Unexpected HTTP Traffic
Attacks
Non-HTTP Traffic
ISA Server 2004的优势
Source Address, Dest. Address,
TTL, Checksum
TCP Header
Sequence Number Source Port,
Destination Port, Checksum
Application Layer Content
?????????????????????? ??????????????????????
Web 服务器
HTTP 筛选器
提供了一种控制方法
利用 HTTP 筛选器保护网站
IP Header
Source Address, Dest. Address,
TTL, Checksum
TCP Header
Sequence Number Source Port,
Destination Port, Checksum
Distribution Server
Package
Program
Collection
Client
Client
Client
规划工具
采用资产管理进行系统规划 硬件目录 我需要什么硬件去运行最近的应用软件？ 运行新的应用软件公司有多少电脑需要更新？ 软件目录 可以知道有多少office被安装？ 部署一个应用软件可能的最大费用？ 如何去建立测试环境？ 软件计量 哪位员工使用什么软件、使用多长时间？ 卸载不使用的应用程序 保护软件版权
Application Layer
Content
<html><head><meta httpquiv="content-type" content="text/html;
charset=UTF-8"><title>MSNBC
• HTTP 筛选器可适用于： – 内部用户访问 Internet 网站的流量 – Internet 用户访问被发布网站的流量
Step 1 边界网络安全
• ISA 2004防火墙系统 • 应用层筛选 • 内部服务器的发布 • SSL通讯保护
目前的网络安全形势
工业
Internet 上的设备日益增多 远程访问用户普遍存在 Web 站点的数量急剧增加
安全
90% 的Web站点存在安全隐患 95% 的安全问题可以用“配置”解决 约70% 的基于 Web 站点的攻击发生 在应用层
快速且安全的访问 使用户能够以最高的效率安全的连接到网络
ISA Server 2004 新特性
更Biblioteka Baidu的安全结构
高级防护
应用层安全设计最大程度的保护应用程序
深层防护 增强的 Exchange Server 集成度 功能强大的 VPN 全面的身份验证
•增强的、可自定义的HTTP筛选器 •全面灵活的策略 •支持IP路由
Host P2P-Agent
User-Agent: X-Kazaa-Network: User-Agent:
Edonkey Morpheus
请求头 请求头
User-Agent: Server
签名 MSN Messenger MSMSGS Gecko/
msg.yahoo.com Kazaa, Kazaaclient: KazaaClient KaZaA Gnutella Gnucleus e2dk Morpheus
传统防火墙的局限性
•应用层攻击: Code-Red, Nimda
难以管理
•IT部门已经面临超负荷的压力
性能 vs. 安全
有限的可 扩展性
•有限和昂贵的带宽 •数据检测降低网络性能
•陈旧设备面临淘汰 •需求增长需要购买更多设备.
传统防火墙之包过滤
仅有数据包头会被检查，无法识别应用层数据
IP Header
System Center
Reporting Server
Distributed Enterprise
SMS2003的系统组件
Server Locator Point
SMS Site Database
Management Point
Site Server
Distribution Point
Client Access
•支持 Outlook RPC over HTTP •增强的 Outlook Web Access 安全性 •简单易用的配置向导
•统一的防火墙 -- VPN 筛选 •支持站点到站点 IPsec 隧道模式 •网络访问隔离
• 增加对 RADIUS 和 RSA SecurID的支持 • 基于用户和组的访问策略 • 可扩展
IT专家网技术沙龙 主题一
如何构建安全的企业内部网络 主讲人：殷杰
前言
• 计算机网络已经深入我们的生活 • 计算机网络安全问题日趋重视 • 如何应对网络安全隐患 • 如何打造安全的企业网络 • ……
目录
• 一、边界网络安全 • 二、内部网络安全 • 三、无线网络安全 • 四、补丁和更新管理 • 五、网络访问隔离 • 六、用户行为管理 • 七、其他和展望
• HTTP 筛选器可以依据下列项目 进行 HTTP 协议的阻挡与过滤： – 「方法」、「扩展名」与「URL」 – 「请求头」与「请求正文」 – 「响应头」与「响应正文」
• 每一条防火墙规则的 HTTP 筛选器设定都是独立的 因此管理员可以为每一条规则进行单独的设定
HTTP 筛选器
HTTP筛选器示例
硬件配置如何? 安装了什么软件? ? 牺牲过 n 个周末进行系统升级? ? 为安装一个驱动楼上、楼下跑，… ? 为了找出安装有 xxx 软件的机器而一台一台的查 … ? 有多少人利用公司设备在上班时间上网、看DVD、
玩游戏? ? 计算过损失吗? $1000 * t / n
Where We Are Today
ISA Server 能够在攻击到达邮件服务器以前将其阻止
目录
• 一、边界网络安全 • 二、内部网络安全 • 三、无线网络安全 • 四、补丁和更新管理 • 五、网络访问隔离 • 六、用户行为管理 • 七、其他和展望
Step 2 内部网络安全
• 资产管理的重要性和必要性 • 使用SMS2003管理资产 • SMS 2003的软件度量功能—盗版软件克星 • 软件限制策略—安全的保护神
•仪表板 •实时的日志监视 •任务板
ISA Server 2004 新特性
依然强大的集成性
增强的结构 Web 缓存
高性能
最大化应用层筛选速度
• 高速数据传输 • 充分利用硬件能力 • SSL 桥接简化WEB服务器管理
• 更新的策略规则 • 本地化服务组件
Internet 访问控制
• 基于用户和组的WEB使用策略 • 可扩展
随着网络安全在企业IT部门中的地位越来越重要，微软公司也重视到了这 一点。经过4年的努力，微软在2004年发布了ISA Server 2004，新版本的 ISA Server将给重视安全的企业带来新的选择。
高级防护 应用层的安全设计方案最大程度的保护应用程序
简单易用 针对各种复杂场景的高效部署与管理
• 硬件资产收集（Hardware Inventory） – 收集WMI信息
硬件信息收集配置
软件信息收集配置
软件信息
软件分发
简化商务软件部署流程 Office System Programs …
计划工具 扩展和改进目录和软件测量
强大的部署工具 以满足商业需求为目标 把正确的应用准时部署给相应的用 户 更好的用户体验
Point
Reporting Point
SMS单一站点架构
SQL
Secondary Site
(Child Site)
SMS多站点架构
Primary (Central) Site (Parent Site)
SQL
Primary Site
(Child and
SQL
Parent Site)
Primary or Secondary Site (Child Site)
管理员遇到的问题
怎么样防止员工访问任意的网站？
怎么样防止员工任意的下载软件？
怎么样防止员工使用任意的计算机上网？ 怎么样防止员工在任意的时间上网？ 怎么样阻止P2P软件？ 怎么样控制用户上网的带宽使用？ 怎么样防止用户使用外部代理？ 怎么样阻止员工使用私自安装的二级代理？
…
对常见攻 击行为的
防范
ISA Server Web 发布
• ISA Server 检查 HTTP 请求 – 只转发允许的请求
• ISA Server 可以发布多台服务器
http://www.contoso.com
http://39.1.1.1
http://www.contoso.com/../cmd?..
http://www.contoso.com/%20%20
http://www.contoso.com/scripts/
http://www.fabrikam.com/partners
传入流量
Internet
Web 服务器
安全的 SSL 流量
• SSL隧道：无需进行流量检查即可保护内容机密 • SSL 桥接：
1. Internet 上的客户端对通信内容进行加密 2. ISA Server 对流量进行解密并检查 3. ISA Server 将允许的流量发送到已发布的服务器，必要时对其
ISA Server 2004 新特性
新的管理工具和用户界面
简单易用
有效的保护网络安全
多网络支持 网络模板和向导 可视化的策略编辑 增强的排错能力
•不限制的网络定义 •应用到所有流量的防火墙策略 •针对每个网络的路由关系
•向导简化了路由配置 •内置常见网络拓扑结构 •对常见场景的简单定义
•基于单一规则的统一防火墙策略 •支持拖拽 •支持基于XML的配置文件的导入和导出
CLIENTS
SERVERS
SMS在企业中所扮演的角色
Asset Management
Security Patch
Management
Application Deployment
Support for the Mobile Workforce
Leveraging Windows Management Services