企业网络纵深防御讲义 ppt课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Web 服务器
HTTP 筛选器
提供了一种控制方法
利用 HTTP 筛选器保护网站
IP Header
Source Address, Dest. Address,
TTL, Checksum
TCP Header
Sequence Number Source Port,
Destination Port, Checksum
Application Layer
Content
<html><head><meta httpquiv="content-type" content="text/html;
charset=UTF-8"><title>MSNBC
• HTTP 筛选器可适用于: – 内部用户访问 Internet 网站的流量 – Internet 用户访问被发布网站的流量
IT专家网技术沙龙 主题一
如何构建安全的企业内部网络 主讲人:殷杰
前言
• 计算机网络已经深入我们的生活 • 计算机网络安全问题日趋重视 • 如何应对网络安全隐患 • 如何打造安全的企业网络 • ……
目录
• 一、边界网络安全 • 二、内部网络安全 • 三、无线网络安全 • 四、补丁和更新管理 • 五、网络访问隔离 • 六、用户行为管理 • 七、其他和展望
传统防火墙之包过滤
仅有数据包头会被检查,无法识别应用层数据
IP Header
Source Address, Dest. Address,
TTL, Checksum
TCP Header
Sequence Number Source Port,
Destination Port, Checksum
Application Layer Content
Step 1 边界网络安全
• ISA 2004防火墙系统 • 应用层筛选 • 内部服务器的发布 • SSL通讯保护
目前的网络安全形势
工业
Internet 上的设备日益增多 远程访问用户普遍存在 Web 站点的数量急剧增加
安全
90% 的Web站点存在安全隐患 95% 的安全问题可以用“配置”解决 约70% 的基于 Web 站点的攻击发生 在应用层
• HTTP 筛选器可以依据下列项目 进行 HTTP 协议的阻挡与过滤: – 「方法」、「扩展名」与「URL」 – 「请求头」与「请求正文」 – 「响应头」与「响应正文」
• 每一条防火墙规则的 HTTP 筛选器设定都是独立的 因此管理员可以为每一条规则进行单独的设定
HTTP 筛选器
HTTP筛选器示例
•仪表板 •实时的日志监视 •任务板
ISA Server 2004 新特性
依然强大的集成性
增强的结构 Web 缓存
高性能
最大化应用层筛选速度
• 高速数据传输 • 充分利用硬件能力 • SSL 桥Βιβλιοθήκη Baidu简化WEB服务器管理
• 更新的策略规则 • 本地化服务组件
Internet 访问控制
• 基于用户和组的WEB使用策略 • 可扩展
•支持 Outlook RPC over HTTP •增强的 Outlook Web Access 安全性 •简单易用的配置向导
•统一的防火墙 -- VPN 筛选 •支持站点到站点 IPsec 隧道模式 •网络访问隔离
• 增加对 RADIUS 和 RSA SecurID的支持 • 基于用户和组的访问策略 • 可扩展
应用程序名称 MSN Messenger Windows Messenger AOL Messenger (and Gecko browsers) Yahoo Messenger Kazaa
Kazaa Kazaa Gnutella
搜寻范围 请求头 请求头 请求头
请求头 请求头
请求头 请求头 请求头
HTTP头 User-Agent: User-Agent: User-Agent:
Host P2P-Agent
User-Agent: X-Kazaa-Network: User-Agent:
Edonkey Morpheus
请求头 请求头
User-Agent: Server
签名 MSN Messenger MSMSGS Gecko/
Attacks
Non-HTTP Traffic
ISA Server 2004的优势
随着网络安全在企业IT部门中的地位越来越重要,微软公司也重视到了这 一点。经过4年的努力,微软在2004年发布了ISA Server 2004,新版本的 ISA Server将给重视安全的企业带来新的选择。
高级防护 应用层的安全设计方案最大程度的保护应用程序
简单易用 针对各种复杂场景的高效部署与管理
快速且安全的访问 使用户能够以最高的效率安全的连接到网络
ISA Server 2004 新特性
更新的安全结构
高级防护
应用层安全设计最大程度的保护应用程序
深层防护 增强的 Exchange Server 集成度 功能强大的 VPN 全面的身份验证
•增强的、可自定义的HTTP筛选器 •全面灵活的策略 •支持IP路由
ISA Server 2004 新特性
新的管理工具和用户界面
简单易用
有效的保护网络安全
多网络支持 网络模板和向导 可视化的策略编辑 增强的排错能力
•不限制的网络定义 •应用到所有流量的防火墙策略 •针对每个网络的路由关系
•向导简化了路由配置 •内置常见网络拓扑结构 •对常见场景的简单定义
•基于单一规则的统一防火墙策略 •支持拖拽 •支持基于XML的配置文件的导入和导出
?????????????????????? ??????????????????????
基于服务连接进行数据包传输,但是合法的网络流 量与应用层级的攻击都是使用相同的服务连接
Internet
Expected HTTP Traffic
Corporate Network
Unexpected HTTP Traffic
ISA Server 概览
检查包头和应用层内容
源地址 目标地址
TTL
序号 源端口 目标端口
应用层内容:
GET www.contoso.com/partn ers/default.htm
根据内容转发
只将合法 HTTP 流量发送到 Web 服务器
Internet
正常 HTTP 流量 异常 HTTP 流量 Web 服务器攻击 非 HTTP 流量