企业网络纵深防御讲义.pptx
- 文档编号:18697142
- 上传时间:2023-09-20
- 格式:PPTX
- 页数:97
- 大小:8MB
企业网络纵深防御讲义.pptx
《企业网络纵深防御讲义.pptx》由会员分享,可在线阅读,更多相关《企业网络纵深防御讲义.pptx(97页珍藏版)》请在冰点文库上搜索。
IT专家网技术沙龙主题一,如何构建安全的企业内部网络主讲人:
殷杰,前言,计算机网络已经深入我们的生活计算机网络安全问题日趋重视如何应对网络安全隐患如何打造安全的企业网络,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step1边界网络安全,ISA2004防火墙系统应用层筛选内部服务器的发布SSL通讯保护,目前的网络安全形势,工业,90%的Web站点存在安全隐患95%的安全问题可以用“配置”解决约70%的基于Web站点的攻击发生在应用层,安全,Internet上的设备日益增多远程访问用户普遍存在Web站点的数量急剧增加,管理员遇到的问题,怎么样防止员工访问任意的网站?
怎么样防止员工任意的下载软件?
怎么样防止员工使用任意的计算机上网?
怎么样防止员工在任意的时间上网?
怎么样阻止P2P软件?
怎么样控制用户上网的带宽使用?
怎么样防止用户使用外部代理?
怎么样阻止员工使用私自安装的二级代理?
传统防火墙的局限性,应用层攻击:
Code-Red,Nimda,IT部门已经面临超负荷的压力,有限和昂贵的带宽数据检测降低网络性能,陈旧设备面临淘汰需求增长需要购买更多设备.,传统防火墙之包过滤,ApplicationLayerContent?
仅有数据包头会被检查,无法识别应用层数据,基于服务连接进行数据包传输,但是合法的网络流量与应用层级的攻击都是使用相同的服务连接,随着网络安全在企业IT部门中的地位越来越重要,微软公司也重视到了这一点。
经过4年的努力,微软在2004年发布了ISAServer2004,新版本的ISAServer将给重视安全的企业带来新的选择。
ISAServer2004的优势,高级防护应用层的安全设计方案最大程度的保护应用程序,简单易用针对各种复杂场景的高效部署与管理,快速且安全的访问使用户能够以最高的效率安全的连接到网络,ISAServer2004新特性更新的安全结构,高级防护应用层安全设计最大程度的保护应用程序,深层防护,增强的、可自定义的HTTP筛选器全面灵活的策略支持IP路由,增强的ExchangeServer集成度,支持OutlookRPCoverHTTP增强的OutlookWebAccess安全性简单易用的配置向导,功能强大的VPN,统一的防火墙-VPN筛选支持站点到站点IPsec隧道模式网络访问隔离,全面的身份验证,增加对RADIUS和RSASecurID的支持基于用户和组的访问策略可扩展,ISAServer2004新特性新的管理工具和用户界面,多网络支持,不限制的网络定义应用到所有流量的防火墙策略针对每个网络的路由关系,网络模板和向导,向导简化了路由配置内置常见网络拓扑结构对常见场景的简单定义,可视化的策略编辑,基于单一规则的统一防火墙策略支持拖拽支持基于XML的配置文件的导入和导出,增强的排错能力,仪表板实时的日志监视任务板,简单易用有效的保护网络安全,高性能最大化应用层筛选速度,ISAServer2004新特性依然强大的集成性,增强的结构,高速数据传输充分利用硬件能力SSL桥接简化WEB服务器管理,Web缓存,更新的策略规则本地化服务组件,Internet访问控制,基于用户和组的WEB使用策略可扩展,ISAServer概览,根据内容转发只将合法HTTP流量发送到Web服务器,应用层内容:
GET,序号源端口目标端口,源地址目标地址TTL,检查包头和应用层内容,Internet,Web服务器,HTTP筛选器,提供了一种控制方法,HTTP筛选器可适用于:
内部用户访问Internet网站的流量Internet用户访问被发布网站的流量HTTP筛选器可以依据下列项目进行HTTP协议的阻挡与过滤:
方法、扩展名与URL请求头与请求正文响应头与响应正文每一条防火墙规则的HTTP筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定,利用HTTP筛选器保护网站,ApplicationLayerContentMSNBC,HTTP筛选器,HTTP筛选器示例,ISAServerWeb发布,ISAServer检查HTTP请求只转发允许的请求ISAServer可以发布多台服务器,Web服务器,传入流量,Internet,http:
/http:
/39.1.1.1http:
/,安全的SSL流量,SSL隧道:
无需进行流量检查即可保护内容机密SSL桥接:
Internet上的客户端对通信内容进行加密ISAServer对流量进行解密并检查ISAServer将允许的流量发送到已发布的服务器,必要时对其进行重新加密,保护SMTP通信,基于SMTP的攻击:
使用无效、过长或不寻常的SMTP命令攻击邮件服务器或收集收件人信息通过包含恶意内容(如蠕虫)对收件人进行攻击ISAServer通过以下方式保护邮件服务器:
实施的SMTP命令与标准一致拦截禁止的SMTP命令拦截附件类型、内容、收件人或发件人受到禁止的邮件,ISAServer能够在攻击到达邮件服务器以前将其阻止,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step2内部网络安全,资产管理的重要性和必要性使用SMS2003管理资产SMS2003的软件度量功能盗版软件克星软件限制策略安全的保护神,ITPro深深的痛,绝大多数企业的IT管理现状很不理想问题:
ITPro对于PC缺乏控制安全问题突出:
补丁病毒间谍软件.很多企业,某种程度上就像一个免费的网吧!
ITPro=“修电脑的”,ITPro的期望,当今系统运维的挑战,您知道自己系统中有多少台设备?
分别运行在什么平台上?
硬件配置如何?
安装了什么软件?
牺牲过n个周末进行系统升级?
为安装一个驱动楼上、楼下跑,为了找出安装有xxx软件的机器而一台一台的查有多少人利用公司设备在上班时间上网、看DVD、玩游戏?
计算过损失吗?
$1000*t/n,WhereWeAreToday,SERVERS,CLIENTS,SMS在企业中所扮演的角色,AssetManagement,SecurityPatchManagement,ApplicationDeployment,LeveragingWindowsManagementServices,SupportfortheMobileWorkforce,SystemCenter,DistributedEnterprise,ReportingServer,SMS2003的系统组件,ManagementPoint,ServerLocatorPoint,DistributionPoint,ReportingPoint,ClientAccessPoint,SiteServer,SMSSiteDatabase,SMS单一站点架构,SMS多站点架构,PrimarySite(ChildandParentSite),SecondarySite(ChildSite),Primary(Central)Site(ParentSite),PrimaryorSecondarySite(ChildSite),SQL,SQL,SQL,SQL,自动化的资产管理,减少硬件、软件成本需要了解公司的硬件配置确定我公司拥有什么样的应用知道有多少应用软件被使用管理授权可以清楚的进行业务决定正确识别资产记录并且跟踪资产信息,软件、硬件信息收集机制,软件资产收集(SoftwareInventory)收集文件信息硬件资产收集(HardwareInventory)收集WMI信息,硬件信息收集配置,软件信息收集配置,软件信息,软件分发,简化商务软件部署流程OfficeSystemPrograms计划工具扩展和改进目录和软件测量强大的部署工具以满足商业需求为目标把正确的应用准时部署给相应的用户更好的用户体验,DistributionServer,Collection,Program,Package,Client,Client,Client,规划工具,采用资产管理进行系统规划硬件目录我需要什么硬件去运行最近的应用软件?
运行新的应用软件公司有多少电脑需要更新?
软件目录可以知道有多少office被安装?
部署一个应用软件可能的最大费用?
如何去建立测试环境?
软件计量哪位员工使用什么软件、使用多长时间?
卸载不使用的应用程序保护软件版权,软件限制策略,SRP-软件限制策略默认规则不受限的不允许的其他规则HASH规则路径规则证书规则INTERNET规则,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step3无线网络安全,WEP的弱点RADIUS协议和认证使用IAS为无线设备保驾护航安全的无线网络,常见的无线网络风险威胁,了解无线网技术,802.1X-astandardthatdefinesaport-basedaccesscontrolmechanismofauthenticatingaccesstoanetworkand,asanoption,formanagingkeysusedtoprotecttraffic,无线网络部署方案,Wirelessnetworkimplementationoptionsinclude:
Wi-FiProtectedAccesswithPre-SharedKeys(WPA-PSK)WirelessnetworksecurityusingProtectedExtensibleAuthenticationProtocol(PEAP)andpasswordsWirelessnetworksecurityusingCertificateServices,选择合适的无线网络解决方案,提供有效的验证和授权,保护数据传输安全,Wirelessdataencryptionstandardsinusetodayinclude:
WiredEquivalentPrivacy(WEP)DynamicWEP,combinedwith802.1Xauthentication,providesadequatedataencryptionandintegrityCompatiblewithmosthardwareandsoftwaredevicesWi-FiProtectedAccess(WPA/WPA2)ChangestheencryptionkeywitheachframeUsesalongerinitializationvectorAddsasignedmessageintegritycheckvalueIncorporatesaframecounterWPA2providesdataencryptionviaAES.WPAusesTemporalKeyIntegrityProtocol(TKIP),802.1X的系统需求,802.1XwithPEAP如何工作,WirelessClient,RADIUS(IAS),1,ClientConnect,WirelessAccessPoint,2,ClientAuthentication,ServerAuthentication,MutualKeyDetermination,4,5,3,KeyDistribution,Authorization,WLANEncryption,InternalNetwork,WLANNetwork的网络服务,BranchOffice,Headquarters,WLANClients,DomainController(DC)RADIUS(IAS)CertificationAuthority(CA)DHCPServices(DHCP)DNSServices(DNS),DHCP,IAS/DNS/DC,AccessPoints,IAS/CA/DC,IAS/DNS/DC,Primary,Secondary,Primary,Secondary,WLANClients,AccessPoints,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step4补丁和更新管理,1、补丁的重要性和产品生存周期2、与病毒赛跑及时安装补丁是保护系统安全的最基本方法3、微软提供的软件补丁更新方法4、使用WSUS进行补丁管理5、使用SMS2003进行补丁管理和分发,商业价值漏洞攻击时间表实例:
冲击波,我们已经收到漏洞报告/正在开发安全更新,公告和安全更新都可以得到/没有可以利用的蠕虫,向公众发布代码,蠕虫,July1,July16,July25,Aug11,报告RPC/DDOM中的漏洞被报告MS激活最高级别的应急响应过程,公告MS03-026告诉用户这个漏洞(7/16/03)继续把服务扩大到分析者、媒体、社会、合作伙伴以及政府机构,利用X-focus发布漏洞利用工具MS加大力量来告知用户,蠕虫冲击波被发现,不同的病毒共同攻击(比如:
SoBig),如何赶在蠕虫发作之前为系统安装上安全补丁将成为解决问题的关键,开始与时间赛跑,要赶在攻击开始之前保护您的系统并为其安装上软件安全更新,更新管理解决方案,更新管理解决方案,Administratorsubscribestoupdatecategories,ServerdownloadsupdatesfromMicrosoftUpdate,Clientsregisterthemselveswiththeserver,Administratorputsclientsindifferenttargetgroups,Administratorapprovesupdates,Agentsinstalladministratorapprovedupdates,MicrosoftUpdate,WSUSServer,DesktopClientsTargetGroup1,ServerClientsTargetGroup2,WSUSAdministrator,WSUS概览,管理WSUS管理更新,SMS2003-安全补丁更新管理,维护IT环境的完整性确定关键的系统升级确定易受攻击的系统可靠并快速的发送系统升级准确的发送状态报告系统化的处理需要控制打补丁升级的过程减少系统升级管理部署的成本增加系统升级管理的可靠性和效力,SMS2003-安全补丁更新管理,IT环境完整性弱点评估(利用MBSA)PatchUpdate状态和验证报告结构、流程、控制以FeaturePack形式集成到SMS2003中利用SMS2003的结构有效的利用带宽(Delta、BITS)灵活制定分发的策略提高最终用户的体验,1.评估需要打软件安全更新的环境阶段性任务A.生成/保留系统基础架构B.建立软件安全更新管理体系(是否满足需求)C.复查体系架构/设置进行中的任务A.发现资源B.列客户端清单,1.评估,2.鉴定,4.部署,3.评价和计划,2.鉴定新的软件安全更新任务A.获知新软件安全更新B.确定软件安全更新相关信息(包括威胁评估)C.确认软件安全更新的权威性和完整性,3.评价并计划软件安全更新部署过程任务A.进行风险评估B.计划软件安全更新发布过程C.完成软件安全更新可行性测试,4.部署软件安全更新任务A.分发并安装软件安全更新B.写进程报告C.解决意外情况D.复核发布情况,安全补丁更新管理流程,系统补丁升级报告,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step5网络访问隔离,IPSEC策略介绍网络访问隔离(NAP)和IPSEC,数据传输面临的威胁,窃听数据篡改身份欺骗拒绝服务攻击中间人攻击Sniffer攻击应用层攻击盗用口令攻击,加密术语,加密透过数学公式运算,使文件或数据模糊化用于秘密通讯或安全存放文件及数据解密为加密的反运算将已模糊化的文件或数据还原密钥是加密/解密运算过程中的一个参数实际上是一组随机的字符串,加密方法,对称式加密非对称式加密哈希加密,IPSEC的特点,IPSec是工业标准的安全协议,它工作在网络层,可以用于身份验证,加密数据及对数据做认证.总之,IPSEC被用于保护网络中传输数据的安全性.IPSEC的好处:
在通信前作双向的身份验证通过对数据包加密保证数据包中数据的机密性通过阻止对数据包的修改保证数据的一致性和原始性防止重播攻击IPSec对使用者及应用程序是透明性可以使用活动目录集中管理IPSEC策略,IPSEC的功能,可以使用ESP加密数据以及使用AH对数据作数字签名,路由器,路由器,Tunnelmode,可以使用传送模式来保护主机之间的安全,可以使用隧道模式来保护两个网络的安全,ESP,AH,路由器,Transportmode,IPSEC协议组件,IKE(InternetKeyExchange)协商AH(AuthenticationHeader)数据完整性ESP(EncapsulatingSecurityPayload)数据加密,IPSEC处理过程,3,创建IPSec安全策略,IP安全策略,规则,IP筛选器列表,IP筛选器列表,IP筛选器列表,IP筛选器列表,IP筛选器列表,筛选器操作,IP筛选器,可以指派给域、站点和组织单位,IPSEC策略和规则,IPSec使用策略和规则保护网络通信的安全规则由下列组件组成:
筛选器筛选器操作身份验证方法默认策略包括:
Client(仅响应)服务器(要求安全性)安全服务器(需要安全性),默认策略联合,自定义策略,IPSEC规则筛选器列表(IPFilterList)筛选器操作(FilterAction)允许、阻止、协商安全隧道端点(TunnelPoint)传送模式、隧道模式网络类型(NetworkType)局域网络、远程访问、所有网络身份验证方法(AuthenticationMethods)KerberosV5、证书、预共享密钥,什么是网络隔离?
引入逻辑数据隔离防御层的好处包括:
额外的安全性对可以访问特定信息的人员进行控制对计算机管理进行控制抵御恶意软件的攻击加密网络数据的机制,网络隔离:
在直接IP互连的计算机之间,能够允许或禁止特定类型的网络访问,识别受信任的计算机,受信任的计算机:
受管理的设备(处于已知状态并且满足最低安全要求),不受信任的计算机:
可能未满足最低安全要求的设备(主要因为此设备未受到管理或集中控制),使用网络隔离能达到的目标,通过使用网络隔离可以达到以下目标:
在网络级别上将受信任的域成员计算机与不受信任的设备相隔离帮助确保设备满足访问受信任的资产所需的安全要求允许受信任的域成员将入站网络访问限制到特定的一组域成员计算机上将工作重点放在主动监视和守规上,并确定它们的优先次序将安全工作的重点放在要求从不受信任的设备进行访问的少量受信任的资产上重点关注并加快进行补救和恢复工作,使用隔离无法减轻的风险,无法通过网络隔离直接减轻的风险包括:
受信任用户泄露敏感数据对受信任用户的凭据的危害不受信任的计算机访问其他不受信任的计算机受信任用户误用或滥用其受信任状态不符合安全策略的受信任设备失守的受信任计算机访问其他受信任的计算机,网络隔离如何适应网络安全?
策略、过程和意识,物理安全,应用程序,主机,内部网络,周边,数据,逻辑数据隔离,如何实现网络隔离?
网络隔离解决方案的组成部分包括:
使用网络访问组和IPSec控制计算机访问,逻辑数据隔离,计算机访问权限(IPSec),主机访问权限,共享和访问权限,3,第1步:
用户尝试访问服务器上的共享资源第2步:
IKE主要模式协商第3步:
IPSec安全方法协商,使用网络访问组控制主机访问,第1步:
用户尝试访问服务器上的共享资源第2步:
IKE主要模式协商第3步:
IPSec安全方法协商第4步:
检查用户主机访问权限第5步:
检查共享和访问权限,逻辑数据隔离,计算机访问权限(IPSec),主机访问权限,IPSec策略,2,1,3,组策略,Dept_ComputersNAG,共享和访问权限,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step6用户行为管理,组策略概况使用组策略对用户环境进行管理自定义安全模板管理用户行为,GroupPolicy,通过使用组策略,能够:
设置集中化和分散化策略确保用户处于其所需的工作环境中控制用户和计算机的环境实施公司策略,站点,域,组织单位,组策略,管理员最初设置组策略,Windows2000/Windows2003不断地应用,用户,计算机,GPO组件,GroupPolicy,计算机的组策略设置在操作系统初始化时以及系统刷新周期内应用使用“计算机配置”节点用户的组策略设置在用户登录到计算机时以及在系统刷新周期内应用使用“用户配置”节点,GroupPolicy,4,配置安全模板,文件系统,受限制的组,事件日志,IPSec,帐户,PublicKey,系统服务,注册表,本地,安全模板,什么是安全模板设置?
安全模板安全设置,设置举例,管理模版,管理模板文件(.adm)可以定制,由类别和子类别组成的层次结构包括如下功能:
与每个设置对应的注册表位置与每个设置相关联的选项或值的限制设置的默认值设置的解释和说明支持的Windows版本可搜索的帮助条目视图筛选设置,使用组策略管理用户环境,使用系统内置的管理模版(450多条)IE设置,代理设置等桌面、屏幕保护使用自定义的管理模版限制USB存储任何对注册表的修改使用安全模版受限安全组,目录,一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望,Step7其他和展望,技术之外的艺术综合完整的安全产品组合,技术之外,技术不是万能的技术之外的艺术行政和管理三分技术,七分管理管理能有效地提高技术的艺术,并实现技术不能实现的部分管理和技术并存才是管理王道,其他安全技术,权限管理(RMS)系统级安全(ForeFront)服务器产品客户端产品(FCS)系统新特性VISTA:
BitLocker、UAC、IE保护模式等EFS,综合完整的安全产品组合,NetworkAccessProtection(NAP),谢谢!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络 纵深 防御 讲义