企业防火墙管理技巧高手攻略：用ISA控制企业网络访问

1. 企业防火墙管理技巧高手攻略：用ISA控制企业网络访问企业防火墙管理技巧高手攻略：用ISA控制企业网络访问

2. 概要 • ISA Server 2004概述 • 上网行为管理技巧之访问策略 • 上网行为管理技巧之HTTP筛选器 • 上网行为管理之防火墙客户端高级特性 • 上网行为管理技巧之报告

3. ISA Server 2004概述

4. 管理员遇到的问题 怎么样防止员工访问任意的网站？ 怎么样防止员工任意的下载软件？ 怎么样防止员工使用任意的计算机上网？ 怎么样防止员工在任意的时间上网？ 怎么样阻止P2P软件？ 怎么样控制用户上网的带宽使用？ 怎么样防止用户使用外部代理？ 怎么样阻止员工使用私自安装的二级代理？ …

5. 解决方案？ • 软件 • Sygate? • WinGate? • WinRoute? • CCProxy? • ………………? • ISA Server 2004! • 硬件

6. Application Transport Internet Network 传统防火墙所面临的问题！ 应用层的攻击 ( 病毒、蠕虫与缓冲区溢出) 内 部 网 络 网络层与传输层的攻击 传统防火墙

7. IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content ???????????????????????????????????????????? Corporate Network Internet Expected HTTP Traffic Unexpected HTTP Traffic Attacks Non-HTTP Traffic 传统防火墙之包过滤 • 仅有数据包头会被检查，无法识别应用层数据 • 基于服务连接进行数据包传输，但是合法的网络流量与应用层级的攻击都是使用相同的服务连接

8. 传统防火墙所无法保护的项目 • 看似合法的网络流量(缺乏应用层级的检查) • 经过加密的网络流量，如 VPN 或 SSL • 网络已经遭到渗透后的攻击行为 • 使用懒人密码的网络系统，如Windows Terminal、VPN、Mail…

9. 攻击受到传统防火墙所保护的网站 Web1.msft.local 192.168.1.10 Attacker www.msft.com.tw 131.107.1.11

10. 高级保护功能 应用层保护对微软应用已做优化设计 深度内容过滤 与VPN完全集成 保护Internet Information Server和SPS的安全 • 增强：可定制的HTTP过滤器 • 灵活易用的规则 • 对所有IP协议进行状态检测 • 支持Outlook的RPC Over Http • 增强OWA安全 • 方便的向导功能 • 对VPN提供过滤功能 • 支持IPSec隧道模式的“站到站”VPN • 支持网络访问隔离 • 为IIS和SPS提供SSL桥接功能 • 易用的Web服务器发布向导 • 支持AD，RADIUS，SecurID验证 ISA Server 2004 新特性新的安全构架 增强与Exchange集成

11. Internet VPN CorpNet_1 DMZ_1 CorpNet_n DMZ_n Net A 任何拓扑, 任何策略 ISA 2004 网络模型 • 任何数量的“网络” • 将VPN也作为网络 • “本地主机”也作为网络 • 指定关系 (NAT/Route) • 基于“网络”指定策略 • 对所有interfaces进行包过滤 • 支持即插即用和拨号 ISA 2004 Local HostNetwork

12. ISA 2004 策略模型 • 规则顺序决定优先级 • 更易理解，更有逻辑 • 便于查看与审计 • 新的，统一的规则结构 • 应用于所有规则 • 三种类型的主要规则 • 访问规则 • 服务器发布规则 • Web 服务器发布规则 • 应用层过滤设定为规则的一部份 • 默认的系统策略

13. 上网行为管理技巧之访问策略

14. 访问策略元素 协议 用户 内容类型 调度 网络对象

15. Web服务器 客户端 ISA Server Internet 域控制器 实验环境

16. 根据用户或IP来设置Internet访问 • 根据时间来设置Internet访问 • 根据协议来设置Internet访问 • 根据内容来设置Internet访问 • 拒绝访问某些Internet • 带宽控制

17. 访问策略最佳实践 • 首先是尽量采取“允许需要的，拒绝所有（其他）的”的原则创建防火墙规则 • 拒绝对某些应用服务器IP的访问 • 拒绝对某些应用服务器端口的访问 • 对HTTP进行应用层检查，阻止相关请求头、请求URL、响应头及扩展名文件等的连接 • 拒绝对常用代理端口的访问，比如TCP 8080/1080/3128 • 关注常见的HTTP隧道登录，随时拒绝这类服务的登录服务器

18. 上网行为管理技巧之HTTP筛选器

19. SSL SSL SSL or HTTP Internet Internet用户 传统防火墙 网站/ OWA ISA Server 2004 ISA 2004的HTTP筛选器 ISA 2004的 HTTP 筛选器 代理验证 ISA 2004能够先针对SSL数据包予以解密后做检查 网站要求验证 ISA 2004 预先验证使用者，仅允许的数据包才能通过 即使是SSL数据包，ISA 2004的HTTP 筛选器也能够防止网页型态的攻击 HTTP 筛选器 病毒或者蠕虫也可能通过 因为通道是加密的所以SSL数据包直接通过传统的防火墙 解开数据包做检查后，接着可以 再加密或直接以明文送去内部 感染内部服务器

20. IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC HTTP筛选器 利用 HTTP 筛选器保护网站 • HTTP 筛选器可适用于： • 内部用户访问 Internet 网站的流量 • Internet 用户访问被发布网站的流量 • HTTP 筛选器可以依据下列项目进行 HTTP 协议的阻挡与过滤： • 「方法」、「扩展名」与「URL」 • 「请求头」与「请求正文」 • 「响应头」与「响应正文」 • 每一条防火墙规则的 HTTP 筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定

21. HTTP 协议之签名(Signature) HTTP 请求 GET.http://www.contoso.com/.HTTP/1.0. .Accept:.image/gif,.image/x-xbitmap, .image/jpeg,.image/pjpeg, .application/vnd.ms-excel, .application/vnd.ms-powerpoint, .application/msword,.*/*. .Accept-Language:.en-us. .If-Modified-Since:.Fri,.11.Oct.2002.20:30:04.GMT. .If-None-Match:."06ee8fa6471c21:428". .User-Agent:.Mozilla/4.0.(compatible;.MSIE.6.0; .Windows.NT.5.1). .Host:.www.contoso.com. .Proxy-Connection:.Keep-Alive... 请求头 HTTP头 签名

22. HTTP 协议之方法 (Method) • GET：抓取客户端于 Request-URL 中所指定的资源 • HEAD：测试客户端于 Request-URL 中所指定的资源 • POST：上传窗体数据 • PUT：将数据上传至客户端于 Request-URL中所指定的资源 • DELETE：删除客户端于 Request-URL 中所指定的资源 • OPTIONS：用以测试服务器端所支持的方法 • TRACE：用以进行应用层循环测试 • CONNECT：于 proxy 的架构中，建立「通道」

23. Protocol Target Resource HTTP 协议之客户端Request URL http://host.domain.com[:port]/path/file[?query] %252e %2e .

24. HTTP 协议之客户端请求

25. HTTP 协议之客户端请求(cont...)

26. HTTP 协议之服务器响应

27. HTTP 协议之服务器响应

28. HTTP筛选器示例

29. 使用HTTP筛选器管理P2P软件 • 限制BT • 限制QQ • 使用HTTP筛选器限制访问特定类型文件 • 使用HTTP过滤器修改服务器响应数据包中 返回的web服务器类型

30. HTTP筛选最佳实践 • 建立一致性的基准 • 设定最大的HTTP头、负载、URL 和查询长度 • 验证正规化但不阻止高位字符 • 仅允许 GET 及 POST 方法 • 阻止可执行程序及包含扩展名的服务器端 • 阻止可能的恶意签名 • 使用 HTTPFilterConfig.vbs 进行 HTTP 筛选器设定的导入和导出(包含于 ISA Server 2004 SDK，可于 Microsoft 网站下载)

31. 上网行为管理之防火墙客户端高级特性

32. 简介 • 在ISA Server的环境中配置内部客户为防火墙客户，除了可以实现身份验证外，还可以使用防火墙客户端的高级特性来定义客户端使用的网络应用程序，从而严格控制用户可以使用的应用程序

33. 实现

34. 使用防火墙客户端高级特性限制msn

35. 上网行为管理技巧之报告

36. 如何配置报告摘要数据库 选择启用日志摘要 配置摘要文件 保存路径 配置保存汇总的次数

37. 如何生成报告 配置报告中 包含的内容 配置报告中 包含的时间周期 配置报告存储 的位置

38. 如何创建循环报告作业 配置包含在 循环报告中的内容 配制循环报告 作业什么时间运行

39. 如何发布报告 将报告发布到共享文件夹可以使用户即使没有ISA Server管理控制台也可以查看报告

40. 自定义报告内容 • 生成报告 • 发布报告

41. TechNet是什么? • 只需轻轻点击，答案就在您的指尖 • 对于IT 专业人员来说，TechNet 是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源 订阅TechNet • 每月发放包含最新信息的 DVD或者CD • 这是最权威的资源，可以帮助你评估、配置和维护微软产品。 TechNet 网站 • 可以访问该站点 www.microsoft.com/china/technet • 在线资源和社区 • 订户--仅仅提供在线服务 TechNet 中文电子快报 • 两周发放一次的中文电子快报 • 安全更新, 新的资源等等 TechNet 活动 和网站消息 有关最新微软产品介绍和技术的简报 上机试验, “如何操作”等信息 中文社区 用户群 可管理的新闻组

42. 我们从哪里可以了解到 TechNet? • 访问TechNet的官方网站www.microsoft.com/China/technet • 注册TechNet快报 www.microsoft.com/china/technet/abouttn/subscriptions/flash.mspx • 加入到中文在线论坛http://www.microsoft.com/china/community/ • 成为 TechNet的订户 • www.microsoft.com/china/technet • 参与到更多的TechNet活动中或者在线了解www.microsoft.com/china/technet

43. 您的潜力，我们的动力！