企業(yè)網(wǎng)絡(luò)縱深防御講義

IT專家網(wǎng)技術(shù)沙龍主題一如何構(gòu)建安全的企業(yè)內(nèi)部網(wǎng)絡(luò)主講人：殷杰前言計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入我們的生活計(jì)算機(jī)網(wǎng)絡(luò)安全問題日趨重視如何應(yīng)對網(wǎng)絡(luò)安全隱患如何打造安全的企業(yè)網(wǎng)絡(luò)……目錄一、邊界網(wǎng)絡(luò)安全

二、內(nèi)部網(wǎng)絡(luò)安全三、無線網(wǎng)絡(luò)安全四、補(bǔ)丁和更新管理五、網(wǎng)絡(luò)訪問隔離六、用戶行為管理

七、其他和展望Step1邊界網(wǎng)絡(luò)安全

ISA2004防火墻系統(tǒng)應(yīng)用層篩選內(nèi)部服務(wù)器的發(fā)布SSL通訊保護(hù)目前的網(wǎng)絡(luò)安全形勢工業(yè)90%的Web站點(diǎn)存在安全隱患95%的安全問題可以用“配置”解決約70%的基于Web站點(diǎn)的攻擊發(fā)生在應(yīng)用層安全I(xiàn)nternet上的設(shè)備日益增多遠(yuǎn)程訪問用戶普遍存在Web站點(diǎn)的數(shù)量急劇增加管理員遇到的問題怎么樣防止員工訪問任意的網(wǎng)站？怎么樣防止員工任意的下載軟件？怎么樣防止員工使用任意的計(jì)算機(jī)上網(wǎng)？怎么樣防止員工在任意的時(shí)間上網(wǎng)？怎么樣阻止P2P軟件？怎么樣控制用戶上網(wǎng)的帶寬使用？怎么樣防止用戶使用外部代理？怎么樣阻止員工使用私自安裝的二級(jí)代理？…傳統(tǒng)防火墻的局限性對常見攻擊行為的防范難以管理性能vs.安全有限的可擴(kuò)展性應(yīng)用層攻擊:Code-Red,NimdaIT部門已經(jīng)面臨超負(fù)荷的壓力有限和昂貴的帶寬數(shù)據(jù)檢測降低網(wǎng)絡(luò)性能陳舊設(shè)備面臨淘汰需求增長需要購買更多設(shè)備.傳統(tǒng)防火墻之包過濾ApplicationLayerContent????????????????????????????????????????????僅有數(shù)據(jù)包頭會(huì)被檢查，無法識(shí)別應(yīng)用層數(shù)據(jù)IPHeaderSourceAddress,

Dest.Address,

TTL,

ChecksumTCPHeaderSequenceNumber

SourcePort,

DestinationPort,

Checksum基于服務(wù)連接進(jìn)行數(shù)據(jù)包傳輸，但是合法的網(wǎng)絡(luò)流量與應(yīng)用層級(jí)的攻擊都是使用相同的服務(wù)連接InternetExpectedHTTPTrafficUnexpectedHTTPTrafficAttacksNon-HTTPTrafficCorporateNetwork隨著網(wǎng)絡(luò)安全在企業(yè)IT部門中的地位越來越重要，微軟公司也重視到了這一點(diǎn)。經(jīng)過4年的努力，微軟在2004年發(fā)布了ISAServer2004，新版本的ISAServer將給重視安全的企業(yè)帶來新的選擇。ISAServer

2004的優(yōu)勢高級(jí)防護(hù)應(yīng)用層的安全設(shè)計(jì)方案最大程度的保護(hù)應(yīng)用程序簡單易用針對各種復(fù)雜場景的高效部署與管理快速且安全的訪問使用戶能夠以最高的效率安全的連接到網(wǎng)絡(luò)ISAServer2004新特性

更新的安全結(jié)構(gòu)高級(jí)防護(hù)應(yīng)用層安全設(shè)計(jì)最大程度的保護(hù)應(yīng)用程序深層防護(hù)增強(qiáng)的、可自定義的HTTP篩選器全面靈活的策略支持IP路由增強(qiáng)的ExchangeServer集成度支持OutlookRPCoverHTTP增強(qiáng)的OutlookWebAccess安全性簡單易用的配置向?qū)Чδ軓?qiáng)大的VPN統(tǒng)一的防火墻--VPN篩選支持站點(diǎn)到站點(diǎn)IPsec隧道模式網(wǎng)絡(luò)訪問隔離全面的身份驗(yàn)證增加對RADIUS和RSASecurID的支持基于用戶和組的訪問策略可擴(kuò)展ISAServer2004新特性

新的管理工具和用戶界面多網(wǎng)絡(luò)支持不限制的網(wǎng)絡(luò)定義應(yīng)用到所有流量的防火墻策略針對每個(gè)網(wǎng)絡(luò)的路由關(guān)系網(wǎng)絡(luò)模板和向?qū)驅(qū)Ш喕寺酚膳渲脙?nèi)置常見網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對常見場景的簡單定義可視化的策略編輯基于單一規(guī)則的統(tǒng)一防火墻策略支持拖拽支持基于XML的配置文件的導(dǎo)入和導(dǎo)出增強(qiáng)的排錯(cuò)能力儀表板實(shí)時(shí)的日志監(jiān)視任務(wù)板簡單易用有效的保護(hù)網(wǎng)絡(luò)安全高性能最大化應(yīng)用層篩選速度ISAServer2004新特性

依然強(qiáng)大的集成性增強(qiáng)的結(jié)構(gòu)高速數(shù)據(jù)傳輸充分利用硬件能力

SSL橋接簡化WEB服務(wù)器管理Web緩存更新的策略規(guī)則本地化服務(wù)組件Internet訪問控制基于用戶和組的WEB使用策略可擴(kuò)展ISAServer概覽根據(jù)內(nèi)容轉(zhuǎn)發(fā)只將合法HTTP流量發(fā)送到Web服務(wù)器應(yīng)用層內(nèi)容：GET/partners/default.htm序號(hào)源端口目標(biāo)端口源地址目標(biāo)地址TTL正常HTTP流量異常HTTP流量Web服務(wù)器攻擊非HTTP流量檢查包頭和應(yīng)用層內(nèi)容InternetWeb服務(wù)器HTTP篩選器提供了一種控制方法HTTP篩選器可適用于：內(nèi)部用戶訪問Internet網(wǎng)站的流量Internet用戶訪問被發(fā)布網(wǎng)站的流量HTTP篩選器可以依據(jù)下列項(xiàng)目

進(jìn)行HTTP協(xié)議的阻擋與過濾：「方法」、「擴(kuò)展名」與「URL」「請求頭」與「請求正文」「響應(yīng)頭」與「響應(yīng)正文」每一條防火墻規(guī)則的HTTP篩選器設(shè)定都是獨(dú)立的

因此管理員可以為每一條規(guī)則進(jìn)行單獨(dú)的設(shè)定利用HTTP篩選器保護(hù)網(wǎng)站ApplicationLayerContent<html><head><metahttp-quiv="content-type"content="text/html;charset=UTF-8"><title>MSNBCIPHeaderSourceAddress,

Dest.Address,

TTL,

ChecksumTCPHeaderSequenceNumber

SourcePort,

DestinationPort,

ChecksumHTTP

篩選器HTTP篩選器示例應(yīng)用程序名稱搜尋范圍HTTP頭簽名MSNMessenger請求頭User-Agent:MSNMessengerWindowsMessenger請求頭User-Agent:MSMSGSAOLMessenger(andGeckobrowsers)請求頭User-Agent:Gecko/YahooMessenger請求頭HostKazaa請求頭P2P-AgentKazaa,Kazaaclient:Kazaa請求頭User-Agent:KazaaClient

Kazaa請求頭X-Kazaa-Network:KaZaAGnutella請求頭User-Agent:GnutellaGnucleusEdonkey請求頭User-Agent:e2dkMorpheus請求頭ServerMorpheusISAServerWeb發(fā)布ISAServer檢查HTTP請求只轉(zhuǎn)發(fā)允許的請求ISAServer可以發(fā)布多臺(tái)服務(wù)器Web服務(wù)器傳入流量Internet

/../cmd?..

/%20%20

/scripts/

/partners

安全的SSL流量SSL隧道：無需進(jìn)行流量檢查即可保護(hù)內(nèi)容機(jī)密SSL橋接：Internet上的客戶端對通信內(nèi)容進(jìn)行加密ISAServer對流量進(jìn)行解密并檢查ISAServer將允許的流量發(fā)送到已發(fā)布的服務(wù)器，必要時(shí)對其進(jìn)行重新加密保護(hù)SMTP通信基于SMTP的攻擊：使用無效、過長或不尋常的SMTP命令攻擊郵件服務(wù)器或收集收件人信息通過包含惡意內(nèi)容（如蠕蟲）對收件人進(jìn)行攻擊ISAServer通過以下方式保護(hù)郵件服務(wù)器：實(shí)施的SMTP命令與標(biāo)準(zhǔn)一致攔截禁止的SMTP命令攔截附件類型、內(nèi)容、收件人或發(fā)件人受到禁止的郵件ISAServer能夠在攻擊到達(dá)郵件服務(wù)器以前將其阻止目錄一、邊界網(wǎng)絡(luò)安全二、內(nèi)部網(wǎng)絡(luò)安全

三、無線網(wǎng)絡(luò)安全四、補(bǔ)丁和更新管理五、網(wǎng)絡(luò)訪問隔離六、用戶行為管理

七、其他和展望Step2內(nèi)部網(wǎng)絡(luò)安全

資產(chǎn)管理的重要性和必要性使用SMS2003管理資產(chǎn)SMS2003的軟件度量功能—盜版軟件克星軟件限制策略—安全的保護(hù)神ITPro深深的痛…絕大多數(shù)企業(yè)的IT管理現(xiàn)狀很不理想問題：ITPro對于PC缺乏控制安全問題突出：補(bǔ)丁病毒間諜軟件….很多企業(yè)，某種程度上就像一個(gè)免費(fèi)的網(wǎng)吧！ITPro=“修電腦的”ITPro的期望當(dāng)今系統(tǒng)運(yùn)維的挑戰(zhàn)您知道自己系統(tǒng)中有多少臺(tái)設(shè)備?分別運(yùn)行在什么平臺(tái)上?

硬件配置如何?安裝了什么軟件?犧牲過n個(gè)周末進(jìn)行系統(tǒng)升級(jí)?為安裝一個(gè)驅(qū)動(dòng)樓上、樓下跑，…為了找出安裝有xxx軟件的機(jī)器而一臺(tái)一臺(tái)的查…有多少人利用公司設(shè)備在上班時(shí)間上網(wǎng)、看DVD、

玩游戲?計(jì)算過損失嗎?$1000*t/nWhereWeAreTodaySERVERSCLIENTSSMS在企業(yè)中所扮演的角色Asset

ManagementSecurity

Patch

ManagementApplicationDeploymentLeveraging

WindowsManagementServicesSupportfor

theMobileWorkforceSystemCenterDistributedEnterpriseReporting

ServerSMS2003的系統(tǒng)組件Management

PointServerLocatorPointDistributionPoint

ReportingPointClientAccessPointSiteServerSMSSite

DatabaseSMS單一站點(diǎn)架構(gòu)SMS多站點(diǎn)架構(gòu)PrimarySite(ChildandParentSite)Secondary

Site(ChildSite)Primary(Central)Site(ParentSite)Primaryor

SecondarySite(ChildSite)SQLSQLSQLSQL自動(dòng)化的資產(chǎn)管理

減少硬件、軟件成本需要了解公司的硬件配置確定我公司擁有什么樣的應(yīng)用知道有多少應(yīng)用軟件被使用管理授權(quán)可以清楚的進(jìn)行業(yè)務(wù)決定正確識(shí)別資產(chǎn)記錄并且跟蹤資產(chǎn)信息軟件、硬件信息收集機(jī)制軟件資產(chǎn)收集（SoftwareInventory）收集文件信息硬件資產(chǎn)收集（HardwareInventory）收集WMI信息

硬件信息收集配置軟件信息收集配置軟件信息軟件分發(fā)簡化商務(wù)軟件部署流程OfficeSystemPrograms…計(jì)劃工具擴(kuò)展和改進(jìn)目錄和軟件測量強(qiáng)大的部署工具以滿足商業(yè)需求為目標(biāo)把正確的應(yīng)用準(zhǔn)時(shí)部署給相應(yīng)的用戶更好的用戶體驗(yàn)DistributionServerCollectionProgramPackageClientClientClient規(guī)劃工具采用資產(chǎn)管理進(jìn)行系統(tǒng)規(guī)劃硬件目錄我需要什么硬件去運(yùn)行最近的應(yīng)用軟件？運(yùn)行新的應(yīng)用軟件公司有多少電腦需要更新？軟件目錄可以知道有多少office被安裝？部署一個(gè)應(yīng)用軟件可能的最大費(fèi)用？如何去建立測試環(huán)境？軟件計(jì)量哪位員工使用什么軟件、使用多長時(shí)間？卸載不使用的應(yīng)用程序保護(hù)軟件版權(quán)軟件限制策略SRP-軟件限制策略默認(rèn)規(guī)則不受限的不允許的其他規(guī)則HASH規(guī)則路徑規(guī)則證書規(guī)則INTERNET規(guī)則目錄一、邊界網(wǎng)絡(luò)安全二、內(nèi)部網(wǎng)絡(luò)安全三、無線網(wǎng)絡(luò)安全

四、補(bǔ)丁和更新管理五、網(wǎng)絡(luò)訪問隔離六、用戶行為管理

七、其他和展望Step3無線網(wǎng)絡(luò)安全

WEP的弱點(diǎn)RADIUS協(xié)議和認(rèn)證使用IAS為無線設(shè)備保駕護(hù)航安全的無線網(wǎng)絡(luò)常見的無線網(wǎng)絡(luò)風(fēng)險(xiǎn)威脅Securitythreatsinclude:DisclosureofconfidentialinformationUnauthorizedaccesstodataImpersonationofanauthorizedclientInterruptionofthewirelessserviceUnauthorizedaccesstotheInternetAccidentalthreatsUnsecuredhomewirelesssetupsUnauthorizedWLANimplementations了解無線網(wǎng)技術(shù)StandardDescription802.11AbasespecificationthatdefinesthetransmissionconceptsforwirelessLANs802.11aTransmissionspeedsupto54megabits(Mbps)persecond802.11b11MbpsGoodrangebutsusceptibletoradiosignalinterference802.11g54MbpsShorterrangesthan802.11b802.11iEstablishesastandardauthenticationandencryptionprocessforwirelessnetworks802.1X-astandardthatdefinesaport-basedaccesscontrolmechanismofauthenticatingaccesstoanetworkand,asanoption,formanagingkeysusedtoprotecttraffic無線網(wǎng)絡(luò)部署方案Wirelessnetworkimplementationoptionsinclude:Wi-FiProtectedAccesswithPre-SharedKeys

(WPA-PSK)WirelessnetworksecurityusingProtectedExtensibleAuthenticationProtocol(PEAP)andpasswordsWirelessnetworksecurityusingCertificateServices

選擇合適的無線網(wǎng)絡(luò)解決方案WirelessNetwork

SolutionTypical

EnvironmentAdditionalInfrastructure

ComponentsRequiredCertificatesUsed

forClientAuthenticationPasswordsUsed

forClientAuthenticationTypicalData

EncryptionMethodWi-FiProtectedAccesswithPre-SharedKeys

(WPA-PSK)SmallOffice/HomeOffice(SOHO)NoneNOYESUsesWPApresharedkeytoauthenticatetonetworkWPAPassword-basedwirelessnetworksecuritySmalltomediumorganizationInternetAuthenticationService(IAS)CertificaterequiredfortheIASserverNOHowever,acertificateisissuedtovalidatetheIASserverYESWPAorDynamicWEPCertificate-basedwirelessnetworksecurityMediumtolargeorganizationInternetAuthenticationService(IAS)CertificateServicesYESNOCertificatesusedbutmaybemodifiedtorequirepasswordsWPAorDynamicWEP提供有效的驗(yàn)證和授權(quán)StandardDescriptionExtensibleAuthenticationProtocol-TransportLayerSecurity(EAP-TLS)UsespublickeycertificatestoauthenticateclientsProtectedExtensibleAuthenticationProtocol-Microsoft-ChallengeHandshakeAuthenticationProtocolv2(PEAP-MS-CHAPv2)Atwo-stageauthenticationmethodusingacombinationofTLSandMS-CHAPv2forpasswordauthenticationTunneledTransportLayerSecurity(TTLS)Atwo-stageauthenticationmethodsimilartoPEAPMicrosoftdoesnotsupportthismethod保護(hù)數(shù)據(jù)傳輸安全Wirelessdataencryptionstandardsinusetodayinclude:WiredEquivalentPrivacy(WEP)DynamicWEP,combinedwith802.1Xauthentication,providesadequatedataencryptionandintegrityCompatiblewithmosthardwareandsoftwaredevicesWi-FiProtectedAccess(WPA/WPA2)ChangestheencryptionkeywitheachframeUsesalongerinitializationvectorAddsasignedmessageintegritycheckvalueIncorporatesaframecounterWPA2providesdataencryptionviaAES.WPAusesTemporalKeyIntegrityProtocol(TKIP)802.1X的系統(tǒng)需求ComponentsRequirementsClientdevicesWindowsXPandPocketPC2003providebuilt-insupportMicrosoftprovidesan802.1Xclientfor

Windows2000operatingsystemsRADIUS/IASandcertificateserversWindowsServer2003CertificateServicesandWindowsServer2003InternetAuthenticationService(IAS)arerecommendedWirelessaccesspointsAtaminimum,shouldsupport802.1Xauthenticationand128-bitWEPfordataencryption802.1XwithPEAP如何工作WirelessClientRADIUS(IAS)1ClientConnectWirelessAccessPoint2ClientAuthenticationServerAuthenticationMutualKeyDetermination453KeyDistributionAuthorizationWLANEncryptionInternalNetworkWLANNetwork的網(wǎng)絡(luò)服務(wù)BranchOfficeHeadquartersWLANClientsDomainController(DC)RADIUS(IAS)CertificationAuthority(CA)DHCPServices(DHCP)DNSServices(DNS)DHCPIAS/DNS/DCLANLANAccessPointsIAS/CA/DCIAS/DNS/DCPrimarySecondaryPrimarySecondaryWLANClientsAccessPoints目錄一、邊界網(wǎng)絡(luò)安全二、內(nèi)部網(wǎng)絡(luò)安全三、無線網(wǎng)絡(luò)安全四、補(bǔ)丁和更新管理五、網(wǎng)絡(luò)訪問隔離六、用戶行為管理七、其他和展望

Step4補(bǔ)丁和更新管理

1、補(bǔ)丁的重要性和產(chǎn)品生存周期2、與病毒賽跑—及時(shí)安裝補(bǔ)丁是保護(hù)系統(tǒng)安全的最基本方法3、微軟提供的軟件補(bǔ)丁更新方法4、使用WSUS進(jìn)行補(bǔ)丁管理5、使用SMS2003進(jìn)行補(bǔ)丁管理和分發(fā)商業(yè)價(jià)值

漏洞攻擊時(shí)間表實(shí)例：沖擊波我們已經(jīng)收到漏洞報(bào)告/正在開發(fā)安全更新公告和安全更新都可以得到/沒有可以利用的蠕蟲向公眾發(fā)布代碼蠕蟲July1July16July25Aug11報(bào)告RPC/DDOM中的漏洞被報(bào)告MS激活最高級(jí)別的應(yīng)急響應(yīng)過程公告MS03-026告訴用戶這個(gè)漏洞(7/16/03)繼續(xù)把服務(wù)擴(kuò)大到分析者、媒體、社會(huì)、合作伙伴以及政府機(jī)構(gòu)利用X-focus發(fā)布漏洞利用工具M(jìn)S加大力量來告知用戶蠕蟲沖擊波被發(fā)現(xiàn)，不同的病毒共同攻擊(比如：SoBig)如何趕在蠕蟲發(fā)作之前為系統(tǒng)安裝上安全補(bǔ)丁將成為解決問題的關(guān)鍵開始與時(shí)間賽跑，要趕在攻擊開始之前保護(hù)您的系統(tǒng)并為其安裝上軟件安全更新151180331BlasterWelchia/NachiNimda25SQLSlammer從公告發(fā)布到病毒攻擊的天數(shù)更新管理解決方案支持的軟件及內(nèi)容

產(chǎn)品MBSAMicrosoftUpdateWSUSSMS2003支持的軟件SameasMUforsecurityupdatedetection.Windows,IE,ExchangeandSQLconfigurationchecksWindows2000+,Exchange2000+,SQLServer2000+,OfficeXP+withexpandingsupportSameasMUSameasWSUS+NT4.0&Win98*+canupdateanyotherWindowsbasedsoftware支持內(nèi)容類型ServicePacksandSecurityUpdatesAllsoftwareupdates,driverupdates,servicepacks(SPs),andfeaturepacks(FPs)SameasMUwithonlycriticaldriverupdatesAllupdates,SPs,&FPs+supportsupdate&appinstallsforanyWindowsbasedsoftware更新管理解決方案安全更新管理能力產(chǎn)品MBSAMicrosoftUpdateWSUSSMS2003支持的軟件及內(nèi)容簡單否簡單高級(jí)網(wǎng)絡(luò)帶寬優(yōu)化否是是是更新分發(fā)控制否否簡單高級(jí)更新安裝及調(diào)度靈活性否手工，最終用戶控制簡單高級(jí)更新安裝狀態(tài)報(bào)告簡單安裝錯(cuò)誤報(bào)告，羅列丟失更新簡單高級(jí)部署計(jì)劃否否簡單高級(jí)清單管理否否否高級(jí)依從性檢查否否否高級(jí)AdministratorsubscribestoupdatecategoriesServerdownloadsupdatesfromMicrosoftUpdateClientsregisterthemselveswiththeserverAdministratorputsclientsindifferenttargetgroupsAdministratorapprovesupdatesAgentsinstalladministratorapprovedupdatesMicrosoftUpdateWSUSServerDesktopClients

TargetGroup1ServerClients

TargetGroup2WSUSAdministratorWSUS概覽管理WSUS

管理更新SMS2003--安全補(bǔ)丁更新管理維護(hù)IT環(huán)境的完整性確定關(guān)鍵的系統(tǒng)升級(jí)確定易受攻擊的系統(tǒng)可靠并快速的發(fā)送系統(tǒng)升級(jí)準(zhǔn)確的發(fā)送狀態(tài)報(bào)告

系統(tǒng)化的處理需要控制打補(bǔ)丁升級(jí)的過程減少系統(tǒng)升級(jí)管理部署的成本增加系統(tǒng)升級(jí)管理的可靠性和效力SMS2003--安全補(bǔ)丁更新管理IT環(huán)境完整性弱點(diǎn)評(píng)估(利用MBSA)PatchUpdate狀態(tài)和驗(yàn)證報(bào)告

結(jié)構(gòu)、流程、控制以FeaturePack形式集成到SMS2003中利用SMS2003的結(jié)構(gòu)有效的利用帶寬(Delta、BITS)靈活制定分發(fā)的策略提高最終用戶的體驗(yàn)1.評(píng)估需要打軟件安全更新的環(huán)境階段性任務(wù)A.生成/保留系統(tǒng)基礎(chǔ)架構(gòu)B.建立軟件安全更新管理體系（是否滿足需求）C.復(fù)查體系架構(gòu)/設(shè)置進(jìn)行中的任務(wù)A.發(fā)現(xiàn)資源B.列客戶端清單1.評(píng)估2.鑒定4.部署3.評(píng)價(jià)

和計(jì)劃2.鑒定新的軟件安全更新任務(wù)A.獲知新軟件安全更新B.確定軟件安全更新相關(guān)信息(包括威脅評(píng)估)C.確認(rèn)軟件安全更新的權(quán)威性和完整性3.評(píng)價(jià)并計(jì)劃軟件安全更新部署過程任務(wù)A.進(jìn)行風(fēng)險(xiǎn)評(píng)估B.計(jì)劃軟件安全更新發(fā)布過程C.完成軟件安全更新可行性測試4.部署軟件安全更新任務(wù)A.分發(fā)并安裝軟件安全更新B.寫進(jìn)程報(bào)告C.解決意外情況D.復(fù)核發(fā)布情況安全補(bǔ)丁更新管理流程系統(tǒng)補(bǔ)丁升級(jí)報(bào)告目錄一、邊界網(wǎng)絡(luò)安全二、內(nèi)部網(wǎng)絡(luò)安全三、無線網(wǎng)絡(luò)安全四、補(bǔ)丁和更新管理五、網(wǎng)絡(luò)訪問隔離

六、用戶行為管理七、其他和展望Step5網(wǎng)絡(luò)訪問隔離

IPSEC策略介紹網(wǎng)絡(luò)訪問隔離（NAP）和IPSEC數(shù)據(jù)傳輸面臨的威脅竊聽數(shù)據(jù)篡改身份欺騙拒絕服務(wù)攻擊中間人攻擊Sniffer攻擊應(yīng)用層攻擊盜用口令攻擊加密術(shù)語加密透過數(shù)學(xué)公式運(yùn)算，使文件或數(shù)據(jù)模糊化用于秘密通訊或安全存放文件及數(shù)據(jù)解密為加密的反運(yùn)算將已模糊化的文件或數(shù)據(jù)還原密鑰是加密/解密運(yùn)算過程中的一個(gè)參數(shù)實(shí)際上是一組隨機(jī)的字符串加密方法對稱式加密非對稱式加密哈希加密IPSEC的特點(diǎn)IPSec

是工業(yè)標(biāo)準(zhǔn)的安全協(xié)議，

它工作在網(wǎng)絡(luò)層，可以用于身份驗(yàn)證，加密數(shù)據(jù)及對數(shù)據(jù)做認(rèn)證.總之，IPSEC被用于保護(hù)網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全性.IPSEC的好處:在通信前作雙向的身份驗(yàn)證通過對數(shù)據(jù)包加密保證數(shù)據(jù)包中數(shù)據(jù)的機(jī)密性通過阻止對數(shù)據(jù)包的修改保證數(shù)據(jù)的一致性和原始性防止重播攻擊IPSec對使用者及應(yīng)用程序是透明性可以使用活動(dòng)目錄集中管理IPSEC策略IPSEC的功能可以使用ESP加密數(shù)據(jù)以及使用AH對數(shù)據(jù)作數(shù)字簽名路由器路由器Tunnelmode可以使用傳送模式來保護(hù)主機(jī)之間的安全可以使用隧道模式來保護(hù)兩個(gè)網(wǎng)絡(luò)的安全ESPAH路由器TransportmodeIPSEC協(xié)議組件IKE（InternetKeyExchange）

協(xié)商AH（AuthenticationHeader）數(shù)據(jù)完整性ESP（EncapsulatingSecurityPayload）數(shù)據(jù)加密IPSEC處理過程

TCP層IPSec驅(qū)動(dòng)TCP層IPSec驅(qū)動(dòng)加密的IP數(shù)據(jù)包3安全

互聯(lián)協(xié)商(ISAKMP)2IPSec策略IPSec策略1活動(dòng)目錄創(chuàng)建

IPSec

安全策略IP

安全策略規(guī)則IP

篩選器列表IP

篩選器列表IP

篩選器列表IP

篩選器列表IP

篩選器列表篩選器操作IP

篩選器可以指派給域、站點(diǎn)和組織單位IPSEC策略和規(guī)則IPSec使用策略和規(guī)則保護(hù)網(wǎng)絡(luò)通信的安全規(guī)則由下列組件組成:篩選器篩選器操作身份驗(yàn)證方法默認(rèn)策略包括:Client(僅響應(yīng))服務(wù)器(要求安全性)安全服務(wù)器(需要安全性)默認(rèn)策略聯(lián)合沒有策略指派客戶端（僅回應(yīng)）服務(wù)器（要求安全性）安全的服務(wù)器（需要安全性）沒有策略指派沒有IPSec沒有IPSec沒有IPSec不會(huì)通信客戶端（僅響應(yīng)）沒有IPSec沒有IPSecIPSecIPSec服務(wù)器（要求安全性）沒有IPSecIPSecIPSecIPSec安全的服務(wù)器（需要安全性）不會(huì)通信IPSecIPSecIPSec自定義策略IPSEC規(guī)則篩選器列表（IPFilterList）篩選器操作（FilterAction）允許、阻止、協(xié)商安全隧道端點(diǎn)（TunnelPoint）傳送模式、隧道模式網(wǎng)絡(luò)類型（NetworkType）局域網(wǎng)絡(luò)、遠(yuǎn)程訪問、所有網(wǎng)絡(luò)身份驗(yàn)證方法（AuthenticationMethods）KerberosV5、證書、預(yù)共享密鑰什么是網(wǎng)絡(luò)隔離？引入邏輯數(shù)據(jù)隔離防御層的好處包括：

額外的安全性

對可以訪問特定信息的人員進(jìn)行控制

對計(jì)算機(jī)管理進(jìn)行控制

抵御惡意軟件的攻擊

加密網(wǎng)絡(luò)數(shù)據(jù)的機(jī)制

網(wǎng)絡(luò)隔離：在直接IP互連的計(jì)算機(jī)之間，能夠允許或禁止特定類型的網(wǎng)絡(luò)訪問識(shí)別受信任的計(jì)算機(jī)受信任的計(jì)算機(jī)：受管理的設(shè)備（處于已知狀態(tài)并且滿足最低安全要求）不受信任的計(jì)算機(jī)：可能未滿足最低安全要求的設(shè)備（主要因?yàn)榇嗽O(shè)備未受到管理或集中控制）

使用網(wǎng)絡(luò)隔離能達(dá)到的目標(biāo)通過使用網(wǎng)絡(luò)隔離可以達(dá)到以下目標(biāo)：在網(wǎng)絡(luò)級(jí)別上將受信任的域成員計(jì)算機(jī)與不受信任的設(shè)備相隔離幫助確保設(shè)備滿足訪問受信任的資產(chǎn)所需的安全要求允許受信任的域成員將入站網(wǎng)絡(luò)訪問限制到特定的一組域成員計(jì)算機(jī)上將工作重點(diǎn)放在主動(dòng)監(jiān)視和守規(guī)上，并確定它們的優(yōu)先次序?qū)踩ぷ鞯闹攸c(diǎn)放在要求從不受信任的設(shè)備進(jìn)行訪問的少量受信任的資產(chǎn)上重點(diǎn)關(guān)注并加快進(jìn)行補(bǔ)救和恢復(fù)工作

使用隔離無法減輕的風(fēng)險(xiǎn)無法通過網(wǎng)絡(luò)隔離直接減輕的風(fēng)險(xiǎn)包括：受信任用戶泄露敏感數(shù)據(jù)對受信任用戶的憑據(jù)的危害

不受信任的計(jì)算機(jī)訪問其他不受信任的計(jì)算機(jī)受信任用戶誤用或?yàn)E用其受信任狀態(tài)不符合安全策略的受信任設(shè)備失守的受信任計(jì)算機(jī)訪問其他受信任的計(jì)算機(jī)

網(wǎng)絡(luò)隔離如何適應(yīng)網(wǎng)絡(luò)安全？策略、過程和意識(shí)物理安全應(yīng)用程序主機(jī)內(nèi)部網(wǎng)絡(luò)周邊數(shù)據(jù)邏輯數(shù)據(jù)隔離

如何實(shí)現(xiàn)網(wǎng)絡(luò)隔離？網(wǎng)絡(luò)隔離解決方案的組成部分包括：滿足組織最低安全要求的計(jì)算機(jī)

受信任的

主機(jī)使用

IPSec

以提供主機(jī)身份驗(yàn)證和數(shù)據(jù)加密主機(jī)身份

驗(yàn)證在本地安全策略中驗(yàn)證安全組成員身份，在資源上驗(yàn)證訪問控制列表主機(jī)授權(quán)

使用網(wǎng)絡(luò)訪問組和IPSec控制計(jì)算機(jī)訪問邏輯數(shù)據(jù)隔離計(jì)算機(jī)

訪問

權(quán)限

(IPSec)主機(jī)

訪問

權(quán)限IPSec

策略2共享和訪問權(quán)限13組

策略Dept_Computers

NAG第

1

步：用戶嘗試訪問

服務(wù)器上的共享資源第2步：IKE主要模式

協(xié)商第3步：IPSec安全方法協(xié)商

使用網(wǎng)絡(luò)訪問組控制主機(jī)訪問第

1

步：用戶嘗試訪問

服務(wù)器上的共享資源第2步：IKE主要模式

協(xié)商第3步：IPSec安全方法協(xié)商第4步：檢查用戶主機(jī)訪問權(quán)限第5步：檢查共享和訪問權(quán)限邏輯數(shù)據(jù)隔離計(jì)算機(jī)

訪問

權(quán)限

(IPSec)主機(jī)

訪問