精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

企业产品成本核算制度(试行) 培训课件 河北涿州 2013年11月15日.
极目古今话短长 ——中国侠的历史文化文化诠释 汪聚应
传染病信息网络直报工作要点 河南省疾病预防控制中心.
半导体所网络概况 图书信息中心 张 棣.
《计算机应用基础》 课程教学大纲 计划学时: 64学时 计划学分: 4学分 课程类型: 公共必修.
校园网与INTERNET基础 现代教育技术中心 李 斌.
计算机网络高级工 梁绍宇.
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
彭江波.
计算机网络安全培训 京承山希望小学 网络安全员:宋春辉.
企業如何建置安全的作業系統 Windows XP 網路安全
第 2 章 Access 操作環境介紹.
《Windows 网络操作系统配置与管理》
Windows Server 2003操作系统相关配置
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
Web服务器地址: 贵州省2015年高考 网上填报志愿培训会 Web服务器地址:
企业网搭建及应用 重庆市永川职业教育中心
十四岁,我读《红楼梦》 揽月小队 出品.
网络地址转换(NAT) 及其实现.
2018/9/18 SINFOR广域网加速产品分析 解决网络速度和带宽问题.
主要内容: 安全公告 漏洞与补丁基础知识 给系统打补丁的方法 给系统打补丁
資訊安全概論 梁明章 國家高速網路與計算中心 助理技術師.
第 19 章 遠端管理.
利用 ISA Server 2004 建置應用層防護機制
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
Microsoft® Office SharePoint® Server 2007 訓練
安全更新管理 精誠恆逸資訊 資深講師 職念文.
中国联通CDMA1X网络介绍及维护 CommWorks Professional Service 陈晔.
第8單元 Internet以及線上資源 McGraw-Hill Education.
Microsoft Project 2003 Gibson New Microsoft Enterprise Project
道路运输车辆 二级维护网络监督管理系统 行业信息管理 构筑诚信维修.
第8章 網路實例應用.
【VA虚拟应用管理平台】专题培训 资源管理及个性化 陕西益和信息技术开发有限责任公司 2011年2月.
《电子商务概论》高等教育出版社 2003版 市场营销系
第14章虚拟专用网技术与应用实验.
Microsoft® Office SharePoint® Server 2007 訓練課程
2018/12/6 中文Word2000的使用方法.
認識FTP檔案傳輸協定 建立我的部落格 Archie檔案檢索服務 Google搜尋密技 歷久彌新的老朋友-BBS Skype網路電話
Windows Server 2008证书服务的安装
第12章 远程访问、NAT技术.
E地通VPN设备部署.
研究助理研習營-電算中心 主講人:電算中心 林哲正.
目的:提升資訊安全的概念,透過課程觀念介紹及實務上的操作,建立病毒處理及保護電腦資料安全。
ISA Server 2004.
基于.NET的需求分析和解决方案设计 第1章 商务解决方案设计 第2章 收集和分析信息 第3章 解决方案的构思 第4章 概念设计的创建
本課程指定教材為:朱熹,《周易本義》,大安出版社。本講義僅引用部分內容,請讀者自行準備。
專題實驗B組: 智慧型校園IP網路監控系統 (Intelligent IP Network Surveillance System on the Campus) 東吳大學資訊科學系 指導教師: 楊欣哲 教授 組 長:資四A 張立顗 組 員:資四A 秦仲杰、賴楦衡、鄭淵澤.
第1章 SQL Server 2005概述 教学提示:SQL Server 2005是微软的下一代数据管理和分析解决方案,它给企业级应用数据和分析程序带来更好的安全性、稳定性和可靠性,使得它们更易于创建、部署和管理,从而可以在很大程度上帮助企业根据数据做出更快、更好的决策,提高开发团队的生产力和灵活度,以及在减少总体IT预算的同时,能够扩展IT基础架构以更好地满足多种需求。
電腦防護的基本知識.
2018 资产管理处 采购系统简介.
【VA虚拟应用管理平台】专题培训 资源管理及个性化 陕西益和信息技术开发有限责任公司 2011年2月.
重估價模式 如果一項不動產丶廠房及設備的公允價值能可靠地衡量,則企業可以選用重估價模式作為後續衡量的會計政策。 採重估價模式其帳面金額為:
2004年以后竣工工程工程款支付情况调查系统 演 示 培 训
第 7 章 电子政府的支撑技术.
基于C#的.NETFramework 程序设计语言
Common Security Problems in Business and Standards
國立新港藝術高中申請TANet新世代網路連線計畫書
阅读全文 Microsoft SharePoint 新闻
第五章 主管資訊系統(二).
【VA虚拟应用管理平台】专题培训 接入防火墙 陕西益和信息技术开发有限责任公司 2011年2月.
新一代信息安全的门户产品 安盟身份认证管理系统7.0
本課程指定教材為:朱熹,《周易本義》,大安出版社。本講義僅引用部分內容,請讀者自行準備。
(若使用IE瀏覽,請選擇功能表的「瀏覽」「全螢幕」
校務系統與校園網路資源簡介 主講人:電算中心 林哲正.
第四代教育城域网解决方案 锐捷网络解决方案部 曲景洋.
進階應用層防火牆實務 謝長明 技術總監 長成資訊顧問股份有限公司.
游振昌 Gibson 資訊平方有限公司 執行總監 台灣微軟資深顧問
強化 Windows 平台 唐任威 資深講師.
Presentation transcript:

精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP ISA Server 2006 新功能介紹 精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP

Agenda ISA Server 2006 概觀 安全遠端存取新功能 企業分公司安全性新功能 網際網路存取保護新功能

是一套完整的企業營運安全性產品 可用來協助企業經由深度整合與簡化管理 的方式取得更完善的防護 何謂 Forefront ? 是一套完整的企業營運安全性產品 可用來協助企業經由深度整合與簡化管理 的方式取得更完善的防護 用戶端與 伺服器 作業系統 伺服器 應用程式 邊際端

ISA Server 2006 簡介 ISA Server 2006 是一套企業級防火牆 及網站快取伺服器。 安全的 Internet 連線 快速的 Web 存取 一致性的管理 可延伸的平台 高可用性、錯誤移轉及備援

ISA Server 2006 新功能概觀 安全遠端存取 企業分公司安全性 網際網路存取保護

安全遠端存取 安全應用程式發行 使用者身份驗證 工作階段管理 Web 發行負載平衡 伺服器發佈 憑證管理 單一登入 連結轉換

安全應用程式發行 整合的安全性 有效的管理 快速安全的存取 增強的多重驗證機制 (智慧卡、單次密碼) LDAP 驗證支援 可自訂表單型態的預先驗證 增強的驗證委派 (包括 NTLM、Kerberos 和 SecurID) 改善的工作階段管理 有效的管理 提供 Web 發行負載平衡 提供 Exchange、SharePoint 和其他 Web 伺服器的 自動化工具 增強的憑證管理 快速安全的存取 單一登入 自動化連結轉換

使用者身份驗證 ISA Server 2006 在用戶端身份驗證所做的加強包括了 支援可完全自訂化的 HTTP 表單驗證機制: 以往 ISA Server 所支援的表單驗證機制僅限於對 Exchange Server 的 OWA,而 ISA Server 2006 除了支援 Exchange Server OWA 的表單驗證機制之外,另外也可以對一般的網站進行表單驗證的支援,並且後端的驗證伺服器可以為 AD、LDAP、RADIUS、SecureID 及 RADIUS 單次密碼驗證。 增強的驗證委派: 以往使用者在經由 ISA Server 存取後端網站時,倘若 ISA Server 本身的驗證機制啟動;而網站本身的驗證機制也啟動,則此時使用者必須輸入二次帳號/密碼。為了解決這個問題,管理者可以啟動 ISA Server 的「基本委派」功能,如此使用者只需要登入一次,便可以通過 ISA Server 及網站主機的驗證。但是此方法僅限於「基本驗證」機制,如果使用其他的驗證機制,則 ISA Server 將不提供基本委派的功能。 在 ISA Server 2006 中,驗證委派的部分除了支援基本驗證外,另外也開始支援了包括 NTLM、Kerberos 及 SecurID 等驗證機制。

工作階段管理 在傳統的驗證過程中,使用者被驗證成功的狀態,是由用戶端的電腦所保留。如此的驗證方式在某些情況中,可能會造成使用上的不便(使用者可能常常需要重新驗證)或是安全上的瑕疵(使用者已經登出,但系統卻仍然保留驗證成功的狀態)。 表單驗證的運作機制為使用者在通過身份驗證後,系統會發給使用者 cookie,而往後使用者的身份將經由此 cookie 進行確認。因此只要 cookie 保持在有效的狀態,則使用者就不需要對系統進行重新驗證的動作。並且當使用者的工作階段結束(如登出或關閉瀏覽器),則 cookie 將喪失其有效性,如此將可以確保系統的安全性。 ISA Server 2006 在工作階段的管理(cookie 的有效性管理)除了保有 ISA Server 2004 的優點外,另外更增加了對於不同狀態電腦可以提供更有彈性的設定,包括了是否要使用永久有效的 cookie、或者是對公用電腦與私有電腦可以有不同的設定。

Web 發行負載平衡 當企業的網站需要提供給大量的使用者進行存取時,最快的解決方案便是建構所謂的「網站伺服器農場」。然而該如何讓農場中的每一部伺服器都可以適當的為使用者提供服務,則常見的作法有: DNS 輪詢。其優點為簡單、其缺點為缺乏容錯及負載平衡的效果。 Windows NLB。其優點為可以達到容錯及負載平衡的效果、其缺點為設定上較為複雜。 為此 ISA Server 2006 提供了第三種作法,也就是由 ISA Server 發佈後端整個網站伺服器農場。其特性為設定上較 NLB 容易,並且一樣可以提供容錯及負載平衡的效果。 負載平衡的部分可以採 cookie based 或 source-IP based。 容錯的部分,ISA Server 則可以直接對伺服器農場中的每一部主機進行狀態的監控。無法提供服務的伺服器,ISA Server 將不會把使用者的請求導向至該主機。並且當主機需要維護時,管理者也可以手動的將主機設定為「排出(Draining)」的狀態,如此將不會影響到既有的使用者,並且新的使用者也將不會被導向至該部主機。

伺服器發佈 ISA Server 2006 針對伺服器發佈所新增的功能有: 為 Exchange Server 相關的 web 存取設計了專屬的發佈精靈,可支援 Exchange 5.5、2000、2003 及 V12。 發佈作業可以針對單一的 Exchange Server或針對伺服器農場進行發佈。 為 SharePoint 設計了專屬的發佈精靈。 網站發佈精靈可以發佈單一網站、伺服器農場或者同時發佈多個網站。

憑證管理 對於安全的網路架構而言,憑證服務永遠扮演著重要的角色。特別是在 SSL 的運作機制中,憑證更是不可或缺的關鍵要素。但是也因為這樣的原因,當管理者在進行 ISA Server 相關設定時,卻常常因為憑證的問題而造成了系統無法正常運作。 ISA Server 2006 在憑證管理作業新增的功能有: 在單一的 Web Listener 中,支援多張憑證的使用。 在 ISA Serve 2006 的管理介面中可以直接檢視憑證的狀態 在警示功能中增加了憑證逾期的相關事件。 當憑證逾期時,管理者可以檢視或收到警示通知。

單一登入 當使用者經由 ISA Server 存取企業內部的多個網站時,由於每一個網站都啟用了自身的驗證機制,因此使用者必須要對每一個網站進行各自的身份驗證,如此將造成使用者在使用上的不便。 藉由 ISA Server 2006 所提供的 SSO,使用者在通過驗證後,便可以不需要單獨的對後端每一個網站進行額外的身份確認。 使用 SSO 的條件為: ISA Server 使用表單驗證機制驗證使用者身份。 ISA Server 所發佈的網站必須採用相同的 DNS 尾碼。

連結轉換 當企業內部網站被發佈至 Internet 時,網頁中超連結所指向的路徑,可能會有讓外部使用者無法存取的問題。這是因為網頁中超連結所指向的都是外部網路所存取不到的內部網路位址(主機名稱)。 藉由 ISA Server 所提供的連結轉換功能,這樣的問題可以輕鬆解決。因為在啟用連結轉換功能後,ISA Server 可以將網頁中超連結所指向的內部位址相對轉換為外部位址,或者也可以利用關鍵字的方式,將特定的內部位址轉換為外部位址。 ISA Server 2006 除了保有此項功能外,另外更加強了此功能,強化的部分有: 自動化連結轉換。 當網站被發佈時連結轉換功能將自動啟用。 全新設計的轉換引擎。 支援多國語系字元。

企業分公司安全性 整合的安全性 有效的管理 快速安全的存取 BITS 快取 自動化的 VPN 連線工具 卸除式媒體上的回應檔案 提供 HTTP 流量壓縮 提供 DiffServ IP 設定

BITS 快取 BITS (Background Intelligent Transfer Service ) 是一種用來傳遞大量資料的技術。資料是以片段的方式利用網路閒置的時候進行傳遞,因此並不直接影響網路效能。現有 Windows Update 的機制便是利用這樣的方式傳遞大量檔案。 對於企業而言 Windows Update,是維持網路安全重要的基石。然而進行 Windows Update 時所耗用的頻寬,卻是企業網路必須付出的代價。雖然藉由 BITS 的技術,可以將更新時,網路所必須花費的成本降低。但是對於小型的網路環境而言,這仍然會造成一定的衝擊。 BITS 快取是 ISA Server 2006 所加入的新功能。藉由此功能 ISA Server 的除了快取一般的 HTTP 資料外,另外也可以針對 BITS 的資料進行快取。並且在快取規則中,預設也針對了 Windows Update 相關的網站啟用了 BITS 快取的機制。

簡化分公司 VPN 環境之部署 現今的企業為了節省其網路通訊的成本,大多都會在總公司與分公司之間建置 Site to Site VPN 的解決方案。 藉由 ISA Server 所提供完善的 VPN 解決方案,企業可以輕易的在總公司與分公司之間建構出功能完整的 VPN 網路環境。 但是對於大多數的企業而言,其分公司對於資訊人員的編制通常都有人力不足,甚至是沒有資訊人員編制的現象。因此在建構 VPN 環境時,或多或少都會造成一些影響。 為了改善這樣的現象,ISA Server 2006 除了保有原先 ISA Server 2004 所有 VPN 的相關功能外,另外更增加了對於分公司 VPN 環境建置的支援。

簡化分公司 VPN 環境之部署 (續) Branch Office VPN Connectivity Wizard 是一支可以用來簡化分公司 VPN 設定的精靈。其主要功能如下: 用以自動建立分公司與總公司的 VPN 連線,可支援 L2TP 及 IPSec。 將 ISA Server 加入網域。 將 ISA Server 加入 現有陣列環境或建立新的陣列。 在分公司 ISA Server 可以執行 Branch Office VPN Connectivity Wizard 之前,總公司 ISA Server 必須先行設定完成。需要的設定有 Remote Site Network 的建立及設定適當的網路規則及存取規則。 Branch Office VPN Connectivity Wizard 的執行程式位於 ISA Server 2006 的安裝目錄中,執行檔名稱為:AppCfgWzd.exe 。 Branch Office VPN Connectivity Wizard 之執行,可以採精靈的方式一步步的完成,或者管理者可以事先利用 Branch Office VPN Connectivity Wizard 建立自動回應檔,而後在執行精靈時指定以回應檔作為設定依據。

HTTP 流量壓縮與 DiffServ IP HTTP 流量壓縮 DiffServ IP ISA Server 2006 提供 HTTP 流量壓縮的功能。 藉由 HTTP 流量壓縮可以讓資料在傳遞時變的更有效率。 ISA Server 2006 可以提供壓縮過的資料給用戶端或者是向特定的網路要求取得經過壓縮的資料。 DiffServ IP 當分公司與總公司之間的通訊有不同的重要性時,假如可以根據封包的優先順序來區分封包,則如此便能善用有限的頻寬。 ISA Server 2006 可以藉由使用差異服務 (DiffServ) 通訊協定來針對 HTTP 相關流量提供排定封包優先順序。 DiffServ 通訊協定能提供一種架構,以便於網際網路上部署可擴充的服務辨識。DiffServ 會在每個封包的 IP 標頭中,使用標籤來標示其優先順序,如此封包在傳輸時便可以依照其優先順序進行傳遞。

網際網路存取保護 整合的安全性 增強流量恢復功能 增強的蠕蟲恢復功能 完善的警示觸發程序與回應 有效的管理 增強的資源控制

對抗來自於網路的威脅 對於現今的網路環境而言,分散式阻斷服務攻擊與網路蠕蟲是最主要的威脅來源… ISA Server 2006 所提供的流量恢復功能可以用以對抗類似的網路威脅: 大量網路蠕蟲散播的攻擊。 同步(Syn)攻擊。 阻斷服務攻擊。 分散式阻斷服務攻擊。 HTTP 炸彈攻擊。

對抗來自於網路的威脅 (續) 流量恢復功能同時也可以經由資源控管的機制防止 ISA Server 遭受到阻斷服務攻擊,防禦的機制有: Log throttling:當攻擊行為超過臨界值時,ISA 會暫時停止記錄相關的攻擊行為。 Control of memory consumption:ISA 會針對系統記憶體進行監控。當系統資源不足時,ISA 將會停止提供服務給新的連線;但是會既有的連線將會繼續提供服務。並且此功能只有在 ISA 遭受到攻擊時才會自動啟動。 Control of pending DNS queries:此機制可用以防止用戶端以大量的 DNS 解析動作造成 ISA 需要處理過多待處理的名稱解析查詢。

Summary ISA Server 已針對微軟網路環境進行最佳化 ISA Server 同樣適用傳統網路應用程式之環境 藉由整合性的 VPN 服務,ISA Server 可提供較佳的 VPN 網路安全性 藉由 ISA Server 企業版,管理者可打造出具高延展性與高可用性的網路環境 透過整合 3-Party 元件,ISA Server 可輕易擴充安全防護功能,如網路防毒等…

Resources Microsoft ISA Server Product Home http://www.microsoft.com/isaserver Microsoft ISA Server Product Home, Taiwan http://www.microsoft.com/taiwan/isaserver Microsoft ISA Server TechCenter, Taiwan http://www.microsoft.com/taiwan/technet/isa/default.mspx