—营造健康网络生活环境 王立丰 amymax@263.net ISA与企业网络安全管理 —营造健康网络生活环境 王立丰 amymax@263.net
一、企业网络安全系统的构建 ISA的安全结构
企业为什么需要ISA2000 网络资源合理分配的需要 网络内容安全合法的需要 网络故障排除和内部安全的需要 员工上网管理的需要 费用控制的需要 网络资源共享使用的需要 提高网络速度和效率的需要
代理服务——资源共享 防火墙服务——安全管理 缓冲服务——提高网络效率 视频服务——多媒体支持 ISA2000主要解决的企业网络安全问题 代理服务——资源共享 防火墙服务——安全管理 缓冲服务——提高网络效率 视频服务——多媒体支持
ISA安全体系结构
防火墙功能 内网、外网访问控制 攻击检测 访问权限控制
代理服务功能 共享网络资源 实现高速上网 控制内部上网 控制协议使用 控制时间范围
加速功能 通过缓冲区提高上网速度 根据带宽优先级别调整上网速度
网络资源合理分配
网络资源管理范围 时间 协议 站点 内容 流量 权限
时间 对网络使用时间的控制 充分利用Schedule Rule
协议 对网络各种协议的控制 利用Protocol Rule 控制协议 自己建立新的协议
站点 对外部网络站点的控制 利用Destionation Rule实现对外部站点的控制
内容 对网络访问文件内容的控制 利用Content Rule实现对各种外部网络内容和各种文件类型的访问控制
流量 建立带宽优先级,分配优先级小组 通过Bandwith Rule 确定上网人员的不同优先级别
权限 通过权限管理,控制网络用户的对网络使用的不同权限 利用Incoming,Outgoing,Request 等控制不同的上网方式 通过Client Address Rule 分配不同的用户权限小组
分配管理的策略 站点内容规则 Site and Content Rule 协议规则 Protocol Rule 时间规则 Schedule Rule 优先权 Bandwith Rule 网络数据筛选规则 IP Packet Filter LAT和LDT 用户规则
站点内容规则 设置了不同用户对不同网络站点和内容的访问控制 什么人 什么时间 什么内容 什么方式
协议规则 通过对网络协议的控制,实现用户上网请求的控制 什么人 什么时间 可用的网络协议(不仅仅是浏览器方式的上网,包括邮件、专用客户端程序等实用的协议)
时间规则 通过制定时间规则,对不同的用户组进行上网时段的控制
优先权 分配不同的优先级别控制不同用户使用网络的优先级
LAT和LDT 建立基于IP地址的阵列,控制通过 ISA 访问网络的不同的用户IP地址段 通过基于Window Domain 的网络,控制不同的域用户通过ISA访问网络的方式
用户规则 通过对网络不同用户的分组和权限分配,管理不同用户上网 基于用户IP的小组划分方式 基于Windows用户管理机制的小组划分方式
访问策略 通过访问策略 利用已经设置好的规则控制网络访问权限 利用已经设置好的规则控制网络资源 利用已经设置好的规则控制网络使用时间 利用已经设置好的规则控制网络流量 利用已经设置好的规则控制网络应用程序
发布规则 通过发布规则 控制Web发布(向外、向内) 控制外部非法攻击 控制服务器间发布
IP筛选器 通过建立筛选器,实现网络协议数据包的筛选 控制网络远程计算机和本级计算机的各种网络协议的侦测方式 控制各种协议的使用
应用程序和Web筛选器 通过内置的应用程序过滤器,控制网络各种应用程序的使用,如邮件软件是否可以发送附件等 ISA提供了可扩展的开发接口,让用户可以根据需要扩充不同的筛选器
网络事件及时处理 通过系统监视功能(LOG、Report Job) 监视服务器 监视上网人员在线情况 监视网络使用的各种数据 IP,用户上网情况 接收发送流量 占用网络时间 网络各种事件发生情况
二、各种安全措施分析 常用安全管理功能
服务器管理 服务器状态监测 事件状态监测 工作状态监测 日常报告和日志
人员上网权限管理 内网访问权限 外网访问权限 浏览器权限 拨号上网管理
人员上网控制管理 部门及人员管理 外网资源管理 网站内容管理 上网时间管理
人员上网功能管理 上网功能管理 网络开通时间管理
人员上网安全管理 设置防范措施 查看预设措施 设置攻击控制
人员上网优先级管理 优先权分配 优先权使用时间管理
网络缓冲管理 设置预先下载
ISA其他常用网络管理 服务器设置 网络设置 日志和报表设置 客户端设置 警报设置
三、ISA实现网络安全管理 结合企业业务 加强安全管理
说明:ISA必须在真实的网络环境中配置,有些功能在没有其他计算机与ISA服务器连接的时候无法设置和看到效果 第一步:制定策略元素 第二步:组织控制策略 第三步:实施控制策略(启用否) 说明:ISA必须在真实的网络环境中配置,有些功能在没有其他计算机与ISA服务器连接的时候无法设置和看到效果
案例一:谁可以上网 手段 建立Client Address Set 建立 Access Policy 启用/不启用
案例二:何时让用户上网 手段 建立Schedule 策略 建立Access Policy 启用/不启用
案例三:是否允许使用邮件 手段 建立Protocol Set 建立Access Policy 启用/不启用
案例四:是否允许使用聊天软件 手段 建立Protocol Set 建立Access Policy 启用/不启用
案例五:是否可以上搜索引擎网 手段 建立Destination Set 建立Access Policy 启用/不启用
案例六:是否可以访问多媒体网页 手段 建立Content Set 建立Access Policy 启用/不启用
案例七:设置攻击检测 手段 设置 IP Filter 启用/不启用
案例八:防止外部非法入侵 手段 建立 Web Publish Rule 启用/不启用
案例九:设置不同的上网优先权 手段 建立Bandwith Set 建立Access Policy 启用/不启用
案例十:防止Nimda病毒 手段 建立Site and Content Set 建立Access Policy 启用/不启用
案例十一:防止ISA服务停止导致无法上网 手段 设置网络Client 的 Web Browser
安全管理,事在必行 ISA防火墙系统=全面的安全管理 感谢 安全管理,事在必行 ISA防火墙系统=全面的安全管理