進階應用層防火牆實務 謝長明 技術總監 長成資訊顧問股份有限公司
講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路
ISA Server 2004的網路架構 ISA 2004
ISA Server 2004 的管理規則 Outbound Inbound 防火牆的存取規則 網頁伺服器發佈規則 SSL網頁伺服器發佈規則 郵件伺服器發佈規則 SMTP /NNTP POP3/IMAP4 RPC HTTP
防火牆的管理規則
*如何建立防火牆的存取規則
講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路
即使是SSL封包,ISA 2004的HTTP 篩選器也能夠防止網頁型態的攻擊 因為通道是加密的所以SSL封包直接通過傳統的防火牆 代理驗證 ISA 2004的 HTTP 篩選器 ISA 2004能夠先針對SSL封包予以解密後做檢查 網站要求驗證 ISA 2004 預先驗證使用者,僅允許的封包才能通過 即使是SSL封包,ISA 2004的HTTP 篩選器也能夠防止網頁型態的攻擊 HTTP 篩選器 病毒或者蠕蟲也可能通過 SSL SSL SSL or HTTP 網際網路 ISA Server 2004 傳統防火牆 網站/ OWA 網際網路使用者 因為通道是加密的所以SSL封包直接通過傳統的防火牆 解開封包做檢查後,接著可以 再加密或直接以明碼送去內部 感染內部伺服器
ISA 2004的HTTP篩選器 利用HTTP篩選器可以 保護SharePoint Portal Server 的存取安全 強化OWA、OMA、ROH、EAS的存取安全 防範各類網站伺服器(WWW)被惡意行為攻擊 管制P2P (MSN、Skype、SoftEther…)軟體 方法 GET, HEAD, POST… 副檔名 封鎖指定的副檔名,例如:.exe, .bat, .cmd, .com, .htw, .ida, idq, .htr, .idc, .shtm, .shtml, .stm, .printer, .ini, .log, .pol,.dat 等 簽章 封鎖內容包含有底下的特徵 .. , ./ , \ , : , % , & URL保護
HTTP篩選器範例 應用程式名稱 搜尋範圍 HTTP標頭 簽章 MSN Messenger 要求標頭 User-Agent: Windows Messenger MSMSGS AOL Messenger (and Gecko browsers) Gecko/ Yahoo Messenger Host msg.yahoo.com Kazaa P2P-Agent Kazaa, Kazaaclient: KazaaClient X-Kazaa-Network: KaZaA Gnutella Gnucleus Edonkey e2dk Morpheus Server
如何限制P2P軟體的使用 *管制MSN
講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路
ISA Server 2004 的快取 快取的方式有 特殊快取功能 Forward caching(正向快取) Reverse caching(反向快取) Distributed caching(分散式快取) 特殊快取功能 Scheduled caching(排程快取) Negative caching(過期快取)
快取伺服器部署基本型態(一) 正向快取 反向快取 分散式 快取 Internal Network Internet Cache Web Server ISA Server 2004 分散式 快取 Cache Internal Network Cache Cache Internet
快取內容
排程快取
過期快取
CARP 運作說明
啟用CARP功能
講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路
ISA 2004與NLB整合架構
網路負載平衡技術 NLB叢集主機的運作原則 NLB叢集主機操作的模式 在服務用戶端的連結要求期間,會定期向其他的NLB叢集主機發出『heartbeats』 若某NLB主機失效 其他的NLB主機將在5秒鐘後經由一個『convergence』的處理程序把失效的NLB主機從Cluster list中移除 若有新的connection,將會被分派到其餘的NLB主機 NLB叢集主機操作的模式 單點傳播 多點傳播 IGMP多點傳播
多重主機--相似性:無 以Source Port為判斷依據
多重主機--相似性:單一 以Source IP為判斷依據
多重主機--相似性:Class C 將Source IP 與255.255.255.0做遮罩
單一主機 以優先順序為依據
*ISA 2004如何與NLB整合應用
講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路
虛擬私有網路的架構 VPN用戶端的遠端存取 點對點VPN遠端的網站 隔離的VPN用戶端存取
VPN用戶端的遠端存取(一) VPN用戶端
VPN用戶端的遠端存取(二) 通訊協定 PPTP L2TP Over IPSec 驗證方式 Windows 帳戶 RADIUS
點對點VPN遠端的網站(一)
點對點VPN遠端的網站(二) 支援的協定有 IP安全性通訊協定(IPSec)通道模式 IPSec上加第二層通道通訊協定(L2TP) IPSec (Internet Protocol security) Tunnel 可以與大部份的3rd Party硬體或軟體防火牆建立VPN通道 http://download.microsoft.com/download/f/0/5/f053f420-1bcd-41cf-9156-3d706926142d/Configuring%20IPSec.doc 安全性佳 IPSec上加第二層通道通訊協定(L2TP) L2TP over IPSec (Layer Two Tunneling Protocol over Internet Protocol security ) 點對點通訊協定(PPTP) PPTP (Point-to-Point Tunneling Protocol)
點對點VPN遠端的網站(三) 系統預設上 以一個網路區段代表 沒有設定網路關連性 禁止所有的通訊流量 支援NAT Traversal 系統預設上 以一個網路區段代表 沒有設定網路關連性 可以設定為Route 或NAT 禁止所有的通訊流量 支援NAT Traversal
部署VPN Site to Site--IP安全性通訊協定(IPSec)通道模式的步驟 建立虛擬私有網路 新增遠端網站 進階的IPSec設定 Phase I Phase II 建立VPN網路規則 設定為路由模式 建立防火牆原則 存取規則 單或雙向
*IP安全性通訊協定(IPSec)通道模式 Site To Site *IP安全性通訊協定(IPSec)通道模式
隔離的VPN用戶端存取(一) VPN用戶端
隔離的VPN用戶端存取(二) VPN 用戶端建立連線 系統檢查先檢查 系統檢查完成後 隔離的VPN用戶 Hotfix 病毒碼 ... Fault Tolerance: * Most content remains valid when members are added or removed from the array * Small amount of content migrated
摘要 彈性多重網路規劃,靈活掌控網路資源 著力本機安全強化,創造良好安全網路 應用層篩選多樣化,精確反制新型攻擊 陣列快取效能提高,負載平衡兼具容錯
© 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.