進階應用層防火牆實務 謝長明 技術總監 長成資訊顧問股份有限公司.

Slides:



Advertisements
Similar presentations
应用技术 陕西华辉科技有限公司.
Advertisements

泛舆情管理平台 ——助力媒体业务创新 新模式 新格局 创新盈利增长点 2/26/2017 1:59 AM 屈伟: 创始人,总裁
中国银行业前置端操作系统移植研究.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
借助公有云实现游戏的弹性运营 Shaun Fang (方兴) Azure开发技术顾问
吴峻 软件设计工程师组长 Exchange Server 微软有限公司
王书贵 资深分析师 CCW Research 计世资讯
深市协助执法及证券查询业务介绍 客户服务部 China Securities Depository
MIE-311 Mobile Network Security
Database Architecture, not only DBA
抱怨處理技巧 高雄捷運公司 公共事務處 胡宜萍 安全 ‧ 便捷 ‧舒適 ‧ 可靠
请点击以下链接下载WinHEC的演讲材料
1. 设定愿景,确定业务场景 Microsoft Corporation
金融信息安全人才培养的思考与实践 中央财经大学 朱建明 2012年11月24日.
精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP
張書源 Microsoft MVP MCT 趨勢科技 技術經理 網酷科技 資深顧問 集英信誠 資深顧問
企業如何建置安全的作業系統 Windows XP 網路安全
Office 2013 全新功能介紹 台灣微軟 Office 大使 楊承恩 Marcus Microsoft Office
——打造科技金融升级版 中国建设银行顺德分行 2015年6月.
2017年9月14日12时3分 DEV349 Visual C 无缝集成,无限潜力 李建忠 微软特约讲师 上海祝成科技
四川省集体林权流转平台 中国西部林权交易网
网络入侵初步.
W371 如何使网络设备更好的和Windows Vista工作
IIS網站的安全性管理 羅英嘉 2007年4月.
利用 ISA Server 2004 建置應用層防護機制
MBL 340 Tablet PC SDK:在您的应用程序中使用数字墨水
Windows Vista 操作系统最新安全特性
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
华南师范大学 防火墙 华南师范大学
轉移Windows XP的使用者環境到Windows Vista
11/17/2018 5:15 PM 病毒,间谍软件最新趋势 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes.
Mobile & Embedded DevCon 2005 朱敏博士 微软有限公司
安全更新管理 精誠恆逸資訊 資深講師 職念文.
从UNIX到Windows的 电信软件移植实践
Microsoft Office SharePoint Server 2007 事件追蹤與專案管理
MSG 321 统一消息架构和PBX集成.
利用最新Hyper-V Replica 功能達成Hyper-V 災難備援機制
Windows Server 2008 NAP整合802.1x網路安全控管
驗證使用者 (與AD結合).
互聯網安全資訊 助您達至更安全的網上體驗.
MSG 330 Exchange服务器性能调节技巧
《电子商务概论》高等教育出版社 2003版 市场营销系
凌云 计算机病毒分析师 安全商业和技术部 微软有限公司
服務啟用、導入流程、 郵件移轉步驟簡介 Microsoft Office 12/2/2018
第14章虚拟专用网技术与应用实验.
TechNet 網路廣播 Welcome.
第12章 远程访问、NAT技术.
凌宁 系统工程师 亚洲区嵌入式系统事业群 微软(中国)有限公司
2/24/2019 5:40 AM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
ISA Server 2004.
OFC321 InfoPath在企业解决方案中应用的最佳实践
SQL Server Mobile 2005 程序开发(三)
橫跨電腦、手機與軟體的全方位端點管控解決方案
4/30/2019 7:40 AM 約翰福音 15:9;17:20-23 加拉太書 6:1-2 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product.
DEV 343 VS2005超快速开发方案/EEP2006控件包.
5/4/2019 4:42 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
微軟資安稽核解決方案 System Center 2012
TechEd /6/ :36 PM © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks.
5/5/2019 7:06 PM 两跨框架梁截面配筋图的绘制 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
SQL Server Mobile 2005 程序开发(二)
MBL302 设计Windows Mobile应用程序的用户界面
DEV 343 VS2005超快速开发方案/EEP2006控件包.
國立新港藝術高中申請TANet新世代網路連線計畫書
第10讲 Web服务.
蔺华 ISV开发合作经理 平台及开发技术部 微软(中国)有限公司
固若金湯的多層次防禦 謝長明 技術總監 長成資訊顧問股份有限公司.
MGT 213 System Management Server的昨天,今天和明天
MSG 361 如何从Exchange 5.5迁移 胡义 咨询顾问 上海星移软件有限公司 2019年7月31日8时9分
強化 Windows 平台 唐任威 資深講師.
高擴充高穩定高安全 企業級資料管理平台 Report Builder概論 錢曉明 資策會 資深講師 台灣微軟 資深講師.
Presentation transcript:

進階應用層防火牆實務 謝長明 技術總監 長成資訊顧問股份有限公司

講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路

ISA Server 2004的網路架構 ISA 2004

ISA Server 2004 的管理規則 Outbound Inbound 防火牆的存取規則 網頁伺服器發佈規則 SSL網頁伺服器發佈規則 郵件伺服器發佈規則 SMTP /NNTP POP3/IMAP4 RPC HTTP

防火牆的管理規則

*如何建立防火牆的存取規則

講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路

即使是SSL封包,ISA 2004的HTTP 篩選器也能夠防止網頁型態的攻擊 因為通道是加密的所以SSL封包直接通過傳統的防火牆 代理驗證 ISA 2004的 HTTP 篩選器 ISA 2004能夠先針對SSL封包予以解密後做檢查 網站要求驗證 ISA 2004 預先驗證使用者,僅允許的封包才能通過 即使是SSL封包,ISA 2004的HTTP 篩選器也能夠防止網頁型態的攻擊 HTTP 篩選器 病毒或者蠕蟲也可能通過 SSL SSL SSL or HTTP 網際網路 ISA Server 2004 傳統防火牆 網站/ OWA 網際網路使用者 因為通道是加密的所以SSL封包直接通過傳統的防火牆 解開封包做檢查後,接著可以 再加密或直接以明碼送去內部 感染內部伺服器

ISA 2004的HTTP篩選器 利用HTTP篩選器可以 保護SharePoint Portal Server 的存取安全 強化OWA、OMA、ROH、EAS的存取安全 防範各類網站伺服器(WWW)被惡意行為攻擊 管制P2P (MSN、Skype、SoftEther…)軟體 方法 GET, HEAD, POST… 副檔名 封鎖指定的副檔名,例如:.exe, .bat, .cmd, .com, .htw, .ida, idq, .htr, .idc, .shtm, .shtml, .stm, .printer, .ini, .log, .pol,.dat 等 簽章 封鎖內容包含有底下的特徵 .. , ./ , \ , : , % , & URL保護

HTTP篩選器範例 應用程式名稱 搜尋範圍 HTTP標頭 簽章 MSN Messenger 要求標頭 User-Agent: Windows Messenger MSMSGS AOL Messenger (and Gecko browsers) Gecko/ Yahoo Messenger Host msg.yahoo.com Kazaa P2P-Agent Kazaa, Kazaaclient: KazaaClient X-Kazaa-Network: KaZaA Gnutella Gnucleus Edonkey e2dk Morpheus Server

如何限制P2P軟體的使用 *管制MSN

講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路

ISA Server 2004 的快取 快取的方式有 特殊快取功能 Forward caching(正向快取) Reverse caching(反向快取) Distributed caching(分散式快取) 特殊快取功能 Scheduled caching(排程快取) Negative caching(過期快取)

快取伺服器部署基本型態(一) 正向快取 反向快取 分散式 快取 Internal Network Internet Cache Web Server ISA Server 2004 分散式 快取 Cache Internal Network Cache Cache Internet

快取內容

排程快取

過期快取

CARP 運作說明

啟用CARP功能

講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路

ISA 2004與NLB整合架構

網路負載平衡技術 NLB叢集主機的運作原則 NLB叢集主機操作的模式 在服務用戶端的連結要求期間,會定期向其他的NLB叢集主機發出『heartbeats』 若某NLB主機失效 其他的NLB主機將在5秒鐘後經由一個『convergence』的處理程序把失效的NLB主機從Cluster list中移除 若有新的connection,將會被分派到其餘的NLB主機 NLB叢集主機操作的模式 單點傳播 多點傳播 IGMP多點傳播

多重主機--相似性:無 以Source Port為判斷依據

多重主機--相似性:單一 以Source IP為判斷依據

多重主機--相似性:Class C 將Source IP 與255.255.255.0做遮罩

單一主機 以優先順序為依據

*ISA 2004如何與NLB整合應用

講授大綱 防火牆政策管理 應用層實務管理 快取機制與陣列 負載平衡的管理 虛擬的私有網路

虛擬私有網路的架構 VPN用戶端的遠端存取 點對點VPN遠端的網站 隔離的VPN用戶端存取

VPN用戶端的遠端存取(一) VPN用戶端

VPN用戶端的遠端存取(二) 通訊協定 PPTP L2TP Over IPSec 驗證方式 Windows 帳戶 RADIUS

點對點VPN遠端的網站(一)

點對點VPN遠端的網站(二) 支援的協定有 IP安全性通訊協定(IPSec)通道模式 IPSec上加第二層通道通訊協定(L2TP) IPSec (Internet Protocol security) Tunnel 可以與大部份的3rd Party硬體或軟體防火牆建立VPN通道 http://download.microsoft.com/download/f/0/5/f053f420-1bcd-41cf-9156-3d706926142d/Configuring%20IPSec.doc 安全性佳 IPSec上加第二層通道通訊協定(L2TP) L2TP over IPSec (Layer Two Tunneling Protocol over Internet Protocol security ) 點對點通訊協定(PPTP) PPTP (Point-to-Point Tunneling Protocol)

點對點VPN遠端的網站(三) 系統預設上 以一個網路區段代表 沒有設定網路關連性 禁止所有的通訊流量 支援NAT Traversal 系統預設上  以一個網路區段代表 沒有設定網路關連性 可以設定為Route 或NAT 禁止所有的通訊流量 支援NAT Traversal

部署VPN Site to Site--IP安全性通訊協定(IPSec)通道模式的步驟 建立虛擬私有網路 新增遠端網站 進階的IPSec設定 Phase I Phase II 建立VPN網路規則 設定為路由模式 建立防火牆原則 存取規則 單或雙向

*IP安全性通訊協定(IPSec)通道模式 Site To Site *IP安全性通訊協定(IPSec)通道模式

隔離的VPN用戶端存取(一) VPN用戶端

隔離的VPN用戶端存取(二) VPN 用戶端建立連線 系統檢查先檢查 系統檢查完成後 隔離的VPN用戶 Hotfix 病毒碼 ... Fault Tolerance: * Most content remains valid when members are added or removed from the array * Small amount of content migrated

摘要 彈性多重網路規劃,靈活掌控網路資源 著力本機安全強化,創造良好安全網路 應用層篩選多樣化,精確反制新型攻擊 陣列快取效能提高,負載平衡兼具容錯

© 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.