《实现远程访问安全幻灯片.ppt》由会员分享,可在线阅读,更多相关《实现远程访问安全幻灯片.ppt(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、实现远程程访问安全安全第1页,共29页,编辑于2022年,星期五标题标题第2页,共29页,编辑于2022年,星期五脆弱的网络脆弱的网络uu网络本身的脆弱性网络本身的脆弱性uu病毒、蠕虫泛滥病毒、蠕虫泛滥uu攻击时间越来越多攻击时间越来越多uu攻击方法越来越多攻击方法越来越多uu网络信息资源的风险网络信息资源的风险uu人为因素人为因素第3页,共29页,编辑于2022年,星期五黑客常用的攻击手段黑客常用的攻击手段uu网络监听网络监听uu数据篡改数据篡改uu欺骗欺骗uu中间人攻击中间人攻击uu密码破解密码破解uu缓冲区溢出缓冲区溢出第4页,共29页,编辑于2022年,星期五什么是纵深防御?什么是纵深
2、防御?使用分层的方法:使用分层的方法:uu增加攻击者被检测到的风险增加攻击者被检测到的风险 uu降低攻击者的成功几率降低攻击者的成功几率安全策略、过程和教育安全策略、过程和教育策略、过程和意识策略、过程和意识警卫、锁、跟踪设备警卫、锁、跟踪设备物理安全物理安全应用程序强化应用程序强化应用程序应用程序操作系统加固、身份验证、操作系统加固、身份验证、更新管理、防病毒更新和审核更新管理、防病毒更新和审核主机主机网段、网段、IPSec、NIDS内部网络内部网络防火墙、边界路由器和具有隔离防火墙、边界路由器和具有隔离过程的过程的 VPN周边网络周边网络强密码、强密码、ACL、加密、加密、EFS、备份与还
3、原策略备份与还原策略数据数据第5页,共29页,编辑于2022年,星期五边缘防御的目的和限制边缘防御的目的和限制uu正确配置的防火墙和边界路由器是边缘安全的基础正确配置的防火墙和边界路由器是边缘安全的基础uuInternet Internet 和移动性增加了安全风险和移动性增加了安全风险和移动性增加了安全风险和移动性增加了安全风险uuVPN 使边缘变得脆弱,并与无线联网一起在本质上造使边缘变得脆弱,并与无线联网一起在本质上造成了网络边缘的传统概念的消失成了网络边缘的传统概念的消失 uu传统的数据包筛选防火墙只阻止针对网络端口和计算传统的数据包筛选防火墙只阻止针对网络端口和计算机地址的攻击机地址的
4、攻击uu现今大多数攻击都发生在应用程序层现今大多数攻击都发生在应用程序层现今大多数攻击都发生在应用程序层现今大多数攻击都发生在应用程序层 第6页,共29页,编辑于2022年,星期五企业应用移动化企业应用移动化 原有的应用系统原有的应用系统原有的应用系统原有的应用系统+移动能力移动能力移动能力移动能力=高效的移动信息平台高效的移动信息平台高效的移动信息平台高效的移动信息平台企业集成交换平台企业集成交换平台EAI(应用整合、数据接口)(应用整合、数据接口)(Biztalk Server)企业协作平台SPS,Exchange基本办公邮件新闻文档共享视频会议OA项目管理在线教育企业管理信息门户企业管理
5、信息门户(EIP)Sharepoint Portal Server电子商务网上营业厅企业网站外网应用对外门户CMS,CS,Biztalk经营报表在线分析财务人力资源企业管理管理分析、决策平台SQL Server 2000客服CRM资源管理ERP生产应用运营、业务支撑SQL Server统一用户管理(目录服务)统一用户管理(目录服务)(Windows Server 2003)基础网络架构基础网络架构(Windows Server 2003)运营维运营维护、安护、安全性保全性保障障(ISA,SMS,MOM)第7页,共29页,编辑于2022年,星期五设计目标设计目标uu减轻非授权的使用客户信用资料的
6、威胁减轻非授权的使用客户信用资料的威胁uu减轻不可靠访问装置的威协减轻不可靠访问装置的威协uu确保用户在网络检疫期间满足所有远程确保用户在网络检疫期间满足所有远程访问安全的必要条件访问安全的必要条件uu确保所有要求远程访问联接的装置不受确保所有要求远程访问联接的装置不受到其它装置访问的威胁到其它装置访问的威胁第8页,共29页,编辑于2022年,星期五身份认证身份认证-信息安全体系的基础信息安全体系的基础uu用于解决访问者的物理身份与数字身份一致性问题用于解决访问者的物理身份与数字身份一致性问题用于解决访问者的物理身份与数字身份一致性问题用于解决访问者的物理身份与数字身份一致性问题,给其它给其它
7、安全技术提供权限管理依据安全技术提供权限管理依据根据你所知道的信息来证明身份根据你所知道的信息来证明身份(What you know)假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;据你所拥有的物品来证明身份据你所拥有的物品来证明身份(What you have)假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;假设某
8、一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;直接根据你独一无二的身体特征来证明身份直接根据你独一无二的身体特征来证明身份(Who you are)如指纹、面貌等。如指纹、面貌等。如指纹、面貌等。如指纹、面貌等。单因子认证和双因子认证单因子认证和双因子认证-安全性的提高安全性的提高uu防火墙等技术针对数字身份进行权限管理,解决数字身份防火墙等技术针对数字身份进行权限管理,解决数字身份防火墙等技术针对数字身份进行权限管理,解决数
9、字身份防火墙等技术针对数字身份进行权限管理,解决数字身份能干什么的问题能干什么的问题能干什么的问题能干什么的问题第9页,共29页,编辑于2022年,星期五多因子认证多因子认证ClientClientDomainControllerPasswordSingle-factorAuthenticationMultifactor AuthenticationSmart Card and PINorBiometric and Password第10页,共29页,编辑于2022年,星期五多因子认证使用场景多因子认证使用场景CaseUse when:Administrative AccountsAdmini
10、strative AccountsPerforming Performing administrative activities administrative activities or for all logonsor for all logonsValidating a UserValidating a User s Identitys IdentitySending secure e-mailSending secure e-mailConnect to a Terminal ServerConnect to a Terminal ServerUsing a remote desktop
11、 Using a remote desktop connectionconnectionVirtual Private NetworksVirtual Private NetworksMobile users are Mobile users are connecting to the connecting to the networknetwork第11页,共29页,编辑于2022年,星期五用于多因子认证的装置用于多因子认证的装置可以用于实现多因子身份验证的设备可以用于实现多因子身份验证的设备:生态学设备生态学设备:视网膜视网膜 指纹指纹声音声音 DNAToken devices 智能卡智能
12、卡 存储卡存储卡 Hardware tokens (RSA SecurID)第12页,共29页,编辑于2022年,星期五在企业中使用智能卡在企业中使用智能卡Administrative AuthenticationRemote AccessAuthenticationSecureE-MailCodeSigningSigningCertificate RequestsTerminal ServicesClientAuthenticationSmart Cards第13页,共29页,编辑于2022年,星期五了解了解VPN隔离网络隔离网络隔离网络的标准功能包括:隔离网络的标准功能包括:诸如限制或阻止
13、获取对内部资源的访问权限的常规功能诸如限制或阻止获取对内部资源的访问权限的常规功能 提供一个连接级别,以允许临时访问者的计算机能有效地工提供一个连接级别,以允许临时访问者的计算机能有效地工作,同时又不会对内部网络带来安全性风险作,同时又不会对内部网络带来安全性风险当前仅适用于当前仅适用于 VPN 远程访问解决方案远程访问解决方案第14页,共29页,编辑于2022年,星期五VPN隔离隔离ISA 2004VPN tunnelVPNOKNetworksVPNVPN ClientsQuarantinedVPN ClientsRunchecks123456AllowSMB第15页,共29页,编辑于202
14、2年,星期五第16页,共29页,编辑于2022年,星期五第17页,共29页,编辑于2022年,星期五第18页,共29页,编辑于2022年,星期五第19页,共29页,编辑于2022年,星期五第20页,共29页,编辑于2022年,星期五避开防火墙检查的通信避开防火墙检查的通信 uu由于由于 SSL 是加密的,因此可以穿过传统防火墙,是加密的,因此可以穿过传统防火墙,这就使病毒和蠕虫未经检查即可穿过防火墙并感染这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器内部服务器uuVPN 通信是加密的,因此无法对其进行检查通信是加密的,因此无法对其进行检查uuInstant Messenger(IM)通
15、信经常不会受到通信经常不会受到检查,因此可能会用于传输文件检查,因此可能会用于传输文件第21页,共29页,编辑于2022年,星期五检查所有通信检查所有通信uu使用入侵检测和其他机制在解密了使用入侵检测和其他机制在解密了 VPN 通信后对通信后对其进行检查其进行检查请记住:深层防御请记住:深层防御请记住:深层防御请记住:深层防御uu使用可以检查使用可以检查 SSL 通信的防火墙通信的防火墙uu扩展防火墙的检查功能扩展防火墙的检查功能使用防火墙附件来检查使用防火墙附件来检查使用防火墙附件来检查使用防火墙附件来检查 IM IM 通信通信通信通信第22页,共29页,编辑于2022年,星期五SSL 检查
16、检查uu由于由于 SSL 是加密的,因此可以穿过传统防火墙,是加密的,因此可以穿过传统防火墙,这就使病毒和蠕虫未经检查即可穿过防火墙并感染这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器。内部服务器。uuISA Server 可以解密并检查可以解密并检查 SSL 通信。可以通过通信。可以通过重新加密或明文方式将已检查的通信发送到内部服重新加密或明文方式将已检查的通信发送到内部服务器。务器。第23页,共29页,编辑于2022年,星期五保护保护 Exchange Server 方法说明邮件发布向导配置 ISA Server 规则,以便将内部邮件服务安全地发布到外部用户邮件筛选器筛选进入内部网
17、络的 SMTP 电子邮件RPC 发布保护 Microsoft Outlook 客户端的本机协议访问。OWA 发布对于通过没有 VPN 的不受信任的网络访问 Microsoft Exchange Server 的远程 Outlook 用户,提供 OWA 前端保护第24页,共29页,编辑于2022年,星期五最佳做法最佳做法 uu使用多因子身份验证使用多因子身份验证uu使用使用ISA只允许明确允许的请求的访问规则只允许明确允许的请求的访问规则 uu使用使用 ISA Server 的身份验证功能限制和记的身份验证功能限制和记录录 Internet 访问访问 uu通过通过ISA Server发布特定的服
18、务器发布特定的服务器uu实现实现VPN隔离隔离uu使用使用 SSL 检查来检查进入网络的加密检查来检查进入网络的加密数据数据第25页,共29页,编辑于2022年,星期五使用的产品及技术使用的产品及技术uuWindows Server 2003Windows Server 2003uuMicrosoft Windows XP Microsoft Windows XP ProfessionalProfessionaluuMOM 2005MOM 2005uuVPNuuIASIASuuISA 2004 Standard EditionISA 2004 Standard EditionuuRADIUSR
19、ADIUSuuPKI and Certificate ServicesPKI and Certificate ServicesuuMicrosoft SQL Server 2000Microsoft SQL Server 2000uuConnection ManagerConnection ManageruuSmart card technologies第26页,共29页,编辑于2022年,星期五TechNet是什么是什么?uu只需轻轻点击,答案就在您的指尖只需轻轻点击,答案就在您的指尖只需轻轻点击,答案就在您的指尖只需轻轻点击,答案就在您的指尖对于对于对于对于IT IT 专业人员来说,专业人
20、员来说,专业人员来说,专业人员来说,TechNet TechNet 是一个知识的宝库,你可以找到是一个知识的宝库,你可以找到是一个知识的宝库,你可以找到是一个知识的宝库,你可以找到关于如何规划,部署和管理微软产品的的技术资源关于如何规划,部署和管理微软产品的的技术资源关于如何规划,部署和管理微软产品的的技术资源关于如何规划,部署和管理微软产品的的技术资源u u每月发放包含最新信息的每月发放包含最新信息的每月发放包含最新信息的每月发放包含最新信息的 DVD DVD或者或者或者或者CDCD这是最权威的资源,可以帮助你评估、配置和维护微软产品。这是最权威的资源,可以帮助你评估、配置和维护微软产品。这
21、是最权威的资源,可以帮助你评估、配置和维护微软产品。这是最权威的资源,可以帮助你评估、配置和维护微软产品。订阅订阅TechNetu u可以访问该站点可以访问该站点可以访问该站点可以访问该站点 网站网站u u两周发放一次的中文电子快报两周发放一次的中文电子快报两周发放一次的中文电子快报两周发放一次的中文电子快报安全更新安全更新安全更新安全更新,新的资源等等新的资源等等新的资源等等新的资源等等TechNet 中文电子快报中文电子快报u u有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报u u上机试验上机试验上机试验上机试验,“,“如何操作如何操作如何操作如何操作”等信息等信息等信息等信息TechNet 活动活动和网站消息和网站消息u u用户群用户群用户群用户群u u可管理的新闻组可管理的新闻组可管理的新闻组可管理的新闻组中文社区中文社区第27页,共29页,编辑于2022年,星期五我们从哪里可以了解到我们从哪里可以了解到 TechNet?uu访问访问访问访问TechNetTechNet的官方网站的官方网站的官方网站的官方网站 http:/ TechNetTechNet的订户的订户的订户的订户