《企业防火墙管理技巧高手攻略用ISA控制企业网络访问.ppt》由会员分享,可在线阅读,更多相关《企业防火墙管理技巧高手攻略用ISA控制企业网络访问.ppt(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、http:/ Address,Dest.Address,TTL,ChecksumTCPTCPHeaderHeaderSequence NumberSource Port,Destination Port,Checksum基于服务连接进行数据包传输,但是合法的网络基于服务连接进行数据包传输,但是合法的网络基于服务连接进行数据包传输,但是合法的网络基于服务连接进行数据包传输,但是合法的网络流量与应用层级的攻击都是流量与应用层级的攻击都是流量与应用层级的攻击都是流量与应用层级的攻击都是使用相同的服务连接使用相同的服务连接InternetExpectedHTTPTrafficUnexpectedHTT
2、PTrafficAttacksNon-HTTPTrafficCorporateNetworkhttp:/ Over Http增强OWA安全方便的向导功能与与VPNVPN完全集成完全集成对VPN提供过滤功能支持IPSec隧道模式的“站到站”VPN支持网络访问隔离保护保护Internet Internet Information ServerInformation Server和和SPSSPS的安全的安全为IIS和SPS提供SSL桥接功能易用的Web服务器发布向导支持AD,RADIUS,SecurID验证http:/ 三种类型的主要规则三种类型的主要规则三种类型的主要规则三种类型的主要规则 访问规
3、则访问规则访问规则访问规则 服务器发布规则服务器发布规则服务器发布规则服务器发布规则 WebWeb服务器发布规则服务器发布规则服务器发布规则服务器发布规则应用层过滤设定为规则的一部份应用层过滤设定为规则的一部份应用层过滤设定为规则的一部份应用层过滤设定为规则的一部份默认的系统策略默认的系统策略http:/ Server域控制器域控制器Web服务器服务器客户端客户端http:/ 2004ISA 2004的的的的 HTTP HTTP 筛选器筛选器筛选器筛选器SSLorSSLorHTTPHTTPSSLSSLISA2004ISA2004能够先能够先能够先能够先针对针对针对针对SSLSSL数据包予数据包
4、予数据包予数据包予以解密后做检查以解密后做检查以解密后做检查以解密后做检查解开数据包做检查后,接着可以解开数据包做检查后,接着可以解开数据包做检查后,接着可以解开数据包做检查后,接着可以再加密或直接以明文送去内部再加密或直接以明文送去内部再加密或直接以明文送去内部再加密或直接以明文送去内部HTTPHTTP筛选器筛选器筛选器筛选器即使是即使是即使是即使是SSLSSL数据数据数据数据包,包,包,包,ISA2004ISA2004的的的的HTTPHTTP筛选器也能够防止网页型态的攻击筛选器也能够防止网页型态的攻击筛选器也能够防止网页型态的攻击筛选器也能够防止网页型态的攻击InternetInterne
5、thttp:/ InternetInternet网站的流量网站的流量网站的流量网站的流量InternetInternet用户访问被发布网站的流量用户访问被发布网站的流量用户访问被发布网站的流量用户访问被发布网站的流量HTTPHTTP筛选器可以依据下列项目筛选器可以依据下列项目筛选器可以依据下列项目筛选器可以依据下列项目进行进行进行进行 HTTPHTTP协议的阻挡与过滤:协议的阻挡与过滤:协议的阻挡与过滤:协议的阻挡与过滤:方法、扩展名与方法、扩展名与方法、扩展名与方法、扩展名与URLURL请求头与请求正文请求头与请求正文请求头与请求正文请求头与请求正文响应头与响应正文响应头与响应正文响应头与响
6、应正文响应头与响应正文每一条防火墙规则的每一条防火墙规则的每一条防火墙规则的每一条防火墙规则的 HTTPHTTP筛选器设定都是独立的筛选器设定都是独立的筛选器设定都是独立的筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定因此管理员可以为每一条规则进行单独的设定因此管理员可以为每一条规则进行单独的设定因此管理员可以为每一条规则进行单独的设定利用利用HTTP筛选器保护网站筛选器保护网站ApplicationLayerApplicationLayerContentContentMSNBCIPHeaderIPHeaderSource Address,Dest.Address,TTL,Che
7、cksumTCPTCPHeaderHeaderSequence NumberSource Port,Destination Port,ChecksumHTTP筛选器http:/ 请求请求签名签名HTTP头头http:/ Request-URLRequest-URL中所指定的资源中所指定的资源中所指定的资源中所指定的资源HEADHEAD:测试客户端于:测试客户端于:测试客户端于:测试客户端于 Request-URLRequest-URL中所指定的资源中所指定的资源中所指定的资源中所指定的资源POSTPOST:上传窗体数据:上传窗体数据:上传窗体数据:上传窗体数据PUTPUT:将数据上传至客户端于
8、:将数据上传至客户端于:将数据上传至客户端于:将数据上传至客户端于 Request-URLRequest-URL中所指定的资源中所指定的资源中所指定的资源中所指定的资源DELETEDELETE:删除客户端于:删除客户端于:删除客户端于:删除客户端于 Request-URLRequest-URL中所指定的资源中所指定的资源中所指定的资源中所指定的资源OPTIONSOPTIONS:用以测试服务器端所支持的方法:用以测试服务器端所支持的方法:用以测试服务器端所支持的方法:用以测试服务器端所支持的方法TRACETRACE:用以进行应用层循环测试:用以进行应用层循环测试:用以进行应用层循环测试:用以进行
9、应用层循环测试CONNECTCONNECT:于:于:于:于 proxyproxy的架构中,建立通道的架构中,建立通道的架构中,建立通道的架构中,建立通道http:/ GETGET及及及及 POSTPOST方法方法方法方法阻止可执行程序及包含扩展名的服务器端阻止可执行程序及包含扩展名的服务器端阻止可执行程序及包含扩展名的服务器端阻止可执行程序及包含扩展名的服务器端阻止可能的恶意签名阻止可能的恶意签名阻止可能的恶意签名阻止可能的恶意签名使用使用HTTPFilterConfig.vbs进行进行HTTP筛选筛选器设定的导入和导出器设定的导入和导出(包含于包含于ISAServer2004SDK,可于,可
10、于Microsoft网站下载网站下载)http:/ Server管理控制台也可以查看报告管理控制台也可以查看报告http:/ 在线资源和社区在线资源和社区在线资源和社区在线资源和社区订户订户订户订户-仅仅提供在线服务仅仅提供在线服务仅仅提供在线服务仅仅提供在线服务TechNet网站网站两周发放一次的中文电子快报两周发放一次的中文电子快报两周发放一次的中文电子快报两周发放一次的中文电子快报安全更新安全更新安全更新安全更新,新的资源等等新的资源等等新的资源等等新的资源等等TechNet中文电子快报中文电子快报有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术
11、的简报有关最新微软产品介绍和技术的简报上机试验上机试验上机试验上机试验,“,“如何操作如何操作如何操作如何操作”等信息等信息等信息等信息TechNet活动活动和网站消息和网站消息用户群用户群用户群用户群可管理的新闻组可管理的新闻组可管理的新闻组可管理的新闻组中文社区中文社区http:/ technet/abouttn/subscriptions/flash.mspxtechnet/abouttn/subscriptions/flash.mspx加入到中文在线论坛加入到中文在线论坛加入到中文在线论坛加入到中文在线论坛 成为成为成为成为 TechNetTechNet的订户的订户的订户的订户/technet/technet参与到更多的参与到更多的参与到更多的参与到更多的TechNetTechNet活动中或者在线了解活动中或者在线了解活动中或者在线了解活动中或者在线了解/technet/technethttp:/