《企业级服务器---.ppt》由会员分享,可在线阅读,更多相关《企业级服务器---.ppt(54页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、企业级服务器企业级服务器-ISA Server安全与速度的完美结合安全与速度的完美结合MICROSOFTINTRUCTIONS王博王博 Aaron.AloneISA SERVER 技术支持ISA 的设计目标的设计目标Secure,fast Internet connectivityAccelerationAccelerationFast Web Access with a High-Performance CacheSecuritySecuritySecure Internet Connectivity Through a Multilayered Firewall ManagementMan
2、agementExtensibilityExtensibilityUnified Management with Integrated Administration Extensible and Open Platform Microsoft Confidential4The ISA Initiative ICSAICSA国际认证国际认证国际认证国际认证 中国公安部中国公安部中国公安部中国公安部CNACLCNACL认证认证认证认证Perimeter Network with Three-Homed Firewall FirewallInternetPerimeter NetworkIntern
3、al NetworkPerimeter Network with Back-to-Back Firewalls ISA SRVISA SRVPerimeter NetworkInternetMicrosoft Confidential7企业对网络的真正需求企业对网络的真正需求uu1:安全的安全的Internet访问访问 uu2:快速的快速的Web访问访问uu3:统一和灵活的管理统一和灵活的管理uu4:开放和可扩展的平台开放和可扩展的平台Microsoft Confidential8需求需求1:1:安全安全的的Internet访问访问 uu多层次控制方式的防火墙多层次控制方式的防火墙多层次控制方
4、式的防火墙多层次控制方式的防火墙 (Multilayer)Multilayer)uu入侵检测功能入侵检测功能入侵检测功能入侵检测功能 (Intrusion Detection)Intrusion Detection)uu支持支持支持支持DMZDMZ区区区区(DMZ Zone)DMZ Zone)uu服务器发布功能服务器发布功能服务器发布功能服务器发布功能 (Server Publishing)Server Publishing)uu集成的集成的集成的集成的VPNVPN功能功能功能功能 (Integration VPN)Integration VPN)uu支持动态包过滤支持动态包过滤支持动态包过滤
5、支持动态包过滤(Dynamic Filter)Dynamic Filter)uu支持支持支持支持NAT NAT uu“安全锁紧安全锁紧安全锁紧安全锁紧”功能功能功能功能 (System Harden)System Harden)uu支持负载均衡支持负载均衡支持负载均衡支持负载均衡Microsoft Confidential9多层次控制方式的防火墙多层次控制方式的防火墙uu由下至上由下至上 保护每个层次保护每个层次vvIPIP层层层层vv静态过滤静态过滤静态过滤静态过滤vv动态端口过滤动态端口过滤动态端口过滤动态端口过滤vv协议层协议层协议层协议层vv基于会话的过滤基于会话的过滤基于会话的过滤基
6、于会话的过滤vv基于连接的控制基于连接的控制基于连接的控制基于连接的控制vv应用层应用层应用层应用层vv智能的内容探测智能的内容探测智能的内容探测智能的内容探测IP层Packetlevel应用层Applicationlevel电路层CircuitlevelMicrosoft Confidential10IP包过滤包过滤uu利用利用IP包头信息包头信息uu分析分析IP包内容包内容SrcDstpayloadport源地址?目标地址?内容是什么?请求的端口号需要什么服务)?IP HeaderUDP/TCP HDRPayloadMicrosoft Confidential11协议级的安全控制协议级的安
7、全控制uu会话与连接之间的关系会话与连接之间的关系 uu智能的监测和控制主连接智能的监测和控制主连接服务器客户端主连接第二连接Microsoft Confidential12应用层的安全控制应用层的安全控制uu智能检查智能检查uu支持内容的过滤和锁定支持内容的过滤和锁定uu防范已知的安全漏洞防范已知的安全漏洞ClientSMTP:VRFY*Company serverDNS:Zone attackHTTP:Virus!HTTP:Forbidden siteInternetFilters and Network Access Streaming Media SMTP DNS IntrusionF
8、irewall Access Policy Allow HTTP All Destinations Internal NetworkExternal NetworkRules AppliedStreaming Media SMTP Processing Outgoing Client Requests Is there asite and contentrule that denies therequest?Is there aprotocol rule that deniesthe request?Request frominternal clientDeny requestRetrieve
9、 objectIs there aprotocol rule that allowsthe request?YesNoNoYesYesNoNoIs there asite and contentrule that allows therequest?YesNoYesDoes an IP packet filterblock the request?Does a routingrule specify routing to an upstream server?YesRoute to upstream serverNoMicrosoft Confidential15入侵检测功能入侵检测功能Int
10、rusion DetectionIntrusion Detectionuu检测和预警检测和预警检测和预警检测和预警:vvAll types of Port ScanAll types of Port ScanvvPing of deathPing of deathvvUDP bomb attack UDP bomb attack vvWinNukeWinNukevvLand attacksLand attacksvvDNS attacksDNS attacksvvPOP3 attacksPOP3 attacksvv Others Othersuu支持开发自定义的应用过滤器支持开发自定义的应用过
11、滤器支持开发自定义的应用过滤器支持开发自定义的应用过滤器Configuring Intrusion Detection IP Packet Filters PropertiesGeneralOKCancelEnable detection of the selected attacks:Packet FiltersPPTPWindows out-of-band(WinNuke)LandPing of deathIP half scanUDP bombPort scanIntrusion DetectionDetect after attacks on10well-known portsDete
12、ct after attacks on20portsTo receive alerts about intrusion attacks,see the properties for specific alerts in the Alerts folder.Intrusion detection functionality based on technology from Internet Security Systems,Inc.,Atlanta,GA,USA,ApplyDNS intrusion detection filter PropertiesGeneralOKCancelFilter
13、 incoming traffic for the following:AttacksDNS host name overflowDNS length overflowDNS zone transfer from privileged ports(1-1024)DNS zone transfer from high ports(above 1024)ApplyApplyApplySelect AttacksSelect the options that are required to implement your monitoring strategy.Microsoft Confidenti
14、al17检测到入侵后可以采取的行动检测到入侵后可以采取的行动1.1.记入系统日志记入系统日志2.2.发送邮件发送邮件3.3.执行特定的应用程序执行特定的应用程序4.4.终止特定的服务终止特定的服务5.5.启动特定的服务启动特定的服务Microsoft Confidential18ISA 和和Proxy2.0不同的发布机制不同的发布机制uuProxy2.0 Proxy2.0*依赖依赖依赖依赖IIS IIS 服务服务服务服务*被发布的服务器需要被发布的服务器需要被发布的服务器需要被发布的服务器需要安装安装安装安装Proxy Client.Proxy Client.*不支持不支持不支持不支持SSLS
15、SL桥接技术桥接技术桥接技术桥接技术 uuISA ISA *完全独立运行的服务完全独立运行的服务完全独立运行的服务完全独立运行的服务,可以可以可以可以完全把完全把完全把完全把IISIIS卸载。卸载。卸载。卸载。*被发布的服务器无需安装任被发布的服务器无需安装任被发布的服务器无需安装任被发布的服务器无需安装任何软件。(设置为何软件。(设置为何软件。(设置为何软件。(设置为Secure Secure NET NET 客户端)客户端)客户端)客户端)*支持端口的重定向支持端口的重定向支持端口的重定向支持端口的重定向 (Port Port Mapping)Mapping)*支持支持支持支持SSLSSL
16、桥接技术桥接技术桥接技术桥接技术 (SSL SSL Bridging)Bridging)PublishingInternet192.168.9.1 131.107.3.1 External AdapterInternal AdapterWeb ServerInternal NetworkPublishing a Web ServerInternetafrica.internal.nwtraders.msft www.nwtraders.msft/africa europe.internal.nwtraders.msft Internal NetworkISA Serverwww.nwtrade
17、rs.msft/europe AfricaEuropePublishing a Mail ServerMail Server Security WizardMail Services SelectionSelect the mail services that you would like to publish to your external usersCancelSelect to apply content filtering to incoming SMTP traffic.Network Load Balancing InternetCacheCacheISA Server Arra
18、yPublished ServerCacheMicrosoft Confidential23需求需求2:快速快速的的Web访问访问uu改进的存储和检索机制改进的存储和检索机制uu内存缓存内存缓存(RAM caching)uu主动的和定时的内容下载主动的和定时的内容下载uu支持阵列支持阵列(Array&CARP)uu层次化的缓存系统层次化的缓存系统Microsoft Confidential24缓存的类型缓存的类型正向缓存正向缓存反向缓存反向缓存分布式缓存分布式缓存Internal NetworkInternal NetworkCacheCacheCacheCacheCacheWeb Serve
19、rInternetInternetInternetThe Forward Caching Process GET www.bjwne.msftGET GET www.bjwne.msftObject is sent from InternetObject is sent from cacheClient 1Client 2ISA ServerCache1 12 23 34 45 5InternetMicrosoft Confidential26Reverse Caching(互联网互联网 企业企业)InternetInternetISA ISA 服务器服务器服务器服务器CacheCacheWe
20、b Web 伺服器伺服器伺服器伺服器http:/http:/吸收吸收吸收吸收WebWeb负载负载负载负载的的的的冲击冲击冲击冲击ISA ISA 扮演扮演扮演扮演 WebWeb代理服务器代理服务器代理服务器代理服务器Microsoft Confidential27改进的存储和检索机制改进的存储和检索机制uu重新编写的存储和检索引擎重新编写的存储和检索引擎uu检索速度远超过检索速度远超过Proxy2.0uu评测中显示最佳性价比评测中显示最佳性价比http:/www.measurement- CachingRAMDiskCache DirectoryObjectsObjects1 1Request
21、http:/URL A4 4http:/URL ACache Directory BackupCache Entry 1AllocateCache Entry 12 26 6http:/URL AInternet3 35 5Batch UpdateMicrosoft Confidential29主动的和定时的内容下载主动的和定时的内容下载uu以以TTL为基础为基础uuISA自动分析缓存内容的寿命自动分析缓存内容的寿命uuISA自动下载并更新缓存内容自动下载并更新缓存内容uu使用拨号访问使用拨号访问Internet的用户应考虑使用定的用户应考虑使用定时下载内容的方式时下载内容的方式Microso
22、ft Confidential30需求:统一和灵活的管理需求:统一和灵活的管理uu基于规则的管理方式基于规则的管理方式基于规则的管理方式基于规则的管理方式uu灵活和方便的客户端部署灵活和方便的客户端部署灵活和方便的客户端部署灵活和方便的客户端部署uu账号可以和账号可以和账号可以和账号可以和Win2000Win2000活动目录集成活动目录集成活动目录集成活动目录集成uu基于基于基于基于MMCMMC的管理界面的管理界面的管理界面的管理界面uu完善的日志完善的日志完善的日志完善的日志,报表功能报表功能报表功能报表功能uu可订制的报警功能可订制的报警功能可订制的报警功能可订制的报警功能uu带宽控制机制
23、带宽控制机制带宽控制机制带宽控制机制(QoSQoS)uu多种帮助向导多种帮助向导多种帮助向导多种帮助向导uu方便的安装过程方便的安装过程方便的安装过程方便的安装过程Microsoft Confidential31基于策略的管理方式基于策略的管理方式uu统一的规则统一的规则(Rule)实施方案实施方案 vvFirewallFirewallvvCacheCachevvintegratedintegrateduu丰富的规则类型丰富的规则类型vv确保复杂环境下管理的统一确保复杂环境下管理的统一确保复杂环境下管理的统一确保复杂环境下管理的统一uu由上至下的规则实施结构由上至下的规则实施结构uu可以可以和
24、和Win2000活动目录集成活动目录集成Microsoft Confidential32由上至下的规则实施结构由上至下的规则实施结构uu策略的级别策略的级别策略的级别策略的级别vvEnterpriseEnterprisevvArrayArrayvvStand-aloneStand-aloneuu策略可以策略可以策略可以策略可以vv强制强制强制强制vv组合组合组合组合vv提升提升提升提升ArrayArrayArrayEnterpriseEnterpriseStand-aloneStand-aloneArrayArrayArrayArrayPromotePromotePromotePromoteA
25、ctive DirectoryActive DirectoryMicrosoft Confidential33企业级阵列级在规则实施上的关系企业级阵列级在规则实施上的关系EnterpriseEnterprisePolicyPolicyISAISAServer 1Server 1ISAISAServer 2Server 2ISAISAServer 3Server 3ISAISAServer 4Server 4ISAISAServer 5Server 5ISAISAServer 6Server 6ArrayArrayPolicy 1Policy 1ArrayArrayPolicy 2Policy
26、2ArrayArrayPolicy 3Policy 3ISAISAServer 7Server 7StandaloStandaloConfigurationConfigurationCombining Enterprise Policies and Array Policies PropertiesGeneralOKCancelUse array policy onlyUse array policy onlyApplySpecify whether enterprise policies should be enabled for this array.Then,select the ent
27、erprise policy you want to apply.Allow publishing rulesForce packet filtering on the arrayOutgoing Web RequestsIncoming Web RequestsPoliciesAuto DiscoveryPerformanceSecurityUse default enterprise policy settingsUse custom enterprise policy settingsUse this enterprise policy:Enterprise Policy 1Allow
28、array-level access rules that restrict enterprise policySelect this option to allow array-level settings.Cach Arry Routing Protocol Internetarray.dll?Get.Info.v1 Web Proxy ClientServer 2Server 1Server 3Server 4Server 5Server 1Server 2Server 3Server 4Server 5Array Membership ListConfiguring CARPLONDO
29、N PropertiesOKCancelAddAddApplyGeneralOutgoing Web RequestsIncoming Web RequestsPoliciesAuto DiscoveryPerformanceSecurityUse the same listener configuration for all internal IP addresses.Configure listeners individually per IP addressIdentificationEnable SSL listenersServerIP AddressDisplay NAuthent
30、ic Server CLONDON ISA:Reliability,performance,AuthenticationNSCP-ISA:Reliability,performance,Authenticationuu能源工业:能源工业:能源工业:能源工业:Shell Shell vv75,000 Win2k desktops running ISA firewall client75,000 Win2k desktops running ISA firewall clientvv6 ISA servers be deployed on Win2k DC in 3 data centers 6
31、 ISA servers be deployed on Win2k DC in 3 data centers around the world.around the world.vvEvaluating ISA over Firewall-1Evaluating ISA over Firewall-1uu金融证券业:金融证券业:金融证券业:金融证券业:Celestial Asia Securities Holdings(Cash)Celestial Asia Securities Holdings(Cash)vvWin over Firewall-1 for e-commerce scenar
32、io(publishing)Win over Firewall-1 for e-commerce scenario(publishing)vvWin over PIX for DMZ scenario(secure internet access)Win over PIX for DMZ scenario(secure internet access)uu教育业:教育业:教育业:教育业:University of Texas(University of Texas(德州大学)德州大学)德州大学)德州大学)vvISA in production as Firewall 10K usersISA
33、in production as Firewall 10K usersMicrosoft Confidential51ISA 的中国用户的中国用户uu金融:上海浦发银行金融:上海浦发银行uu制造:贝尓中国有限公司制造:贝尓中国有限公司 西门子中国有限公司西门子中国有限公司uu零售:左丹奴中国有限公司零售:左丹奴中国有限公司uu运输:中国远洋运输有限公司运输:中国远洋运输有限公司uu教育:上海浦东教育网教育:上海浦东教育网,重庆大学重庆大学uu能源:深圳燃气集团能源:深圳燃气集团uu政府政府:上海市政府上海市政府 Microsoft Confidential52ISA Server It is not aloneA Community of ISVs公司联系方式:联系人:联系人:张鑫 王博TEL:82625355 62527162 62610585E-Mail: