企业网络纵深防御讲义PPT课件.pptx

IT专家网技术沙龙主题一 如何构建安全的企业内部网络主讲人 殷杰 1 前言 计算机网络已经深入我们的生活计算机网络安全问题日趋重视如何应对网络安全隐患如何打造安全的企业网络 2 目录 一 边界网络安全二 内部网络安全三 无线网络安全四 补丁和更新管理五 网络访问隔离六 用户行为管理七 其他和展望 3 Step1边界网络安全 ISA2004防火墙系统应用层筛选内部服务器的发布SSL通讯保护 4 目前的网络安全形势 工业 90 的Web站点存在安全隐患95 的安全问题可以用 配置 解决约70 的基于Web站点的攻击发生在应用层 安全 Internet上的设备日益增多远程访问用户普遍存在Web站点的数量急剧增加 5 管理员遇到的问题 怎么样防止员工访问任意的网站 怎么样防止员工任意的下载软件 怎么样防止员工使用任意的计算机上网 怎么样防止员工在任意的时间上网 怎么样阻止P2P软件 怎么样控制用户上网的带宽使用 怎么样防止用户使用外部代理 怎么样阻止员工使用私自安装的二级代理 6 传统防火墙的局限性 应用层攻击 Code Red Nimda IT部门已经面临超负荷的压力 有限和昂贵的带宽数据检测降低网络性能 陈旧设备面临淘汰需求增长需要购买更多设备 7 传统防火墙之包过滤 ApplicationLayerContent 仅有数据包头会被检查 无法识别应用层数据 基于服务连接进行数据包传输 但是合法的网络流量与应用层级的攻击都是使用相同的服务连接 8 随着网络安全在企业IT部门中的地位越来越重要 微软公司也重视到了这一点 经过4年的努力 微软在2004年发布了ISAServer2004 新版本的ISAServer将给重视安全的企业带来新的选择 ISAServer2004的优势 高级防护应用层的安全设计方案最大程度的保护应用程序 简单易用针对各种复杂场景的高效部署与管理 快速且安全的访问使用户能够以最高的效率安全的连接到网络 9 ISAServer2004新特性更新的安全结构 高级防护应用层安全设计最大程度的保护应用程序 深层防护 增强的 可自定义的HTTP筛选器全面灵活的策略支持IP路由 增强的ExchangeServer集成度 支持OutlookRPCoverHTTP增强的OutlookWebAccess安全性简单易用的配置向导 功能强大的VPN 统一的防火墙 VPN筛选支持站点到站点IPsec隧道模式网络访问隔离 全面的身份验证 增加对RADIUS和RSASecurID的支持基于用户和组的访问策略可扩展 10 ISAServer2004新特性新的管理工具和用户界面 多网络支持 不限制的网络定义应用到所有流量的防火墙策略针对每个网络的路由关系 网络模板和向导 向导简化了路由配置内置常见网络拓扑结构对常见场景的简单定义 可视化的策略编辑 基于单一规则的统一防火墙策略支持拖拽支持基于XML的配置文件的导入和导出 增强的排错能力 仪表板实时的日志监视任务板 简单易用有效的保护网络安全 11 高性能最大化应用层筛选速度 ISAServer2004新特性依然强大的集成性 增强的结构 高速数据传输充分利用硬件能力SSL桥接简化WEB服务器管理 Web缓存 更新的策略规则本地化服务组件 Internet访问控制 基于用户和组的WEB使用策略可扩展 12 ISAServer概览 根据内容转发只将合法HTTP流量发送到Web服务器 应用层内容 GET 序号源端口目标端口 源地址目标地址TTL 检查包头和应用层内容 Internet Web服务器 13 HTTP筛选器 提供了一种控制方法 14 HTTP筛选器可适用于 内部用户访问Internet网站的流量Internet用户访问被发布网站的流量HTTP筛选器可以依据下列项目进行HTTP协议的阻挡与过滤 方法 扩展名 与 URL 请求头 与 请求正文 响应头 与 响应正文 每一条防火墙规则的HTTP筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定 利用HTTP筛选器保护网站 ApplicationLayerContentMSNBC HTTP筛选器 15 HTTP筛选器示例 ISAServerWeb发布 ISAServer检查HTTP请求只转发允许的请求ISAServer可以发布多台服务器 Web服务器 传入流量 Internet http 39 1 1 1 17 安全的SSL流量 SSL隧道 无需进行流量检查即可保护内容机密SSL桥接 Internet上的客户端对通信内容进行加密ISAServer对流量进行解密并检查ISAServer将允许的流量发送到已发布的服务器 必要时对其进行重新加密 18 保护SMTP通信 基于SMTP的攻击 使用无效 过长或不寻常的SMTP命令攻击邮件服务器或收集收件人信息通过包含恶意内容 如蠕虫 对收件人进行攻击ISAServer通过以下方式保护邮件服务器 实施的SMTP命令与标准一致拦截禁止的SMTP命令拦截附件类型 内容 收件人或发件人受到禁止的邮件 ISAServer能够在攻击到达邮件服务器以前将其阻止 19 目录 一 边界网络安全二 内部网络安全三 无线网络安全四 补丁和更新管理五 网络访问隔离六 用户行为管理七 其他和展望 20 Step2内部网络安全 资产管理的重要性和必要性使用SMS2003管理资产SMS2003的软件度量功能 盗版软件克星软件限制策略 安全的保护神 21 ITPro深深的痛 绝大多数企业的IT管理现状很不理想问题 ITPro对于PC缺乏控制安全问题突出 补丁病毒间谍软件 很多企业 某种程度上就像一个免费的网吧 ITPro 修电脑的 22 ITPro的期望 23 当今系统运维的挑战 您知道自己系统中有多少台设备 分别运行在什么平台上 硬件配置如何 安装了什么软件 牺牲过n个周末进行系统升级 为安装一个驱动楼上 楼下跑 为了找出安装有xxx软件的机器而一台一台的查 有多少人利用公司设备在上班时间上网 看DVD 玩游戏 计算过损失吗 1000 t n 24 WhereWeAreToday SERVERS CLIENTS 25 SMS在企业中所扮演的角色 AssetManagement SecurityPatchManagement ApplicationDeployment LeveragingWindowsManagementServices SupportfortheMobileWorkforce 26 SystemCenter DistributedEnterprise ReportingServer 27 SMS2003的系统组件 ManagementPoint ServerLocatorPoint DistributionPoint ReportingPoint ClientAccessPoint SiteServer SMSSiteDatabase 28 SMS单一站点架构 29 SMS多站点架构 PrimarySite ChildandParentSite SecondarySite ChildSite Primary Central Site ParentSite PrimaryorSecondarySite ChildSite SQL SQL SQL SQL 30 自动化的资产管理 减少硬件 软件成本需要了解公司的硬件配置确定我公司拥有什么样的应用知道有多少应用软件被使用管理授权可以清楚的进行业务决定正确识别资产记录并且跟踪资产信息 31 软件 硬件信息收集机制 软件资产收集 SoftwareInventory 收集文件信息硬件资产收集 HardwareInventory 收集WMI信息 32 硬件信息收集配置 33 软件信息收集配置 34 软件信息 35 软件分发 简化商务软件部署流程OfficeSystemPrograms 计划工具扩展和改进目录和软件测量强大的部署工具以满足商业需求为目标把正确的应用准时部署给相应的用户更好的用户体验 DistributionServer Collection Program Package Client Client Client 36 规划工具 采用资产管理进行系统规划硬件目录我需要什么硬件去运行最近的应用软件 运行新的应用软件公司有多少电脑需要更新 软件目录可以知道有多少office被安装 部署一个应用软件可能的最大费用 如何去建立测试环境 软件计量哪位员工使用什么软件 使用多长时间 卸载不使用的应用程序保护软件版权 37 软件限制策略 SRP 软件限制策略默认规则不受限的不允许的其他规则HASH规则路径规则证书规则INTERNET规则 38 目录 一 边界网络安全二 内部网络安全三 无线网络安全四 补丁和更新管理五 网络访问隔离六 用户行为管理七 其他和展望 39 Step3无线网络安全 WEP的弱点RADIUS协议和认证使用IAS为无线设备保驾护航安全的无线网络 40 常见的无线网络风险威胁 了解无线网技术 802 1X astandardthatdefinesaport basedaccesscontrolmechanismofauthenticatingaccesstoanetworkand asanoption formanagingkeysusedtoprotecttraffic 无线网络部署方案 Wirelessnetworkimplementationoptionsinclude Wi FiProtectedAccesswithPre SharedKeys WPA PSK WirelessnetworksecurityusingProtectedExtensibleAuthenticationProtocol PEAP andpasswordsWirelessnetworksecurityusingCertificateServices 43 选择合适的无线网络解决方案 44 提供有效的验证和授权 45 保护数据传输安全 Wirelessdataencryptionstandardsinusetodayinclude WiredEquivalentPrivacy WEP DynamicWEP combinedwith802 1Xauthentication providesadequatedataencryptionandintegrityCompatiblewithmosthardwareandsoftwaredevicesWi FiProtectedAccess WPA WPA2 ChangestheencryptionkeywitheachframeUsesalongerinitializationvectorAddsasignedmessageintegritycheckvalueIncorporatesaframecounterWPA2providesdataencryptionviaAES WPAusesTemporalKeyIntegrityProtocol TKIP 46 802 1X的系统需求 802 1XwithPEAP如何工作 WirelessClient RADIUS IAS 1 ClientConnect WirelessAccessPoint 2 ClientAuthentication ServerAuthentication MutualKeyDetermination 4 5 3 KeyDistribution Authorization WLANEncryption InternalNetwork 48 WLANNetwork的网络服务 BranchOffice Headquarters WLANClients DomainController DC RADIUS IAS CertificationAuthority CA DHCPServices DHCP DNSServices DNS DHCP IAS DNS DC AccessPoints IAS CA DC IAS DNS DC Primary Secondary Primary Secondary WLANClients AccessPoints 49 目录 一 边界网络安全二 内部网络安全三 无线网络安全四 补丁和更新管理五 网络访问隔离六 用户行为管理七 其他和展望 50 Step4补丁和更新管理 1 补丁的重要性和产品生存周期2 与病毒赛跑 及时安装补丁是保护系统安全的最基本方法3 微软提供的软件补丁更新方法4 使用WSUS进行补丁管理5 使用SMS2003进行补丁管理和分发 51 商业价值漏洞攻击时间表实例 冲击波 我们已经收到漏洞报告 正在开发安全更新 公告和安全更新都可以得到 没有可以利用的蠕虫 向公众发布代码 蠕虫 July1 July16 July25 Aug11 报告RPC DDOM中的漏洞被报告MS激活最高级别的应急响应过程 公告MS03 026告诉用户这个漏洞 7 16 03 继续把服务扩大到分析者 媒体 社会 合作伙伴以及政府机构 利用X focus发布漏洞利用工具MS加大力量来告知用户 蠕虫冲击波被发现 不同的病毒共同攻击 比如 SoBig 如何赶在蠕虫发作之前为系统安装上安全补丁将成为解决问题的关键 开始与时间赛跑 要赶在攻击开始之前保护您的系统并为其安装上软件安全更新 52 更新管理解决方案 更新管理解决方案 Administratorsubscribestoupdatecategories ServerdownloadsupdatesfromMicrosoftUpdate Clientsregisterthemselveswiththeserver Administratorputsclientsindifferenttargetgroups Administratorapprovesupdates Agentsinstalladministratorapprovedupdates MicrosoftUpdate WSUSServer DesktopClientsTargetGroup1 ServerClientsTargetGroup2 WSUSAdministrator WSUS概览 管理WSUS管理更新 56 SMS2003 安全补丁更新管理 维护IT环境的完整性确定关键的系统升级确定易受攻击的系统可靠并快速的发送系统升级准确的发送状态报告系统化的处理需要控制打补丁升级的过程减少系统升级管理部署的成本增加系统升级管理的可靠性和效力 57 SMS2003 安全补丁更新管理 IT环境完整性弱点评估 利用MBSA PatchUpdate状态和验证报告结构 流程 控制以FeaturePack形式集成到SMS2003中利用SMS2003的结构有效的利用带宽 Delta BITS 灵活制定分发的策略提高最终用户的体验 58 1 评估需要打软件安全更新的环境阶段性任务A 生成 保留系统基础架构B 建立软件安全更新管理体系 是否满足需求 C 复查体系架构 设置进行中的任务A 发现资源B 列客户端清单 1 评估 2 鉴定 4 部署 3 评价和计划 2 鉴定新的软件安全更新任务A 获知新软件安全更新B 确定软件安全更新相关信息 包括威胁评估 C 确认软件安全更新的权威性和完整性 3 评价并计划软件安全更新部署过程任务A 进行风险评估B 计划软件安全更新发布过程C 完成软件安全更新可行性测试 4 部署软件安全更新任务A 分发并安装软件安全更新B 写进程报告C 解决意外情况D 复核发布情况 安全补丁更新管理流程 59 系统补丁升级报告 60 目录 一 边界网络安全二 内部网络安全三 无线网络安全四 补丁和更新管理五 网络访问隔离六 用户行为管理七 其他和展望 61 Step5网络访问隔离 IPSEC策略介绍网络访问隔离 NAP 和IPSEC 62 数据传输面临的威胁 窃听数据篡改身份欺骗拒绝服务攻击中间人攻击Sniffer攻击应用层攻击盗用口令攻击 63 加密术语 加密透过数学公式运算 使文件或数据模糊化用于秘密通讯或安全存放文件及数据解密为加密的反运算将已模糊化的文件或数据还原密钥是加密 解密运算过程中的一个参数实际上是一组随机的字符串 64 加密方法 对称式加密非对称式加密哈希加密 65 IPSEC的特点 IPSec是工业标准的安全协议 它工作在网络层 可以用于身份验证 加密数据及对数据做认证 总之 IPSEC被用于保护网络中传输数据的安全性 IPSEC的好处 在通信前作双向的身份验证通过对数据包加密保证数据包中数据的机密性通过阻止对数据包的修改保证数据的一致性和原始性防止重播攻击IPSec对使用者及应用程序是透明性可以使用活动目录集中管理IPSEC策略 66 IPSEC的功能 可以使用ESP加密数据以及使用AH对数据作数字签名 路由器 路由器 Tunnelmode 可以使用传送模式来保护主机之间的安全 可以使用隧道模式来保护两个网络的安全 ESP AH 路由器 Transportmode 67 IPSEC协议组件 IKE InternetKeyExchange 协商AH AuthenticationHeader 数据完整性ESP EncapsulatingSecurityPayload 数据加密 68 IPSEC处理过程 3 69 创建IPSec安全策略 IP安全策略 规则 IP筛选器列表 IP筛选器列表 IP筛选器列表 IP筛选器列表 IP筛选器列表 筛选器操作 IP筛选器 可以指派给域 站点和组织单位 IPSEC策略和规则 IPSec使用策略和规则保护网络通信的安全规则由下列组件组成 筛选器筛选器操作身份验证方法默认策略包括 Client 仅响应 服务器 要求安全性 安全服务器 需要安全性 71 默认策略联合 自定义策略 IPSEC规则筛选器列表 IPFilterList 筛选器操作 FilterAction 允许 阻止 协商安全隧道端点 TunnelPoint 传送模式 隧道模式网络类型 NetworkType 局域网络 远程访问 所有网络身份验证方法 AuthenticationMethods KerberosV5 证书 预共享密钥 73 什么是网络隔离 引入逻辑数据隔离防御层的好处包括 额外的安全性对可以访问特定信息的人员进行控制对计算机管理进行控制抵御恶意软件的攻击加密网络数据的机制 网络隔离 在直接IP互连的计算机之间 能够允许或禁止特定类型的网络访问 识别受信任的计算机 受信任的计算机 受管理的设备 处于已知状态并且满足最低安全要求 不受信任的计算机 可能未满足最低安全要求的设备 主要因为此设备未受到管理或集中控制 使用网络隔离能达到的目标 通过使用网络隔离可以达到以下目标 在网络级别上将受信任的域成员计算机与不受信任的设备相隔离帮助确保设备满足访问受信任的资产所需的安全要求允许受信任的域成员将入站网络访问限制到特定的一组域成员计算机上将工作重点放在主动监视和守规上 并确定它们的优先次序将安全工作的重点放在要求从不受信任的设备进行访问的少量受信任的资产上重点关注并加快进行补救和恢复工作 76 使用隔离无法减轻的风险 无法通过网络隔离直接减轻的风险包括 受信任用户泄露敏感数据对受信任用户的凭据的危害不受信任的计算机访问其他不受信任的计算机受信任用户误用或滥用其受信任状态不符合安全策略的受信任设备失守的受信任计算机访问其他受信任的计算机 77 网络隔离如何适应网络安全 策略 过程和意识 物理安全 应用程序 主机 内部网络 周边 数据 逻辑数据隔离 78 如何实现网络隔离 网络隔离解决方案的组成部分包括 79 使用网络访问组和IPSec控制计算机访问 逻辑数据隔离 计算机访问权限 IPSec 主机访问权限 共享和访问权限 3 第1步 用户尝试访问服务器上的共享资源第2步 IKE主要模式协商第3步 IPSec安全方法协商 80 使用网络访问组控制主机访问 第1步 用户尝试访问服务器上的共享资源第2步 IKE主要模式协商第3步 IPSec安全方法协商第4步 检查用户主机访问权限第5步 检查共享和访问权限 逻辑数据隔离 计算机访问权限 IPSec 主机访问权限 IPSec策略 2 1 3 组策略 Dept ComputersNAG 共享和访问权限 81 目录 一 边界网络安全二 内