实现远程访问安全

1、实现远程访问安全赵翔北京中达金桥技术服务有限公司标题脆弱的网络网络本身的脆弱性病毒、蠕虫泛滥攻击时间越来越多攻击方法越来越多网络信息资源的风险人为因素黑客常用的攻击手段网络监听数据篡改欺骗中间人攻击密码破解缓冲区溢出什么是纵深防御？使用分层的方法：增加攻击者被检测到的风险 降低攻击者的成功几率安全策略、过程和教育策略、过程和意识警卫、锁、跟踪设备物理安全应用程序强化应用程序操作系统加固、身份验证、 更新管理、防病毒更新和审核主机网段、IPSec、NIDS内部网络防火墙、边界路由器和具有隔离过程的 VPN周边网络强密码、ACL、加密、EFS、备份与还原策略数据边缘防御的目的和限制正确配置的防火墙

2、和边界路由器是边缘安全的基础Internet 和移动性增加了安全风险VPN 使边缘变得脆弱，并与无线联网一起在本质上造成了网络边缘的传统概念的消失 传统的数据包筛选防火墙只阻止针对网络端口和计算机地址的攻击现今大多数攻击都发生在应用程序层 企业应用移动化 原有的应用系统+移动能力=高效的移动信息平台企业集成交换平台EAI（应用整合、数据接口）(Biztalk Server)企业协作平台SPS, Exchange基本办公邮件新闻文档共享视频会议OA项目管理在线教育企业管理信息门户(EIP)Sharepoint Portal Server电子商务网上营业厅企业网站外网应用对外门户CMS, CS,

3、Biztalk经营报表在线分析财务人力资源企业管理管理分析、决策平台SQL Server 2000客服CRM资源管理ERP生产应用运营、业务支撑SQL Server统一用户管理（目录服务）(Windows Server 2003)基础网络架构 (Windows Server 2003)运营维护、安全性保障(ISA,SMS,MOM)设计目标减轻非授权的使用客户信用资料的威胁减轻不可靠访问装置的威协确保用户在网络检疫期间满足所有远程访问安全的必要条件确保所有要求远程访问联接的装置不受到其它装置访问的威胁身份认证-信息安全体系的基础用于解决访问者的物理身份与数字身份一致性问题, 给其它安全技术提供权

4、限管理依据根据你所知道的信息来证明身份 (What you know) 假设某些信息只有某人知道，比如暗号等，通过询问这个信息就可以确认此人的身份；据你所拥有的物品来证明身份 (What you have)假设某一物品只有某人才有，比如印章等，通过出示该物品也可以确认个人的身份；直接根据你独一无二的身体特征来证明身份 (Who you are)如指纹、面貌等。单因子认证和双因子认证-安全性的提高防火墙等技术针对数字身份进行权限管理，解决数字身份能干什么的问题多因子认证ClientClientDomainControllerPasswordSingle-factorAuthenticationM

5、ultifactor AuthenticationSmart Card and PINorBiometric and Password多因子认证使用场景CaseUse when:Administrative AccountsPerforming administrative activities or for all logonsValidating a Users IdentitySending secure e-mailConnect to a Terminal ServerUsing a remote desktop connectionVirtual Private NetworksM

6、obile users are connecting to the network用于多因子认证的装置可以用于实现多因子身份验证的设备:生态学设备: 视网膜 指纹声音 DNAToken devices 智能卡 存储卡 Hardware tokens (RSA SecurID) 在企业中使用智能卡Administrative AuthenticationRemote AccessAuthenticationSecureE-MailCodeSigningSigningCertificate RequestsTerminal ServicesClientAuthenticationSmart Car

7、ds了解VPN隔离网络隔离网络的标准功能包括：诸如限制或阻止获取对内部资源的访问权限的常规功能 提供一个连接级别，以允许临时访问者的计算机能有效地工作，同时又不会对内部网络带来安全性风险当前仅适用于 VPN 远程访问解决方案VPN隔离ISA 2004VPN tunnelVPNOKNetworksVPNVPN ClientsQuarantinedVPN ClientsRunchecks123456AllowSMB避开防火墙检查的通信 由于 SSL 是加密的，因此可以穿过传统防火墙，这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器VPN 通信是加密的，因此无法对其进行检查Instant Me

8、ssenger (IM) 通信经常不会受到检查，因此可能会用于传输文件检查所有通信使用入侵检测和其他机制在解密了 VPN 通信后对其进行检查请记住：深层防御使用可以检查 SSL 通信的防火墙扩展防火墙的检查功能使用防火墙附件来检查 IM 通信SSL 检查由于 SSL 是加密的，因此可以穿过传统防火墙，这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器。ISA Server 可以解密并检查 SSL 通信。可以通过重新加密或明文方式将已检查的通信发送到内部服务器。保护 Exchange Server 方法说明邮件发布向导配置 ISA Server 规则，以便将内部邮件服务安全地发布到外部用户邮

9、件筛选器筛选进入内部网络的 SMTP 电子邮件RPC 发布保护 Microsoft Outlook 客户端的本机协议访问。OWA 发布对于通过没有 VPN 的不受信任的网络访问 Microsoft Exchange Server 的远程 Outlook 用户，提供 OWA 前端保护最佳做法 使用多因子身份验证使用ISA只允许明确允许的请求的访问规则 使用 ISA Server 的身份验证功能限制和记录 Internet 访问 通过ISA Server发布特定的服务器实现VPN隔离使用 SSL 检查来检查进入网络的加密数据使用的产品及技术Windows Server 2003Microsoft Windows XP ProfessionalMOM 2005VPNIASISA 2004 Standard EditionRADIUSPKI and Certificate ServicesMicrosoft SQL Server 2000Connection ManagerSmart card technologiesTechNet是什么?只需轻轻点击，答案就在您的指尖对于IT 专业人员来说，TechNet 是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源每月发放包含最新信息的 DVD或者CD这是最权威的资源，可以帮助你评估、配置和维护微软产品。订阅