实现远程访问安全

实现远程访问安全第1页，共29页，2023年，2月20日，星期六标题第2页，共29页，2023年，2月20日，星期六脆弱的网络 网络本身的脆弱性病毒、蠕虫泛滥攻击时间越来越多攻击方法越来越多网络信息资源的风险人为因素第3页，共29页，2023年，2月20日，星期六黑客常用的攻击手段网络监听数据篡改欺骗中间人攻击密码破解缓冲区溢出第4页，共29页，2023年，2月20日，星期六什么是纵深防御？使用分层的方法：增加攻击者被检测到的风险降低攻击者的成功几率安全策略、过程和教育策略、过程和意识警卫、锁、跟踪设备物理安全应用程序强化应用程序操作系统加固、身份验证、更新管理、防病毒更新和审核主机网段、IPSec、NIDS内部网络防火墙、边界路由器和具有隔离过程的VPN周边网络强密码、ACL、加密、EFS、备份与还原策略数据第5页，共29页，2023年，2月20日，星期六边缘防御的目的和限制

正确配置的防火墙和边界路由器是边缘安全的基础Internet和移动性增加了安全风险VPN使边缘变得脆弱，并与无线联网一起在本质上造成了网络边缘的传统概念的消失

传统的数据包筛选防火墙只阻止针对网络端口和计算机地址的攻击现今大多数攻击都发生在应用程序层

第6页，共29页，2023年，2月20日，星期六企业应用移动化

原有的应用系统+移动能力=高效的移动信息平台企业集成交换平台EAI（应用整合、数据接口）(BiztalkServer)企业协作平台

SPS,Exchange基本办公邮件新闻文档共享视频会议OA项目管理在线教育企业管理信息门户(EIP)

SharepointPortalServer电子商务网上营业厅企业网站外网应用对外门户

CMS,CS,Biztalk经营报表在线分析财务人力资源企业管理管理分析、决策平台

SQLServer2000客服CRM资源管理ERP生产应用运营、业务支撑

SQLServer统一用户管理（目录服务）(WindowsServer2003)基础网络架构(WindowsServer2003)运营维护、安全性保障(ISA,SMS,MOM)第7页，共29页，2023年，2月20日，星期六设计目标减轻非授权的使用客户信用资料的威胁减轻不可靠访问装置的威协确保用户在网络检疫期间满足所有远程访问安全的必要条件确保所有要求远程访问联接的装置不受到其它装置访问的威胁第8页，共29页，2023年，2月20日，星期六身份认证-信息安全体系的基础用于解决访问者的物理身份与数字身份一致性问题,给其它安全技术提供权限管理依据根据你所知道的信息来证明身份(Whatyouknow)假设某些信息只有某人知道，比如暗号等，通过询问这个信息就可以确认此人的身份；据你所拥有的物品来证明身份(Whatyouhave)假设某一物品只有某人才有，比如印章等，通过出示该物品也可以确认个人的身份；直接根据你独一无二的身体特征来证明身份(Whoyouare)如指纹、面貌等。单因子认证和双因子认证-安全性的提高防火墙等技术针对数字身份进行权限管理，解决数字身份能干什么的问题第9页，共29页，2023年，2月20日，星期六多因子认证ClientClientDomain

ControllerPasswordSingle-factorAuthenticationMultifactorAuthenticationSmartCardandPINorBiometricandPassword第10页，共29页，2023年，2月20日，星期六多因子认证使用场景CaseUsewhen:AdministrativeAccountsPerformingadministrativeactivitiesorforalllogonsValidatingaUser’sIdentitySendingsecuree-mailConnecttoaTerminalServerUsingaremotedesktopconnectionVirtualPrivateNetworksMobileusersareconnectingtothenetwork第11页，共29页，2023年，2月20日，星期六用于多因子认证的装置可以用于实现多因子身份验证的设备:生态学设备:

视网膜

指纹声音DNATokendevices

智能卡

存储卡Hardwaretokens(RSASecurID)

第12页，共29页，2023年，2月20日，星期六在企业中使用智能卡Administrative

AuthenticationRemoteAccess

AuthenticationSecure

E-MailCode

SigningSigningCertificateRequestsTerminal

ServicesClient

AuthenticationSmartCards第13页，共29页，2023年，2月20日，星期六了解VPN隔离网络隔离网络的标准功能包括：诸如限制或阻止获取对内部资源的访问权限的常规功能

提供一个连接级别，以允许临时访问者的计算机能有效地工作，同时又不会对内部网络带来安全性风险当前仅适用于

VPN

远程访问解决方案第14页，共29页，2023年，2月20日，星期六VPN隔离ISA2004VPNtunnelVPNOKNetworksVPNVPNClientsQuarantinedVPNClientsRun

checks123456AllowSMB第15页，共29页，2023年，2月20日，星期六第16页，共29页，2023年，2月20日，星期六第17页，共29页，2023年，2月20日，星期六第18页，共29页，2023年，2月20日，星期六第19页，共29页，2023年，2月20日，星期六第20页，共29页，2023年，2月20日，星期六避开防火墙检查的通信

由于SSL是加密的，因此可以穿过传统防火墙，这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器VPN通信是加密的，因此无法对其进行检查InstantMessenger(IM)通信经常不会受到 检查，因此可能会用于传输文件第21页，共29页，2023年，2月20日，星期六检查所有通信

使用入侵检测和其他机制在解密了VPN通信后对其进行检查请记住：深层防御使用可以检查SSL通信的防火墙扩展防火墙的检查功能使用防火墙附件来检查IM通信第22页，共29页，2023年，2月20日，星期六SSL检查由于SSL是加密的，因此可以穿过传统防火墙，这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器。ISAServer可以解密并检查SSL通信。可以通过重新加密或明文方式将已检查的通信发送到内部服务器。第23页，共29页，2023年，2月20日，星期六保护ExchangeServer

方法说明邮件发布向导配置ISAServer规则，以便将内部邮件服务安全地发布到外部用户邮件筛选器筛选进入内部网络的SMTP电子邮件RPC发布保护MicrosoftOutlook®客户端的本机协议访问。OWA发布对于通过没有VPN的不受信任的网络访问MicrosoftExchangeServer的远程Outlook用户，提供OWA前端保护第24页，共29页，2023年，2月20日，星期六最佳做法

使用多因子身份验证使用ISA只允许明确允许的请求的访问规则使用ISAServer的身份验证功能限制和记录Internet访问通过ISAServer发布特定的服务器实现VPN隔离使用SSL检查来检查进入网络的加密 数据第25页，共29页，2023年，2月20日，星期六使用的产品及技术WindowsServer2003MicrosoftWindowsXPProfessionalMOM2005VPNIASISA2004StandardEditionRADIUSPKIandCertificateServicesMicrosoftSQLServer2000ConnectionManagerSmartcardtechnologies第26页，共29页，2023年，2月20日，星期六TechNet是什么?只需轻轻点击，答案就在您的指尖对于IT专业人员来说，TechNet是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源每月发放包含最新信息的DVD或者CD这是最权威的资源，可以帮助你评估、配置和维护微软产品。订阅TechNet可以访问该站点/china/technet在线资源和社区订户--仅仅提供在线服务TechNet网站两周发放一次的中文电子快报安全更新,新的资源等等TechNet中文电子快报有关最新微软产品介绍和技术的简报上机试验,“如何操作”等信息TechNet活动和网站消息用户群可管理的新闻组中文社区第27页，共29页，2023年，2月20日，星期六我们从哪里可以了解到TechNet?访问TechNet的官方网站

/China/technet注册Tec