勇攀高峰系列2_第1頁
勇攀高峰系列2_第2頁
勇攀高峰系列2_第3頁
勇攀高峰系列2_第4頁
勇攀高峰系列2_第5頁
已閱讀5頁,還剩32頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、 勇攀高峰系列課程-訪問規(guī)則 MCT/MCITP/MCSE/MCSA/MCTS/CCSP廈門高士達(dá)微軟高級技術(shù)教育中心1The Problem92% of organizations who could quantify Web site attacks, reported more than 10 attacks in the past 12 months.42% of the types of attacks or misuse detected in the past 12 months were of insider abuse of Internet access.52% of or

2、ganizations have experienced unauthorized use of their computer systems in the past year.65% of the organizations suffered virus attacks and 25% faced denial of service attacks.Source: “Computer Crime and Security Survey 2006” by CSI/FBIThe NeedBusinesses need to eliminate the damaging effects of ma

3、lware and attackers through comprehensive tools for scanning and blocking harmful content, files and websites.13需求14外部網(wǎng)站攻擊者DMZ內(nèi)部網(wǎng)絡(luò)InternetExtranet Web 服務(wù)器安全性違規(guī)要求客戶確定違規(guī)的來源(哪個用戶、哪臺計算機(jī)、于何時、使用什么應(yīng)用程序)。未加控制的 Internet 訪問會導(dǎo)致員工工作效率的降低,同時也會向內(nèi)部網(wǎng)絡(luò)引入病毒、蠕蟲、特洛伊木馬或其他攻擊性腳本代碼用于向 Internet 發(fā)送公司私有信息的應(yīng)用程序種類很多,包括電子郵件、新聞組、

4、對等文件共享、即時消息傳遞,等等。緩慢或不穩(wěn)定的 Internet 連接會使公司置于競爭劣勢的境地,同時還會降低整個員工的工作效率1234顧慮外部網(wǎng)站攻擊者內(nèi)部網(wǎng)絡(luò)Internet集成的應(yīng)用程序?qū)臃阑饓ΑPN 和 Web 代理ISA Server 2006 陣列適用于 120 余種協(xié)議的內(nèi)置流量檢測針對 Dos、DDos 和 DNS 攻擊增強(qiáng)的防護(hù)實現(xiàn)高可用性的集成網(wǎng)絡(luò)負(fù)載平衡通過連接配額實現(xiàn)的增強(qiáng)蠕蟲防護(hù)全面的警報觸發(fā)器和響應(yīng)使用 TLS 增強(qiáng)的安全遠(yuǎn)程管理用于加快網(wǎng)頁影響時間的快速 RAM 和磁盤緩存可提高靈活性的自定義緩存規(guī)則15解決方案2深入討論ISA Server 客戶端類型及客戶

5、端的部署深入探討及配置ISA Server 2006 訪問規(guī)則如何利用ISA Server 控制網(wǎng)絡(luò)應(yīng)用安全的Web及SharePoint發(fā)布 日 程深入討論ISA Server 客戶端類型及客戶端的部署客戶端類型客戶端部署6ISA客戶端功能SecureNAT 客戶端防火墻客戶端Web 代理客戶端要求安裝需要對網(wǎng)絡(luò)設(shè)置進(jìn)行配置需要安裝客戶端不需要安裝客戶端,需要配置Web瀏覽器操作系統(tǒng)支持任何支持TCP/IP協(xié)議的操作系統(tǒng)僅Windows平臺所有平臺,但采用Web應(yīng)用程序的形式協(xié)議支持要求有用于多種連接協(xié)議的應(yīng)用程序篩選器所有Winsock應(yīng)用程序HTTP、Https、FTP和Gopher用戶

6、級別身份驗證不支持支持支持服務(wù)器應(yīng)用程序不要求配置或安裝要求配置文件不適用安全的發(fā)布ExchangeIntranet Web ServerSharePointActive DirectoryExternal Web ServerAdministratorUserISA 2006 ApplianceDMZInternal NetworkInternetGet UsernamePasswordPasscodeUsernamePasswordGet 加強(qiáng)服務(wù)器的保護(hù)可自定義表單驗證移動設(shè)備以及不能通過瀏覽器訪問的應(yīng)用程序身份驗證RADIUS ,OTP, 智能卡的支持LDAP的支持增強(qiáng)型多因素認(rèn)證(智

7、能卡、Radius OTP)和委托(NTLM、Kerberos)單點登錄自動鏈接地址轉(zhuǎn)換基于Cookie的會話保持,實現(xiàn)冗余Exchange, SharePoint 發(fā)布向?qū)Ц玫淖C書管理接口會話閑置和超時的管理UsernamePassword更好的標(biāo)識控制無縫的訪問高性能易管理應(yīng)用程序的安全發(fā)布按數(shù)量 35%未經(jīng)授權(quán)的計算機(jī)資源訪問1:1外部與內(nèi)部攻擊比率CSI/FBI 2005 報告更多的向?qū)Щ?Web 的項目OWASharePointWeb 服務(wù)器規(guī)則和網(wǎng)絡(luò)對象其它項目SMTP 電子郵件Exchange RPC自定義規(guī)則向?qū)Ц鶕?jù)需要創(chuàng)建網(wǎng)絡(luò)元素并配置鏈接轉(zhuǎn)換Web 偵聽器向?qū)矸蒡炞C證

8、書處理HTTP 壓縮身份驗證屬性用戶 ID組成員資格協(xié)議使用計劃安排身份驗證:客戶端對 ISAHTML 表單RADIUSOTPSecurIDHTTP 基本身份驗證客戶端 SSL與其他方法組合或故障切換到其他方法無第三方加載項身份驗證:ISA 對驗證器Active DirectoryKerberosLDAPRADIUSRADIUS OTPSecurID身份驗證流客戶端請求訪問網(wǎng)站在偵聽器上進(jìn)行身份驗證?查詢憑據(jù)查找匹配的發(fā)布規(guī)則規(guī)則適用于所有用戶?查詢憑據(jù)后端需要 身份驗證?查詢憑據(jù)顯示發(fā)布內(nèi)容是否否是是否身份驗證方法前端HTTP基本摘要協(xié)商客戶端 SSL忽略接受請求證書;若未提供則付諸偵聽器的

9、身份驗證要求請求證書;若未提供則規(guī)則失敗結(jié)合偵聽器身份驗證的憑據(jù)要求,獲得雙因素身份驗證HTML表單按偵聽器或按規(guī)則;26 種語言用戶名 + 密碼用戶名 + 通行碼用戶名 + 密碼 + 通行碼僅支持瀏覽器;非瀏覽器必須使用 HTTP 基本身份驗證身份驗證方法網(wǎng)關(guān)KerberosISA 屬于域LDAPISA 獨立域為 Windows 2000 or 2003非 AD LDAP 無法工作可用性標(biāo)志輪換RADIUSISA 獨立可用性標(biāo)志輪換Windows、FreeRADIUS、GNU RADIUS、其他OTPISA 獨立基于時間或計數(shù)器提供 Cookie 以避免重新身份驗證Aladdin、Vasco

10、、ActivCard、Secure ComputingSecurID內(nèi)置支持身份驗證方法后端無阻止通過HTTP基本協(xié)商嘗試 Kerberos,然后故障切換回 NTLMKerberos支持 S4U2Proxy 委托僅支持 Windows 2003 域身份驗證方法委托過程URL訪問-接受組屬性URL +基本憑據(jù)WinLogon數(shù)據(jù)數(shù)據(jù)ADIISISA Server401OWA 表單URL + 基本憑據(jù)表單變量RADIUS訪問-請求WinLogon令牌令牌瀏覽器Cookie單點登錄在單個偵聽器上發(fā)布的所有應(yīng)用程序之間自動進(jìn)行將偵聽器視為由該偵聽器中所有已發(fā)布站點共享的身份驗證設(shè)置容器單點登錄流工程開

11、發(fā)市場支持Papers,請ID+pass已看到您(即 Papers 已登錄)Papers,請即時偵聽器共享相同的身份驗證配置文件并且 SSO 已啟用ISA配置Internet出站訪問Lab練習(xí) 1 允許來自客戶端計算機(jī)的出站 Web 訪問練習(xí) 2 啟用客戶端計算機(jī)的 Ping 命令練習(xí) 3 允許來自 ISA Server的出站訪問自定義表單集在每個偵聽器上可以不同發(fā)布規(guī)則可以重寫偵聽器表單會話管理Cookie持久會話超時空閑時間會話期間非用戶活動不會重設(shè) Cookie 定時器注銷將注銷 URL 添加到發(fā)布規(guī)則刪除 Cookie;添加到撤銷列表記錄遠(yuǎn)程用戶的身份鏈接轉(zhuǎn)換:檢查中?鏈接轉(zhuǎn)換:檢查中

12、HREF=鏈接轉(zhuǎn)換鏈接轉(zhuǎn)換好在哪里?使內(nèi)部詳細(xì)信息保持隱秘允許外部用戶訪問鏈接而不必重新編寫應(yīng)用程序(節(jié)省金錢)有何新功能?自動啟用更快的轉(zhuǎn)換引擎其方法全球通用陣列中的鏈接轉(zhuǎn)換即使 Web 內(nèi)容在其它陣列中也轉(zhuǎn)換鏈接幫助提高可用性如果一個地理區(qū)域的陣列失效,則移交給另一個地理區(qū)域服務(wù)器場定義為一個網(wǎng)絡(luò)對象,在您希望的任何發(fā)布規(guī)則中使用服務(wù)器場定義連接驗證選項HTTP/S “GET”ping到某個端口的 TCP 連接Web 發(fā)布負(fù)載平衡使用 Web 服務(wù)器場保留應(yīng)用程序上下文只有單一關(guān)聯(lián)性不需要在已發(fā)布的服務(wù)器上使用 NLB消除 NAT 問題和路由錯誤不依賴 ISA IP 地址確保了同等地使用所有已發(fā)布的服務(wù)器能夠選擇平衡類型Cookie(OWA 默認(rèn))源 IP(RPC/HTTP 默認(rèn))跟蹤服務(wù)器狀態(tài)活動排空 (Draining)已刪除停用跟蹤服務(wù)器狀態(tài)活動服務(wù)器在添加時的正常狀態(tài);將接受傳入請求排空完成進(jìn)行中的請求;將接受任何新請求停用ISA Server 檢測到服務(wù)器未響應(yīng)時的自動安置已刪除從陣列和從 UI 中刪除;不接受任何請求當(dāng)故障服務(wù)器恢復(fù)時,它將接受新請求;先前的請求將保留在接管服務(wù)器上逆向緩存緩存到 RA

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論