ISA與企業(yè)網(wǎng)絡安全管理課件

ISA與企業(yè)網(wǎng)絡安全管理

—營造健康網(wǎng)絡生活環(huán)境王立豐amymax@263.net1一、企業(yè)網(wǎng)絡安全系統(tǒng)的構(gòu)建ISA的安全結(jié)構(gòu)2企業(yè)為什么需要ISA2000網(wǎng)絡資源合理分配的需要網(wǎng)絡內(nèi)容安全合法的需要網(wǎng)絡故障排除和內(nèi)部安全的需要員工上網(wǎng)管理的需要費用控制的需要網(wǎng)絡資源共享使用的需要提高網(wǎng)絡速度和效率的需要3ISA2000主要解決的企業(yè)網(wǎng)絡安全問題代理服務——資源共享防火墻服務——安全管理緩沖服務——提高網(wǎng)絡效率視頻服務——多媒體支持4ISA安全體系結(jié)構(gòu)5防火墻功能內(nèi)網(wǎng)、外網(wǎng)訪問控制攻擊檢測訪問權(quán)限控制6代理服務功能共享網(wǎng)絡資源實現(xiàn)高速上網(wǎng)控制內(nèi)部上網(wǎng)控制協(xié)議使用控制時間范圍7加速功能通過緩沖區(qū)提高上網(wǎng)速度根據(jù)帶寬優(yōu)先級別調(diào)整上網(wǎng)速度8網(wǎng)絡資源合理分配9網(wǎng)絡資源管理范圍時間協(xié)議站點內(nèi)容流量權(quán)限10時間對網(wǎng)絡使用時間的控制充分利用ScheduleRule11協(xié)議對網(wǎng)絡各種協(xié)議的控制利用ProtocolRule控制協(xié)議自己建立新的協(xié)議12站點對外部網(wǎng)絡站點的控制利用DestionationRule實現(xiàn)對外部站點的控制13內(nèi)容對網(wǎng)絡訪問文件內(nèi)容的控制利用ContentRule實現(xiàn)對各種外部網(wǎng)絡內(nèi)容和各種文件類型的訪問控制14流量建立帶寬優(yōu)先級，分配優(yōu)先級小組通過BandwithRule確定上網(wǎng)人員的不同優(yōu)先級別15權(quán)限通過權(quán)限管理，控制網(wǎng)絡用戶的對網(wǎng)絡使用的不同權(quán)限利用Incoming,Outgoing,Request等控制不同的上網(wǎng)方式通過ClientAddressRule分配不同的用戶權(quán)限小組16分配管理的策略站點內(nèi)容規(guī)則SiteandContentRule協(xié)議規(guī)則ProtocolRule時間規(guī)則ScheduleRule優(yōu)先權(quán)BandwithRule網(wǎng)絡數(shù)據(jù)篩選規(guī)則IPPacketFilterLAT和LDT用戶規(guī)則17站點內(nèi)容規(guī)則設置了不同用戶對不同網(wǎng)絡站點和內(nèi)容的訪問控制什么人什么時間什么內(nèi)容什么方式18協(xié)議規(guī)則通過對網(wǎng)絡協(xié)議的控制，實現(xiàn)用戶上網(wǎng)請求的控制什么人什么時間可用的網(wǎng)絡協(xié)議（不僅僅是瀏覽器方式的上網(wǎng)，包括郵件、專用客戶端程序等實用的協(xié)議）19時間規(guī)則通過制定時間規(guī)則，對不同的用戶組進行上網(wǎng)時段的控制20優(yōu)先權(quán)分配不同的優(yōu)先級別控制不同用戶使用網(wǎng)絡的優(yōu)先級21LAT和LDT建立基于IP地址的陣列，控制通過ISA訪問網(wǎng)絡的不同的用戶IP地址段通過基于WindowDomain的網(wǎng)絡，控制不同的域用戶通過ISA訪問網(wǎng)絡的方式22用戶規(guī)則通過對網(wǎng)絡不同用戶的分組和權(quán)限分配，管理不同用戶上網(wǎng)基于用戶IP的小組劃分方式基于Windows用戶管理機制的小組劃分方式23訪問策略通過訪問策略利用已經(jīng)設置好的規(guī)則控制網(wǎng)絡訪問權(quán)限利用已經(jīng)設置好的規(guī)則控制網(wǎng)絡資源利用已經(jīng)設置好的規(guī)則控制網(wǎng)絡使用時間利用已經(jīng)設置好的規(guī)則控制網(wǎng)絡流量利用已經(jīng)設置好的規(guī)則控制網(wǎng)絡應用程序24發(fā)布規(guī)則通過發(fā)布規(guī)則控制Web發(fā)布（向外、向內(nèi)）控制外部非法攻擊控制服務器間發(fā)布25IP篩選器通過建立篩選器，實現(xiàn)網(wǎng)絡協(xié)議數(shù)據(jù)包的篩選控制網(wǎng)絡遠程計算機和本級計算機的各種網(wǎng)絡協(xié)議的偵測方式控制各種協(xié)議的使用26應用程序和Web篩選器通過內(nèi)置的應用程序過濾器，控制網(wǎng)絡各種應用程序的使用，如郵件軟件是否可以發(fā)送附件等通過Web篩選器控制對網(wǎng)站和網(wǎng)頁內(nèi)容的過濾，需要第三方開發(fā)的插件產(chǎn)品ISA提供了可擴展的開發(fā)接口，讓用戶可以根據(jù)需要擴充不同的篩選器27網(wǎng)絡事件及時處理通過系統(tǒng)監(jiān)視功能（LOG、ReportJob）監(jiān)視服務器監(jiān)視上網(wǎng)人員在線情況監(jiān)視網(wǎng)絡使用的各種數(shù)據(jù)IP，用戶上網(wǎng)情況接收發(fā)送流量占用網(wǎng)絡時間網(wǎng)絡各種事件發(fā)生情況28二、各種安全措施分析常用安全管理功能29服務器管理服務器狀態(tài)監(jiān)測事件狀態(tài)監(jiān)測工作狀態(tài)監(jiān)測日常報告和日志30人員上網(wǎng)權(quán)限管理內(nèi)網(wǎng)訪問權(quán)限外網(wǎng)訪問權(quán)限瀏覽器權(quán)限撥號上網(wǎng)管理31人員上網(wǎng)控制管理部門及人員管理外網(wǎng)資源管理網(wǎng)站內(nèi)容管理上網(wǎng)時間管理32人員上網(wǎng)功能管理上網(wǎng)功能管理網(wǎng)絡開通時間管理33人員上網(wǎng)安全管理設置防范措施查看預設措施設置攻擊控制34人員上網(wǎng)優(yōu)先級管理優(yōu)先權(quán)分配優(yōu)先權(quán)使用時間管理35網(wǎng)絡緩沖管理設置預先下載36ISA其他常用網(wǎng)絡管理服務器設置網(wǎng)絡設置日志和報表設置客戶端設置警報設置37三、ISA實現(xiàn)網(wǎng)絡安全管理結(jié)合企業(yè)業(yè)務加強安全管理38ISA實現(xiàn)安全管理的三部曲第一步：制定策略元素第二步：組織控制策略第三步：實施控制策略（啟用否）說明：ISA必須在真實的網(wǎng)絡環(huán)境中配置，有些功能在沒有其他計算機與ISA服務器連接的時候無法設置和看到效果39案例一：誰可以上網(wǎng)手段建立ClientAddressSet建立AccessPolicy啟用/不啟用40案例二：何時讓用戶上網(wǎng)手段建立Schedule策略建立AccessPolicy啟用/不啟用41案例三：是否允許使用郵件手段建立ProtocolSet建立AccessPolicy啟用/不啟用42案例四：是否允許使用聊天軟件手段建立ProtocolSet建立AccessPolicy啟用/不啟用43案例五：是否可以上搜索引擎網(wǎng)手段建立DestinationSet建立AccessPolicy啟用/不啟用44案例六：是否可以訪問多媒體網(wǎng)頁手段建立ContentSet建立AccessPolicy啟用/不啟用45案例七：設置攻擊檢測手段設置IPFilter啟用/不啟用46案例八：防止外部非法入侵手段建立WebPublishRule啟用/不啟用47案例九：設置不同的上網(wǎng)優(yōu)先權(quán)手段建立BandwithSet建立AccessPolicy啟用/不啟用48案例十：防止Nimda病毒