勇攀高峰系列2

1、 勇攀高峰系列課程-訪問規(guī)則 MCT/MCITP/MCSE/MCSA/MCTS/CCSP廈門高士達(dá)微軟高級技術(shù)教育中心1The Problem92% of organizations who could quantify Web site attacks, reported more than 10 attacks in the past 12 months.42% of the types of attacks or misuse detected in the past 12 months were of insider abuse of Internet access.52% of or

2、ganizations have experienced unauthorized use of their computer systems in the past year.65% of the organizations suffered virus attacks and 25% faced denial of service attacks.Source: “Computer Crime and Security Survey 2006” by CSI/FBIThe NeedBusinesses need to eliminate the damaging effects of ma

3、lware and attackers through comprehensive tools for scanning and blocking harmful content, files and websites.13需求14外部網(wǎng)站攻擊者DMZ內(nèi)部網(wǎng)絡(luò)InternetExtranet Web 服務(wù)器安全性違規(guī)要求客戶確定違規(guī)的來源（哪個(gè)用戶、哪臺(tái)計(jì)算機(jī)、于何時(shí)、使用什么應(yīng)用程序）。未加控制的 Internet 訪問會(huì)導(dǎo)致員工工作效率的降低，同時(shí)也會(huì)向內(nèi)部網(wǎng)絡(luò)引入病毒、蠕蟲、特洛伊木馬或其他攻擊性腳本代碼用于向 Internet 發(fā)送公司私有信息的應(yīng)用程序種類很多，包括電子郵件、新聞組、

4、對等文件共享、即時(shí)消息傳遞，等等。緩慢或不穩(wěn)定的 Internet 連接會(huì)使公司置于競爭劣勢的境地，同時(shí)還會(huì)降低整個(gè)員工的工作效率1234顧慮外部網(wǎng)站攻擊者內(nèi)部網(wǎng)絡(luò)Internet集成的應(yīng)用程序?qū)臃阑饓ΑPN 和 Web 代理ISA Server 2006 陣列適用于 120 余種協(xié)議的內(nèi)置流量檢測針對 Dos、DDos 和 DNS 攻擊增強(qiáng)的防護(hù)實(shí)現(xiàn)高可用性的集成網(wǎng)絡(luò)負(fù)載平衡通過連接配額實(shí)現(xiàn)的增強(qiáng)蠕蟲防護(hù)全面的警報(bào)觸發(fā)器和響應(yīng)使用 TLS 增強(qiáng)的安全遠(yuǎn)程管理用于加快網(wǎng)頁影響時(shí)間的快速 RAM 和磁盤緩存可提高靈活性的自定義緩存規(guī)則15解決方案2深入討論ISA Server 客戶端類型及客戶

5、端的部署深入探討及配置ISA Server 2006 訪問規(guī)則如何利用ISA Server 控制網(wǎng)絡(luò)應(yīng)用安全的Web及SharePoint發(fā)布 日 程深入討論ISA Server 客戶端類型及客戶端的部署客戶端類型客戶端部署6ISA客戶端功能SecureNAT 客戶端防火墻客戶端Web 代理客戶端要求安裝需要對網(wǎng)絡(luò)設(shè)置進(jìn)行配置需要安裝客戶端不需要安裝客戶端，需要配置Web瀏覽器操作系統(tǒng)支持任何支持TCP/IP協(xié)議的操作系統(tǒng)僅Windows平臺(tái)所有平臺(tái)，但采用Web應(yīng)用程序的形式協(xié)議支持要求有用于多種連接協(xié)議的應(yīng)用程序篩選器所有Winsock應(yīng)用程序HTTP、Https、FTP和Gopher用戶

6、級別身份驗(yàn)證不支持支持支持服務(wù)器應(yīng)用程序不要求配置或安裝要求配置文件不適用安全的發(fā)布ExchangeIntranet Web ServerSharePointActive DirectoryExternal Web ServerAdministratorUserISA 2006 ApplianceDMZInternal NetworkInternetGet UsernamePasswordPasscodeUsernamePasswordGet 加強(qiáng)服務(wù)器的保護(hù)可自定義表單驗(yàn)證移動(dòng)設(shè)備以及不能通過瀏覽器訪問的應(yīng)用程序身份驗(yàn)證RADIUS ，OTP, 智能卡的支持LDAP的支持增強(qiáng)型多因素認(rèn)證（智

7、能卡、Radius OTP）和委托（NTLM、Kerberos）單點(diǎn)登錄自動(dòng)鏈接地址轉(zhuǎn)換基于Cookie的會(huì)話保持，實(shí)現(xiàn)冗余Exchange, SharePoint 發(fā)布向?qū)Ц玫淖C書管理接口會(huì)話閑置和超時(shí)的管理UsernamePassword更好的標(biāo)識控制無縫的訪問高性能易管理應(yīng)用程序的安全發(fā)布按數(shù)量 35%未經(jīng)授權(quán)的計(jì)算機(jī)資源訪問1:1外部與內(nèi)部攻擊比率CSI/FBI 2005 報(bào)告更多的向?qū)Щ?Web 的項(xiàng)目OWASharePointWeb 服務(wù)器規(guī)則和網(wǎng)絡(luò)對象其它項(xiàng)目SMTP 電子郵件Exchange RPC自定義規(guī)則向?qū)Ц鶕?jù)需要?jiǎng)?chuàng)建網(wǎng)絡(luò)元素并配置鏈接轉(zhuǎn)換Web 偵聽器向?qū)矸蒡?yàn)證證

8、書處理HTTP 壓縮身份驗(yàn)證屬性用戶 ID組成員資格協(xié)議使用計(jì)劃安排身份驗(yàn)證：客戶端對 ISAHTML 表單RADIUSOTPSecurIDHTTP 基本身份驗(yàn)證客戶端 SSL與其他方法組合或故障切換到其他方法無第三方加載項(xiàng)身份驗(yàn)證：ISA 對驗(yàn)證器Active DirectoryKerberosLDAPRADIUSRADIUS OTPSecurID身份驗(yàn)證流客戶端請求訪問網(wǎng)站在偵聽器上進(jìn)行身份驗(yàn)證？查詢憑據(jù)查找匹配的發(fā)布規(guī)則規(guī)則適用于所有用戶？查詢憑據(jù)后端需要 身份驗(yàn)證？查詢憑據(jù)顯示發(fā)布內(nèi)容是否否是是否身份驗(yàn)證方法前端HTTP基本摘要協(xié)商客戶端 SSL忽略接受請求證書；若未提供則付諸偵聽器的

9、身份驗(yàn)證要求請求證書；若未提供則規(guī)則失敗結(jié)合偵聽器身份驗(yàn)證的憑據(jù)要求，獲得雙因素身份驗(yàn)證HTML表單按偵聽器或按規(guī)則；26 種語言用戶名 + 密碼用戶名 + 通行碼用戶名 + 密碼 + 通行碼僅支持瀏覽器；非瀏覽器必須使用 HTTP 基本身份驗(yàn)證身份驗(yàn)證方法網(wǎng)關(guān)KerberosISA 屬于域LDAPISA 獨(dú)立域?yàn)?Windows 2000 or 2003非 AD LDAP 無法工作可用性標(biāo)志輪換RADIUSISA 獨(dú)立可用性標(biāo)志輪換Windows、FreeRADIUS、GNU RADIUS、其他OTPISA 獨(dú)立基于時(shí)間或計(jì)數(shù)器提供 Cookie 以避免重新身份驗(yàn)證Aladdin、Vasco

10、、ActivCard、Secure ComputingSecurID內(nèi)置支持身份驗(yàn)證方法后端無阻止通過HTTP基本協(xié)商嘗試 Kerberos，然后故障切換回 NTLMKerberos支持 S4U2Proxy 委托僅支持 Windows 2003 域身份驗(yàn)證方法委托過程URL訪問-接受組屬性URL +基本憑據(jù)WinLogon數(shù)據(jù)數(shù)據(jù)ADIISISA Server401OWA 表單URL + 基本憑據(jù)表單變量RADIUS訪問-請求WinLogon令牌令牌瀏覽器Cookie單點(diǎn)登錄在單個(gè)偵聽器上發(fā)布的所有應(yīng)用程序之間自動(dòng)進(jìn)行將偵聽器視為由該偵聽器中所有已發(fā)布站點(diǎn)共享的身份驗(yàn)證設(shè)置容器單點(diǎn)登錄流工程開

11、發(fā)市場支持Papers，請ID+pass已看到您（即 Papers 已登錄）Papers，請即時(shí)偵聽器共享相同的身份驗(yàn)證配置文件并且 SSO 已啟用ISA配置Internet出站訪問Lab練習(xí) 1 允許來自客戶端計(jì)算機(jī)的出站 Web 訪問練習(xí) 2 啟用客戶端計(jì)算機(jī)的 Ping 命令練習(xí) 3 允許來自 ISA Server的出站訪問自定義表單集在每個(gè)偵聽器上可以不同發(fā)布規(guī)則可以重寫偵聽器表單會(huì)話管理Cookie持久會(huì)話超時(shí)空閑時(shí)間會(huì)話期間非用戶活動(dòng)不會(huì)重設(shè) Cookie 定時(shí)器注銷將注銷 URL 添加到發(fā)布規(guī)則刪除 Cookie；添加到撤銷列表記錄遠(yuǎn)程用戶的身份鏈接轉(zhuǎn)換：檢查中?鏈接轉(zhuǎn)換：檢查中

12、HREF=鏈接轉(zhuǎn)換鏈接轉(zhuǎn)換好在哪里？使內(nèi)部詳細(xì)信息保持隱秘允許外部用戶訪問鏈接而不必重新編寫應(yīng)用程序（節(jié)省金錢）有何新功能？自動(dòng)啟用更快的轉(zhuǎn)換引擎其方法全球通用陣列中的鏈接轉(zhuǎn)換即使 Web 內(nèi)容在其它陣列中也轉(zhuǎn)換鏈接幫助提高可用性如果一個(gè)地理區(qū)域的陣列失效，則移交給另一個(gè)地理區(qū)域服務(wù)器場定義為一個(gè)網(wǎng)絡(luò)對象，在您希望的任何發(fā)布規(guī)則中使用服務(wù)器場定義連接驗(yàn)證選項(xiàng)HTTP/S “GET”ping到某個(gè)端口的 TCP 連接Web 發(fā)布負(fù)載平衡使用 Web 服務(wù)器場保留應(yīng)用程序上下文只有單一關(guān)聯(lián)性不需要在已發(fā)布的服務(wù)器上使用 NLB消除 NAT 問題和路由錯(cuò)誤不依賴 ISA IP 地址確保了同等地使用所有已發(fā)布的服務(wù)器能夠選擇平衡類型Cookie（OWA 默認(rèn)）源 IP（RPC/HTTP 默認(rèn)）跟蹤服務(wù)器狀態(tài)活動(dòng)排空 (Draining)已刪除停用跟蹤服務(wù)器狀態(tài)活動(dòng)服務(wù)器在添加時(shí)的正常狀態(tài)；將接受傳入請求排空完成進(jìn)行中的請求；將接受任何新請求停用ISA Server 檢測到服務(wù)器未響應(yīng)時(shí)的自動(dòng)安置已刪除從陣列和從 UI 中刪除；不接受任何請求當(dāng)故障服務(wù)器恢復(fù)時(shí)，它將接受新請求；先前的請求將保留在接管服務(wù)器上逆向緩存緩存到 RA