企业网络纵深防御讲义ppt课件

IT专家网技术沙龙 主题一 如何构建安全的企业内部网络 主讲人：殷杰 前言 计算机网络已经深入我们的生活 计算机网络安全问题日趋重视 如何应对网络安全隐患 如何打造安全的企业网络 目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展望 Step 1 边界网络安全 ISA 2004防火墙系统 应用层筛选 内部服务器的发布 SSL通讯保护 目前的网络安全形势 工业工业 90% 90% 的的WebWeb站点存在安全隐患站点存在安全隐患 95% 95% 的安全问题可以用的安全问题可以用“ “配置配置” ”解决解决 约约70% 70% 的基于的基于 Web Web 站点的攻击发生站点的攻击发生 在应用层在应用层 安全安全 Internet Internet 上的设备日益增多上的设备日益增多 远程访问用户普遍存在远程访问用户普遍存在 Web Web 站点的数量急剧增加站点的数量急剧增加 管理员遇到的问题 怎么样防止员工访问任意的网站？ 怎么样防止员工任意的下载软件？ 怎么样防止员工使用任意的计算机上网？ 怎么样防止员工在任意的时间上网？ 怎么样阻止P2P软件？ 怎么样控制用户上网的带宽使用？ 怎么样防止用户使用外部代理？ 怎么样阻止员工使用私自安装的二级代理？ 传统防火墙的局限性 对常见攻 击行为的 防范 难以管理 性能性能 vs. vs. 安全安全 有限的可有限的可 扩展性扩展性 应用层攻击应用层攻击: Code-Red, Nimda: Code-Red, Nimda ITIT部门已经面临超负荷的压力部门已经面临超负荷的压力 有限和昂贵的带宽有限和昂贵的带宽 数据检测降低网络性能数据检测降低网络性能 陈旧设备面临淘汰陈旧设备面临淘汰 需求增长需要购买更多设备需求增长需要购买更多设备. . 传统防火墙之包过滤 Application Layer Application Layer ContentContent ? ? 仅有数据包头会被检查，无法识别应用层数据仅有数据包头会被检查，无法识别应用层数据 IP HeaderIP Header Source Address, Dest. Address, TTL, Checksum TCP TCP HeaderHeader Sequence Number Source Port, Destination Port, Checksum 基于服务连接进行数据包传输，但是合法的网络流量基于服务连接进行数据包传输，但是合法的网络流量 与应用层级的攻击都是与应用层级的攻击都是使用相同的服务连接使用相同的服务连接 Internet Expected HTTP Traffic Unexpected HTTP Traffic Attacks Non-HTTP Traffic Corporate Network 随着网络安全在企业IT部门中的地位越来越重要，微软公司也重视到了这 一点。经过4年的努力，微软在2004年发布了ISA Server 2004，新版本的 ISA Server将给重视安全的企业带来新的选择。 ISA Server 2004的优势 高级防护高级防护 应用层的安全设计方案最大程度的保护应用程序应用层的安全设计方案最大程度的保护应用程序 简单易用简单易用 针对各种复杂场景的高效部署与管理针对各种复杂场景的高效部署与管理 快速且安全的访问快速且安全的访问 使用户能够以最高的效率安全的连接到网络使用户能够以最高的效率安全的连接到网络 ISA Server 2004 新特性 更新的安全结构 高级防护高级防护 应用层安全设计最大程度的保护应用程序应用层安全设计最大程度的保护应用程序 深层防护深层防护 增强的、可自定义的增强的、可自定义的HTTPHTTP筛选器筛选器 全面灵活的策略全面灵活的策略 支持支持IPIP路由路由 增强的增强的 Exchange Exchange Server Server 集成度集成度 支持支持 Outlook RPC over HTTPOutlook RPC over HTTP 增强的增强的 Outlook Web Access Outlook Web Access 安全性安全性 简单易用的配置向导简单易用的配置向导 功能强大的功能强大的 VPNVPN 统一的防火墙统一的防火墙 - VPN - VPN 筛选筛选 支持站点到站点支持站点到站点 IPsec IPsec 隧道模式隧道模式 网络访问隔离网络访问隔离 全面的身份验证全面的身份验证 增加对增加对 RADIUS RADIUS 和和 RSA SecurIDRSA SecurID的支持的支持 基于用户和组的访问策略基于用户和组的访问策略 可扩展可扩展 ISA Server 2004 新特性 新的管理工具和用户界面 多网络支持多网络支持 不限制的网络定义不限制的网络定义 应用到所有流量的防火墙策略应用到所有流量的防火墙策略 针对每个网络的路由关系针对每个网络的路由关系 网络模板和向导网络模板和向导 向导简化了路由配置向导简化了路由配置 内置常见网络拓扑结构内置常见网络拓扑结构 对常见场景的简单定义对常见场景的简单定义 可视化的策略编辑可视化的策略编辑 基于单一规则的统一防火墙策略基于单一规则的统一防火墙策略 支持拖拽支持拖拽 支持基于支持基于XMLXML的配置文件的导入和导出的配置文件的导入和导出 增强的排错能力增强的排错能力 仪表板仪表板 实时的日志监视实时的日志监视 任务板任务板 简单易用简单易用 有效的保护网络安全有效的保护网络安全 高性能高性能 最大化应用层筛选速度最大化应用层筛选速度 ISA Server 2004 新特性 依然强大的集成性 增强的结构增强的结构 高速数据传输高速数据传输 充分利用硬件能力充分利用硬件能力 SSL SSL 桥接简化桥接简化WEBWEB服务器管理服务器管理 Web Web 缓存缓存 更新的策略规则更新的策略规则 本地化服务组件本地化服务组件 Internet Internet 访问控制访问控制 基于用户和组的基于用户和组的WEBWEB使用策略使用策略 可扩展可扩展 ISA Server 概览 根据内容转发 n只将合法 HTTP 流量发送到 Web 服务器 应用层内容：应用层内容： GET /partn ers/default.htm 序号序号 源端口源端口 目标端口目标端口 源地址源地址 目标地址目标地址 TTLTTL 正常 HTTP 流量 异常 HTTP 流量 Web 服务器攻击 非 HTTP 流量 检查包头和应用层内容 Internet Web 服务器 HTTP 筛选器 提供了一种控制方法 HTTP 筛选器可适用于： 内部用户访问 Internet 网站的流量 Internet 用户访问被发布网站的流量 HTTP 筛选器可以依据下列项目 进行 HTTP 协议的阻挡与过滤： 方法、扩展名与URL 请求头与请求正文 响应头与响应正文 每一条防火墙规则的 HTTP 筛选器设定都是独立的 因此管理员可以为每一条规则进行单独的设定 利用 HTTP 筛选器保护网站 Application Layer Application Layer ContentContent MSNBC IP HeaderIP Header Source Address, Dest. Address, TTL, Checksum TCP TCP HeaderHeader Sequence Number Source Port, Destination Port, Checksum HTTP 筛选器 HTTP筛选器示例 应用程序名称 搜寻范围HTTP头签名 MSN Messenger请求头User-Agent:MSN Messenger Windows Messenger请求头User-Agent:MSMSGS AOL Messenger (and Gecko browsers) 请求头User-Agent:Gecko/ Yahoo Messenger请求头H Kazaa请求头P2P-AgentKazaa, Kazaaclient: Kazaa请求头User-Agent:KazaaClient Kazaa请求头X-Kazaa-Network:KaZaA Gnutella请求头User-Agent:Gnutella Gnucleus Edonkey请求头User-Agent:e2dk Morpheus请求头ServerMorpheus ISA Server Web 发布 ISA Server 检查 HTTP 请求 只转发允许的请求 ISA Server 可以发布多台服务器 Web 服务器 传入流量 Internet /cmd?/cmd? /%20%20/%20%20 /scripts//scripts/ /partners/partners 安全的 SSL 流量 SSL隧道：无需进行流量检查即可保护内容机密 SSL 桥接： 1. Internet 上的客户端对通信内容进行加密 2. ISA Server 对流量进行解密并检查 3. ISA Server 将允许的流量发送到已发布的服务器，必要时对其 进行重新加密 保护 SMTP 通信 基于 SMTP 的攻击： 使用无效、过长或不寻常的 SMTP 命令攻击邮件服务器或收 集收件人信息 通过包含恶意内容（如蠕虫）对收件人进行攻击 ISA Server 通过以下方式保护邮件服务器： 实施的 SMTP 命令与标准一致 拦截禁止的 SMTP 命令 拦截附件类型、内容、收件人或发件人受到禁止的邮件 ISA Server ISA Server 能够在攻击到达邮件服务器以前将其阻止能够在攻击到达邮件服务器以前将其阻止 目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展望 Step 2 内部网络安全 资产管理的重要性和必要性 使用SMS2003管理资产 SMS 2003的软件度量功能盗版软件克星 软件限制策略安全的保护神 IT ProIT Pro深深的痛深深的痛 绝大多数企业的绝大多数企业的ITIT管理现状很不理想管理现状很不理想 问题：问题： IT Pro IT Pro 对于对于PCPC缺乏控制缺乏控制 安全问题突出：安全问题突出： 补丁补丁 病毒病毒 间谍软件间谍软件 . 很多企业，某种程度上就像一个免费的网吧！很多企业，某种程度上就像一个免费的网吧！ IT Pro=“IT Pro=“修电脑的修电脑的” IT ProIT Pro的期望的期望 当今系统运维的挑战当今系统运维的挑战 ? ? 您知道自己系统中有多少台设备您知道自己系统中有多少台设备? ? ? ? 分别运行在什么平台上分别运行在什么平台上? ? 硬件配置如何硬件配置如何? ? 安装了什么软件安装了什么软件? ? ? ? 牺牲过牺牲过 n n 个周末进行系统升级个周末进行系统升级? ? ? ? 为安装一个驱动楼上、楼下跑，为安装一个驱动楼上、楼下跑， ? ? 为了找出安装有为了找出安装有 xxx xxx 软件的机器而一台一台的查软件的机器而一台一台的查 ? ? 有多少人利用公司设备在上班时间上网、看有多少人利用公司设备在上班时间上网、看DVDDVD、 玩游戏玩游戏? ? ? ? 计算过损失吗计算过损失吗? $1000 * t / n? $1000 * t / n Where We Are TodayWhere We Are Today SERVERSSERVERSCLIENTSCLIENTS SMSSMS在企业中所扮演的角色在企业中所扮演的角色 AssetAsset ManagementManagement SecuritySecurity PatchPatch ManagementManagement Application Application DeploymentDeployment LeveragingLeveraging Windows Windows Management Management ServicesServices Support forSupport for the Mobile the Mobile WorkforceWorkforce System CenterSystem Center Distributed Enterprise Reporting Reporting ServerServer SMS2003SMS2003的系统组件的系统组件 Management Point Server Locator Point Distribution Point Reporting Point Client Access Point Site Server SMS Site Database SMSSMS单一站点架构单一站点架构 SMSSMS多站点架构多站点架构 Primary Site (Child and Parent Site) Secondary Site (Child Site) Primary (Central) Site (Parent Site) Primary or Secondary Site (Child Site) SQL SQL SQL SQL 自动化的资产管理自动化的资产管理 减少硬件、软件成本减少硬件、软件成本 需要了解公司的硬件配置 需要了解公司的硬件配置 确定我公司拥有什么样的应用 确定我公司拥有什么样的应用 知道有多少应用软件被使用 知道有多少应用软件被使用 管理授权 管理授权 可以清楚的进行业务决定可以清楚的进行业务决定 正确识别资产 正确识别资产 记录并且跟踪资产信息 记录并且跟踪资产信息 软件、硬件信息收集机制软件、硬件信息收集机制 软件资产收集（软件资产收集（Software Inventory Software Inventory ） 收集文件信息收集文件信息 硬件资产收集（硬件资产收集（Hardware InventoryHardware Inventory） 收集收集WMIWMI信息信息 硬件信息收集配置硬件信息收集配置 软件信息收集配置软件信息收集配置 软件信息软件信息 软件分发软件分发 简化商务软件部署流程简化商务软件部署流程 ppOffice System ProgramsOffice System Programs pp 计划工具计划工具 pp扩展和改进目录和软件测量扩展和改进目录和软件测量 强大的部署工具强大的部署工具 pp以满足商业需求为目标以满足商业需求为目标 pp把正确的应用准时部署给相应的用户把正确的应用准时部署给相应的用户 pp更好的用户体验更好的用户体验 Distribution Server Collection Program Package ClientClientClient 规划工具 采用资产管理进行系统规划采用资产管理进行系统规划 pp硬件目录硬件目录 我需要什么硬件去运行最近的应用软件？我需要什么硬件去运行最近的应用软件？ 运行新的应用软件公司有多少电脑需要更新？运行新的应用软件公司有多少电脑需要更新？ pp软件目录软件目录 可以知道有多少可以知道有多少officeoffice被安装？被安装？ 部署一个应用软件可能的最大费用？部署一个应用软件可能的最大费用？ 如何去建立测试环境？如何去建立测试环境？ pp软件计量软件计量 哪位员工使用什么软件、使用多长时间？哪位员工使用什么软件、使用多长时间？ 卸载不使用的应用程序卸载不使用的应用程序 保护软件版权保护软件版权 软件限制策略 SRP-软件限制策略 默认规则 不受限的 不允许的 其他规则 HASH规则 路径规则 证书规则 INTERNET规则 目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展望 Step 3 无线网络安全 WEP的弱点 RADIUS协议和认证 使用IAS为无线设备保驾护航 安全的无线网络 常见的无线网络风险威胁 Security threats include: Disclosure of confidential information Unauthorized access to data Impersonation of an authorized client Interruption of the wireless service Unauthorized access to the Internet Accidental threats Unsecured home wireless setups Unauthorized WLAN implementations 了解无线网技术 StandardDescription 802.11 A base specification that defines the transmission concepts for wireless LANs 802.11a Transmission speeds up to 54 megabits (Mbps) per second 802.11b 11 Mbps Good range but susceptible to radio signal interference 802.11g 54 Mbps Shorter ranges than 802.11b 802.11i Establishes a standard authentication and encryption process for wireless networks 802.1X - a standard that defines a port-based access control mechanism of authenticating access to a network and, as an option, for managing keys used to protect traffic 无线网络部署方案 Wireless network implementation options include: Wi-Fi Protected Access with Pre-Shared Keys (WPA-PSK) Wireless network security using Protected Extensible Authentication Protocol (PEAP) and passwords Wireless network security using Certificate Services 选择合适的无线网络解决方案 Wireless Network Solution Typical Environment Additional Infrastructure Components Required Certificates Used for Client Authentication Passwords Used for Client Authentication Typical Data Encryption Method Wi-Fi Protected Access with Pre- Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) NoneNO YES Uses WPA preshared key to authenticate to network WPA Password-based wireless network security Small to medium organization Internet Authentication Service (IAS) Certificate required for the IAS server NO However, a certificate is issued to validate the IAS server YES WPA or Dynamic WEP Certificate-based wireless network security Medium to large organization Internet Authentication Service (IAS) Certificate Services YES NO Certificates used but may be modified to require passwords WPA or Dynamic WEP 提供有效的验证和授权 StandardDescription Extensible Authentication Protocol- Transport Layer Security (EAP-TLS) Uses public key certificates to authenticate clients Protected Extensible Authentication Protocol-Microsoft-Challenge Handshake Authentication Protocol v2 (PEAP-MS- CHAP v2) A two-stage authentication method using a combination of TLS and MS-CHAP v2 for password authentication Tunneled Transport Layer Security (TTLS) A two-stage authentication method similar to PEAP Microsoft does not support this method 保护数据传输安全 Wireless data encryption standards in use today include: Wired Equivalent Privacy (WEP) Dynamic WEP, combined with 802.1X authentication, provides adequate data encryption and integrity Compatible with most hardware and software devices Wi-Fi Protected Access (WPA/WPA2) Changes the encryption key with each frame Uses a longer initialization vector Adds a signed message integrity check value Incorporates a frame counter WPA2 provides data encryption via AES. WPA uses Temporal Key Integrity Protocol (TKIP) 802.1X 的系统需求 ComponentsRequirements Client devices Windows XP and Pocket PC 2003 provide built-in support Microsoft provides an 802.1X client for Windows 2000 operating systems RADIUS/IAS and certificate servers Windows Server 2003 Certificate Services and Windows Server 2003 Internet Authentication Service (IAS) are recommended Wireless access points At a minimum, should support 802.1X authentication and 128-bit WEP for data encryption 802.1X with PEAP 如何工作 Wireless ClientRADIUS (IAS) 1 Client Connect Wireless Access Point 2 Client Authentication Server Authentication Mutual Key Determination 4 5 3 Key Distribution Authorization WLAN Encryption Internal Network WLAN Network 的网络服务 Branch Office Headquarters WLAN Clients Domain Controller (DC) RADIUS (IAS) Certification Authority (CA) DHCP Services (DHCP) DNS Services (DNS) DHCP IAS/DNS/DC LAN LAN Access Points IAS/CA/DC IAS/DNS/DC Primary Secondary Primary Secondary WLAN Clients Access Points 目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展望 Step 4 补丁和更新管理 1、补丁的重要性和产品生存周期 2、与病毒赛跑及时安装补丁是保护系统安全的 最基本方法 3、微软提供的软件补丁更新方法 4、使用WSUS进行补丁管理 5、使用SMS 2003进行补丁管理和分发 商业价值 漏洞攻击时间表实例：冲击波 我们已经收到漏洞 报告 / 正在开发安全更新 公告和安全更新都 可以得到/没有可以 利用的蠕虫 向公众发布代码蠕虫 July 1July 16July 25Aug 11 报告报告 lRPC/DDOM中的漏洞 被报告 lMS 激活最高级别的应 急响应过程 公告公告 lMS03-026 告诉用户这 个漏洞 (7/16/03) l继续把服务扩大到分析 者、媒体、社会、合作 伙伴以及政府机构 利用利用 lX-focus发布漏洞利用工 具 lMS 加大力量来告知用 户 蠕虫蠕虫 l冲击波被发现，不同的 病毒共同攻击 (比如： SoBig) 如何赶在蠕虫发作之前为系统安装上如何赶在蠕虫发作之前为系统安装上 安全补丁将成为解决问题的关键安全补丁将成为解决问题的关键 开始与时间赛跑，要赶在开始与时间赛跑，要赶在 攻击开始之前保护您的系攻击开始之前保护您的系 统并为其安装上软件安全统并为其安装上软件安全 更新更新 151 180 331 BlasterBlasterWelchia/ Welchia/ NachiNachi NimdaNimda 25 SQL SQL SlammerSlammer 从公告发布到病毒攻击的天数 更新管理解决方案 支持的软件及内容 产品 MBSAMicrosoft Update WSUSSMS 2003 支持的软件Same as MU for security update detection. Windows, IE, Exchange and SQL configuratio n checks Windows 2000+, Exchange 2000+, SQL Server 2000+, Office XP+ with expanding support Same as MUSame as WSUS + NT 4.0 & Win98* + can update any other Windows based software 支持内容类型Service Packs and Security Updates All software updates, driver updates, service packs (SPs), and feature packs (FPs) Same as MU with only critical driver updates All updates, SPs, & FPs + supports update & app installs for any Windows based software 更新管理解决方案 安全更新管理能力安全更新管理能力 产品产品 MBSAMBSAMicrosoft Microsoft UpdateUpdate WSUWSU S S SMS SMS 20032003 支持的软件及内容支持的软件及内容简单简单否否简单简单高级高级 网络带宽优化网络带宽优化否否是是是是是是 更新分发控制更新分发控制否否否否简单简单高级高级 更新安装及调度灵更新安装及调度灵 活性活性 否否手工，最终用户手工，最终用户 控制控制 简单简单高级高级 更新安装状态报告更新安装状态报告简单简单安装错误报告，安装错误报告， 罗列丢失更新罗列丢失更新 简单简单高级高级 部署计划部署计划否否否否简单简单高级高级 清单管理清单管理否否否否否否高级高级 依从性检查依从性检查否否否否否否高级高级 Administrator subscribes to update categoriesServer downloads updates from Microsoft UpdateClients register themselves with the serverAdministrator puts clients in different target groupsAdministrator approves updatesAgents install administrator approved updates Microsoft Update WSUS Server Desktop Clients Target Group 1 Server Clients Target Group 2 WSUS Administrator WSUS概览 管理 WSUS 管理更新 SMS2003-SMS2003-安全补丁更新管理安全补丁更新管理 维护维护ITIT环境的完整性环境的完整性 确定关键的系统升级确定关键的系统升级 确定易受攻击的系统确定易受攻击的系统 可靠并快速的发送系统升级可靠并快速的发送系统升级 准确的发送状态报告准确的发送状态报告 系统化的处理系统化的处理 需要控制打补丁升级的过程需要控制打补丁升级的过程 减少系统升级管理部署的成本减少系统升级管理部署的成本 增加系统升级管理的可靠性和效力增加系统升级管理的可靠性和效力 SMS2003-SMS2003-安全补丁更新管理安全补丁更新管理 ITIT环境完整性环境完整性 弱点评估弱点评估( (利用利用MBSA)MBSA) Patch UpdatePatch Update状态和验证报告状态和验证报告 结构、流程、控制结构、流程、控制 以以Feature PackFeature Pack形式集成到形式集成到SMS 2003SMS 2003中中 利用利用SMS 2003SMS 2003的结构的结构 有效的利用带宽有效的利用带宽(Delta(Delta、BITS)BITS) 灵活制定分发的策略灵活制定分发的策略 提高最终用户的体验提高最终用户的体验 1. 1. 评估需要打软件安全更新的环境评估需要打软件安全更新的环境 阶段性任务阶段性任务 A. A. 生成生成/ /保留系统基础架构保留系统基础架构 B. B. 建立软件安全更新管理体系（是否满足需求）建立软件安全更新管理体系（是否满足需求） C. C. 复查体系架构复查体系架构/ /设置设置 进行中的任务进行中的任务 A. A. 发现资源发现资源 B. B. 列客户端清单列客户端清单 1. 1. 评估评估2. 2. 鉴定鉴定 4. 4. 部署部署 3. 3. 评价评价 和计划和计划 2. 2. 鉴定新的软件安全更新鉴定新的软件安全更新 任务任务 A. A. 获知新软件安全更新获知新软件安全更新 B. B. 确定软件安全更新相关信息确定软件安全更新相关信息( (包括威胁评估包括威胁评估 ) ) C. C. 确认软件安全更新的权威性和完整性确认软件安全更新的权威性和完整性 3. 3. 评价并计划软件安全更新部署过程评价并计划软件安全更新部署过程 任务任务 A. A. 进行风险评估进行风险评估 B. B. 计划软件安全更新发布过程计划软件安全更新发布过程 C. C. 完成软件安全更新可行性测试完成软件安全更新可行性测试 4. 4. 部署软件安全更新部署软件安全更新 任务任务 A. A. 分发并安装软件安全更新分发并安装软件安全更新 B. B. 写进程报告写进程报告 C. C. 解决意外情况解决意外情况 D. D. 复核发布情况复核发布情况 安全补丁更新管理流程安全补丁更新管理流程 系统补丁升级报告系统补丁升级报告 目录 一、边界网络安全 二、内部网络安全 三、无线网络安全 四、补丁和更新管理 五、网络访问隔离 六、用户行为管理 七、其他和展望 Step 5 网络访问隔离 IPSEC策略介绍 网络访问隔离（NAP）和IPSEC 数据传输面临的威胁 窃听 数据篡改 身份欺骗 拒绝服务攻击 中间人攻击 Sniffer 攻击 应用层攻击 盗用口令攻击 加密术语 加密 透过数学公式运算，使文件或数据模糊化 用于秘密通讯或安全存放文件及数据 解密 为加密的反运算 将已模糊化的文件或数据还原 密钥 是加密 / 解密运算过程中的一个参数 实际上是一组随机的字符串 加密方法 对称式加密 非对称式加密 哈希加密 IPSEC的特点 IPSec 是工业标准的安全协议， 它工作在网络层，可以用于身份 验证，加密数据及对数据做认证. 总之，IPSEC被用于保护网络 中传输数据的安全性. IPSEC的好处: 在通信前作双向的身份验证 通过对数据包加密保证数据包中数据的机密性 通过阻止对数据包的修改保证数据的一致性和原始性 防止重播攻击 IPSec 对使用者及应用程序是透明性 可以使用活动目录集中管理IPSEC策略 IPSEC的功能 可以使用ESP加 密数据以及使用 AH对数据作数字 签名 路由器路由器 Tunnel mode 可以使用传送模 式来保护主机之 间的安全 可以使用隧道模 式来保护两个网 络的安全 ESPAH 路由器 Transport mode IPSEC 协议组件 IKE（Internet Key Exchange） 协商 AH（Authentication Header） 数据完整性 ESP（Encapsulating Security Payload） 数据加密 IPSEC处理过程 TCP 层 IPSec驱动 TCP 层 IPSec 驱动 加密的 IP 数据包 3 安全 互联 协商(ISAKMP) 2 IPSec 策略IPSec 策略 1 活动目录 创建 IPSec 安全策略 IP 安全策略 规则 IP 筛选器列表 IP 筛选器列表 IP 筛选器列表 IP 筛选器列表 IP 筛选器列表 筛选器操作 IP 筛选器 可以指派给域、站点和组织单位 IPSEC策略和规则 IPSec 使用策略和规则保护网络通信的安全 规则由下列组件组成: 筛选器 筛选器操作 身份验证方法 默认策略包括: Client (仅响应) 服务器 (要求安全性) 安全服务器 (需要安全性) 默认策略联合 没有策略指派 客户端 （仅回应） 服务器 （要求安全性） 安全的服务器 （需要安全性） 没有策略指派 没有 IPSec没有IPSec没有IPSec不会通信 客户端（仅响应）没有 IPSec没有IPSecIPSecIPSec 服务器 （要求安全性） 没有 IPSecIPSecIPSecIPSec 安全的服务器 （需要安全性） 不会通信IPSecIPSecIPSec 自定义策略 IPSEC规则 筛选器列表（IP Filter List） 筛选器操作（Filter Action） 允许、阻止、协商安全 隧道端点（Tunnel Point） 传送模式、隧道模式 网络类型（Network Type） 局域网络、远程访问、所有网络 身份验证方法（Authentication Methods） Kerberos V5、证书、预共享密钥 什么是网络隔离？ 引入逻辑数据隔离防御层的好处包括： 额外的安全性 对可以访问特定信息的人员进行控制 对计算机管理进行控制 抵御恶意软件的攻击 加密网络数据的机制 网络隔离：在直接 IP 互连的计算机之间，能够允 许或禁止特定类型的网络访问 识别受信任的计算机 受信任的计算机： 受管理的设备（处于已知状态并且满足最低安全 要求） 不受信任的计算机： 可能未满足最低安全要求的设备（主要因为此设 备未受到管理或集中控制） 使用网络隔离能达到的目标 通过使用网络隔离可以达到以下目标： 在网络级别上将受信任的域成员计算机与不受信任的设 备相隔离 帮助确保设备满足访问受信任的资产所需的安全要求 允许受信任的域成员将入站网络访问限制到特定的一组 域成员计算机上 将工作重点放在主动监视和守规上，并确定它们的优先 次序 将安全工作的重点放在要求从不受信任的设备进行访问 的少量受信任的资产上 重点关注并加快进行补救和恢复工作 使用隔离无法减轻的风险 无法通过网络隔离直接减轻的风险包括： 受信任用户泄露敏感数据 对受信任用户的凭据的危害 不受信任的计算机访问其他不受信任的计算机 受信任用户误用或滥用其受信任状态 不符合安全策略的受信任设备 失守的受信任计算机访问其他受信任的计算机 网络隔离如何适应网络安全？ 策略、过程和意识 物理安全 应用程序 主机 内部网络 周边 数据 逻辑数据隔离 如何实现网络隔离？ 网络隔离解决方案的组成部分包括： 满足组织最低安全要求的计算机 受信任的 主机 使用 IPSec 以提供主机身份验证和 数据加密 主机身份 验证 在本地安全策略中验证安全组成员 身份，在资源上验证访问控制列表 主机授权 使用网络访问组和 IPSec 控制计算机访问 逻辑数据隔离 计算机 访问 权限 (IPSec) 主机 访问 权限 IPSec 策略2 共享和访问 权限 1 3 组 策略 De