勇攀高峰系列2

1、 勇攀高峰系列课程-访问规则 MCT/MCITP/MCSE/MCSA/MCTS/CCSP厦门高士达微软高级技术教育中心1The Problem92% of organizations who could quantify Web site attacks, reported more than 10 attacks in the past 12 months.42% of the types of attacks or misuse detected in the past 12 months were of insider abuse of Internet access.52% of or

2、ganizations have experienced unauthorized use of their computer systems in the past year.65% of the organizations suffered virus attacks and 25% faced denial of service attacks.Source: “Computer Crime and Security Survey 2006” by CSI/FBIThe NeedBusinesses need to eliminate the damaging effects of ma

3、lware and attackers through comprehensive tools for scanning and blocking harmful content, files and websites.13需求14外部网站攻击者DMZ内部网络InternetExtranet Web 服务器安全性违规要求客户确定违规的来源（哪个用户、哪台计算机、于何时、使用什么应用程序）。未加控制的 Internet 访问会导致员工工作效率的降低，同时也会向内部网络引入病毒、蠕虫、特洛伊木马或其他攻击性脚本代码用于向 Internet 发送公司私有信息的应用程序种类很多，包括电子邮件、新闻组、

4、对等文件共享、即时消息传递，等等。缓慢或不稳定的 Internet 连接会使公司置于竞争劣势的境地，同时还会降低整个员工的工作效率1234顾虑外部网站攻击者内部网络Internet集成的应用程序层防火墙、VPN 和 Web 代理ISA Server 2006 阵列适用于 120 余种协议的内置流量检测针对 Dos、DDos 和 DNS 攻击增强的防护实现高可用性的集成网络负载平衡通过连接配额实现的增强蠕虫防护全面的警报触发器和响应使用 TLS 增强的安全远程管理用于加快网页影响时间的快速 RAM 和磁盘缓存可提高灵活性的自定义缓存规则15解决方案2深入讨论ISA Server 客户端类型及客户

5、端的部署深入探讨及配置ISA Server 2006 访问规则如何利用ISA Server 控制网络应用安全的Web及SharePoint发布 日 程深入讨论ISA Server 客户端类型及客户端的部署客户端类型客户端部署6ISA客户端功能SecureNAT 客户端防火墙客户端Web 代理客户端要求安装需要对网络设置进行配置需要安装客户端不需要安装客户端，需要配置Web浏览器操作系统支持任何支持TCP/IP协议的操作系统仅Windows平台所有平台，但采用Web应用程序的形式协议支持要求有用于多种连接协议的应用程序筛选器所有Winsock应用程序HTTP、Https、FTP和Gopher用户

6、级别身份验证不支持支持支持服务器应用程序不要求配置或安装要求配置文件不适用安全的发布ExchangeIntranet Web ServerSharePointActive DirectoryExternal Web ServerAdministratorUserISA 2006 ApplianceDMZInternal NetworkInternetGet UsernamePasswordPasscodeUsernamePasswordGet 加强服务器的保护可自定义表单验证移动设备以及不能通过浏览器访问的应用程序身份验证RADIUS ，OTP, 智能卡的支持LDAP的支持增强型多因素认证（智

7、能卡、Radius OTP）和委托（NTLM、Kerberos）单点登录自动链接地址转换基于Cookie的会话保持，实现冗余Exchange, SharePoint 发布向导更好的证书管理接口会话闲置和超时的管理UsernamePassword更好的标识控制无缝的访问高性能易管理应用程序的安全发布按数量 35%未经授权的计算机资源访问1:1外部与内部攻击比率CSI/FBI 2005 报告更多的向导基于 Web 的项目OWASharePointWeb 服务器规则和网络对象其它项目SMTP 电子邮件Exchange RPC自定义规则向导根据需要创建网络元素并配置链接转换Web 侦听器向导身份验证证

8、书处理HTTP 压缩身份验证属性用户 ID组成员资格协议使用计划安排身份验证：客户端对 ISAHTML 表单RADIUSOTPSecurIDHTTP 基本身份验证客户端 SSL与其他方法组合或故障切换到其他方法无第三方加载项身份验证：ISA 对验证器Active DirectoryKerberosLDAPRADIUSRADIUS OTPSecurID身份验证流客户端请求访问网站在侦听器上进行身份验证？查询凭据查找匹配的发布规则规则适用于所有用户？查询凭据后端需要 身份验证？查询凭据显示发布内容是否否是是否身份验证方法前端HTTP基本摘要协商客户端 SSL忽略接受请求证书；若未提供则付诸侦听器的

9、身份验证要求请求证书；若未提供则规则失败结合侦听器身份验证的凭据要求，获得双因素身份验证HTML表单按侦听器或按规则；26 种语言用户名 + 密码用户名 + 通行码用户名 + 密码 + 通行码仅支持浏览器；非浏览器必须使用 HTTP 基本身份验证身份验证方法网关KerberosISA 属于域LDAPISA 独立域为 Windows 2000 or 2003非 AD LDAP 无法工作可用性标志轮换RADIUSISA 独立可用性标志轮换Windows、FreeRADIUS、GNU RADIUS、其他OTPISA 独立基于时间或计数器提供 Cookie 以避免重新身份验证Aladdin、Vasco

10、、ActivCard、Secure ComputingSecurID内置支持身份验证方法后端无阻止通过HTTP基本协商尝试 Kerberos，然后故障切换回 NTLMKerberos支持 S4U2Proxy 委托仅支持 Windows 2003 域身份验证方法委托过程URL访问-接受组属性URL +基本凭据WinLogon数据数据ADIISISA Server401OWA 表单URL + 基本凭据表单变量RADIUS访问-请求WinLogon令牌令牌浏览器Cookie单点登录在单个侦听器上发布的所有应用程序之间自动进行将侦听器视为由该侦听器中所有已发布站点共享的身份验证设置容器单点登录流工程开

11、发市场支持Papers，请ID+pass已看到您（即 Papers 已登录）Papers，请即时侦听器共享相同的身份验证配置文件并且 SSO 已启用ISA配置Internet出站访问Lab练习 1 允许来自客户端计算机的出站 Web 访问练习 2 启用客户端计算机的 Ping 命令练习 3 允许来自 ISA Server的出站访问自定义表单集在每个侦听器上可以不同发布规则可以重写侦听器表单会话管理Cookie持久会话超时空闲时间会话期间非用户活动不会重设 Cookie 定时器注销将注销 URL 添加到发布规则删除 Cookie；添加到撤销列表记录远程用户的身份链接转换：检查中?链接转换：检查中

12、HREF=链接转换链接转换好在哪里？使内部详细信息保持隐秘允许外部用户访问链接而不必重新编写应用程序（节省金钱）有何新功能？自动启用更快的转换引擎其方法全球通用阵列中的链接转换即使 Web 内容在其它阵列中也转换链接帮助提高可用性如果一个地理区域的阵列失效，则移交给另一个地理区域服务器场定义为一个网络对象，在您希望的任何发布规则中使用服务器场定义连接验证选项HTTP/S “GET”ping到某个端口的 TCP 连接Web 发布负载平衡使用 Web 服务器场保留应用程序上下文只有单一关联性不需要在已发布的服务器上使用 NLB消除 NAT 问题和路由错误不依赖 ISA IP 地址确保了同等地使用所有已发布的服务器能够选择平衡类型Cookie（OWA 默认）源 IP（RPC/HTTP 默认）跟踪服务器状态活动排空 (Draining)已删除停用跟踪服务器状态活动服务器在添加时的正常状态；将接受传入请求排空完成进行中的请求；将接受任何新请求停用ISA Server 检测到服务器未响应时的自动安置已删除从阵列和从 UI 中删除；不接受任何请求当故障服务器恢复时，它将接受新请求；先前的请求将保留在接管服务器上逆向缓存缓存到 RA