企业网络纵深防御讲义

IT专家网技术沙龙主题一如何构建安全的企业内部网络主讲人：殷杰前言计算机网络已经深入我们的生活计算机网络安全问题日趋重视如何应对网络安全隐患如何打造安全的企业网络……目录一、边界网络安全

二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理

七、其他和展望Step1边界网络安全

ISA2004防火墙系统应用层筛选内部服务器的发布SSL通讯保护目前的网络安全形势工业90%的Web站点存在安全隐患95%的安全问题可以用“配置”解决约70%的基于Web站点的攻击发生在应用层安全Internet上的设备日益增多远程访问用户普遍存在Web站点的数量急剧增加管理员遇到的问题怎么样防止员工访问任意的网站？怎么样防止员工任意的下载软件？怎么样防止员工使用任意的计算机上网？怎么样防止员工在任意的时间上网？怎么样阻止P2P软件？怎么样控制用户上网的带宽使用？怎么样防止用户使用外部代理？怎么样阻止员工使用私自安装的二级代理？…传统防火墙的局限性对常见攻击行为的防范难以管理性能vs.安全有限的可扩展性应用层攻击:Code-Red,NimdaIT部门已经面临超负荷的压力有限和昂贵的带宽数据检测降低网络性能陈旧设备面临淘汰需求增长需要购买更多设备.传统防火墙之包过滤ApplicationLayerContent????????????????????????????????????????????仅有数据包头会被检查，无法识别应用层数据IPHeaderSourceAddress,

Dest.Address,

TTL,

ChecksumTCPHeaderSequenceNumber

SourcePort,

DestinationPort,

Checksum基于服务连接进行数据包传输，但是合法的网络流量与应用层级的攻击都是使用相同的服务连接InternetExpectedHTTPTrafficUnexpectedHTTPTrafficAttacksNon-HTTPTrafficCorporateNetwork随着网络安全在企业IT部门中的地位越来越重要，微软公司也重视到了这一点。经过4年的努力，微软在2004年发布了ISAServer2004，新版本的ISAServer将给重视安全的企业带来新的选择。ISAServer

2004的优势高级防护应用层的安全设计方案最大程度的保护应用程序简单易用针对各种复杂场景的高效部署与管理快速且安全的访问使用户能够以最高的效率安全的连接到网络ISAServer2004新特性

更新的安全结构高级防护应用层安全设计最大程度的保护应用程序深层防护增强的、可自定义的HTTP筛选器全面灵活的策略支持IP路由增强的ExchangeServer集成度支持OutlookRPCoverHTTP增强的OutlookWebAccess安全性简单易用的配置向导功能强大的VPN统一的防火墙--VPN筛选支持站点到站点IPsec隧道模式网络访问隔离全面的身份验证增加对RADIUS和RSASecurID的支持基于用户和组的访问策略可扩展ISAServer2004新特性

新的管理工具和用户界面多网络支持不限制的网络定义应用到所有流量的防火墙策略针对每个网络的路由关系网络模板和向导向导简化了路由配置内置常见网络拓扑结构对常见场景的简单定义可视化的策略编辑基于单一规则的统一防火墙策略支持拖拽支持基于XML的配置文件的导入和导出增强的排错能力仪表板实时的日志监视任务板简单易用有效的保护网络安全高性能最大化应用层筛选速度ISAServer2004新特性

依然强大的集成性增强的结构高速数据传输充分利用硬件能力

SSL桥接简化WEB服务器管理Web缓存更新的策略规则本地化服务组件Internet访问控制基于用户和组的WEB使用策略可扩展ISAServer概览根据内容转发只将合法HTTP流量发送到Web服务器应用层内容：GET/partners/default.htm序号源端口目标端口源地址目标地址TTL正常HTTP流量异常HTTP流量Web服务器攻击非HTTP流量检查包头和应用层内容InternetWeb服务器HTTP筛选器提供了一种控制方法HTTP筛选器可适用于：内部用户访问Internet网站的流量Internet用户访问被发布网站的流量HTTP筛选器可以依据下列项目

进行HTTP协议的阻挡与过滤：「方法」、「扩展名」与「URL」「请求头」与「请求正文」「响应头」与「响应正文」每一条防火墙规则的HTTP筛选器设定都是独立的

因此管理员可以为每一条规则进行单独的设定利用HTTP筛选器保护网站ApplicationLayerContent<html><head><metahttp-quiv="content-type"content="text/html;charset=UTF-8"><title>MSNBCIPHeaderSourceAddress,

Dest.Address,

TTL,

ChecksumTCPHeaderSequenceNumber

SourcePort,

DestinationPort,

ChecksumHTTP

筛选器HTTP筛选器示例应用程序名称搜寻范围HTTP头签名MSNMessenger请求头User-Agent:MSNMessengerWindowsMessenger请求头User-Agent:MSMSGSAOLMessenger(andGeckobrowsers)请求头User-Agent:Gecko/YahooMessenger请求头HostKazaa请求头P2P-AgentKazaa,Kazaaclient:Kazaa请求头User-Agent:KazaaClient

Kazaa请求头X-Kazaa-Network:KaZaAGnutella请求头User-Agent:GnutellaGnucleusEdonkey请求头User-Agent:e2dkMorpheus请求头ServerMorpheusISAServerWeb发布ISAServer检查HTTP请求只转发允许的请求ISAServer可以发布多台服务器Web服务器传入流量Internet

/../cmd?..

/%20%20

/scripts/

/partners

安全的SSL流量SSL隧道：无需进行流量检查即可保护内容机密SSL桥接：Internet上的客户端对通信内容进行加密ISAServer对流量进行解密并检查ISAServer将允许的流量发送到已发布的服务器，必要时对其进行重新加密保护SMTP通信基于SMTP的攻击：使用无效、过长或不寻常的SMTP命令攻击邮件服务器或收集收件人信息通过包含恶意内容（如蠕虫）对收件人进行攻击ISAServer通过以下方式保护邮件服务器：实施的SMTP命令与标准一致拦截禁止的SMTP命令拦截附件类型、内容、收件人或发件人受到禁止的邮件ISAServer能够在攻击到达邮件服务器以前将其阻止目录一、边界网络安全二、内部网络安全

三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理

七、其他和展望Step2内部网络安全

资产管理的重要性和必要性使用SMS2003管理资产SMS2003的软件度量功能—盗版软件克星软件限制策略—安全的保护神ITPro深深的痛…绝大多数企业的IT管理现状很不理想问题：ITPro对于PC缺乏控制安全问题突出：补丁病毒间谍软件….很多企业，某种程度上就像一个免费的网吧！ITPro=“修电脑的”ITPro的期望当今系统运维的挑战您知道自己系统中有多少台设备?分别运行在什么平台上?

硬件配置如何?安装了什么软件?牺牲过n个周末进行系统升级?为安装一个驱动楼上、楼下跑，…为了找出安装有xxx软件的机器而一台一台的查…有多少人利用公司设备在上班时间上网、看DVD、

玩游戏?计算过损失吗?$1000*t/nWhereWeAreTodaySERVERSCLIENTSSMS在企业中所扮演的角色Asset

ManagementSecurity

Patch

ManagementApplicationDeploymentLeveraging

WindowsManagementServicesSupportfor

theMobileWorkforceSystemCenterDistributedEnterpriseReporting

ServerSMS2003的系统组件Management

PointServerLocatorPointDistributionPoint

ReportingPointClientAccessPointSiteServerSMSSite

DatabaseSMS单一站点架构SMS多站点架构PrimarySite(ChildandParentSite)Secondary

Site(ChildSite)Primary(Central)Site(ParentSite)Primaryor

SecondarySite(ChildSite)SQLSQLSQLSQL自动化的资产管理

减少硬件、软件成本需要了解公司的硬件配置确定我公司拥有什么样的应用知道有多少应用软件被使用管理授权可以清楚的进行业务决定正确识别资产记录并且跟踪资产信息软件、硬件信息收集机制软件资产收集（SoftwareInventory）收集文件信息硬件资产收集（HardwareInventory）收集WMI信息

硬件信息收集配置软件信息收集配置软件信息软件分发简化商务软件部署流程OfficeSystemPrograms…计划工具扩展和改进目录和软件测量强大的部署工具以满足商业需求为目标把正确的应用准时部署给相应的用户更好的用户体验DistributionServerCollectionProgramPackageClientClientClient规划工具采用资产管理进行系统规划硬件目录我需要什么硬件去运行最近的应用软件？运行新的应用软件公司有多少电脑需要更新？软件目录可以知道有多少office被安装？部署一个应用软件可能的最大费用？如何去建立测试环境？软件计量哪位员工使用什么软件、使用多长时间？卸载不使用的应用程序保护软件版权软件限制策略SRP-软件限制策略默认规则不受限的不允许的其他规则HASH规则路径规则证书规则INTERNET规则目录一、边界网络安全二、内部网络安全三、无线网络安全

四、补丁和更新管理五、网络访问隔离六、用户行为管理

七、其他和展望Step3无线网络安全

WEP的弱点RADIUS协议和认证使用IAS为无线设备保驾护航安全的无线网络常见的无线网络风险威胁Securitythreatsinclude:DisclosureofconfidentialinformationUnauthorizedaccesstodataImpersonationofanauthorizedclientInterruptionofthewirelessserviceUnauthorizedaccesstotheInternetAccidentalthreatsUnsecuredhomewirelesssetupsUnauthorizedWLANimplementations了解无线网技术StandardDescription802.11AbasespecificationthatdefinesthetransmissionconceptsforwirelessLANs802.11aTransmissionspeedsupto54megabits(Mbps)persecond802.11b11MbpsGoodrangebutsusceptibletoradiosignalinterference802.11g54MbpsShorterrangesthan802.11b802.11iEstablishesastandardauthenticationandencryptionprocessforwirelessnetworks802.1X-astandardthatdefinesaport-basedaccesscontrolmechanismofauthenticatingaccesstoanetworkand,asanoption,formanagingkeysusedtoprotecttraffic无线网络部署方案Wirelessnetworkimplementationoptionsinclude:Wi-FiProtectedAccesswithPre-SharedKeys

(WPA-PSK)WirelessnetworksecurityusingProtectedExtensibleAuthenticationProtocol(PEAP)andpasswordsWirelessnetworksecurityusingCertificateServices

选择合适的无线网络解决方案WirelessNetwork

SolutionTypical

EnvironmentAdditionalInfrastructure

ComponentsRequiredCertificatesUsed

forClientAuthenticationPasswordsUsed

forClientAuthenticationTypicalData

EncryptionMethodWi-FiProtectedAccesswithPre-SharedKeys

(WPA-PSK)SmallOffice/HomeOffice(SOHO)NoneNOYESUsesWPApresharedkeytoauthenticatetonetworkWPAPassword-basedwirelessnetworksecuritySmalltomediumorganizationInternetAuthenticationService(IAS)CertificaterequiredfortheIASserverNOHowever,acertificateisissuedtovalidatetheIASserverYESWPAorDynamicWEPCertificate-basedwirelessnetworksecurityMediumtolargeorganizationInternetAuthenticationService(IAS)CertificateServicesYESNOCertificatesusedbutmaybemodifiedtorequirepasswordsWPAorDynamicWEP提供有效的验证和授权StandardDescriptionExtensibleAuthenticationProtocol-TransportLayerSecurity(EAP-TLS)UsespublickeycertificatestoauthenticateclientsProtectedExtensibleAuthenticationProtocol-Microsoft-ChallengeHandshakeAuthenticationProtocolv2(PEAP-MS-CHAPv2)Atwo-stageauthenticationmethodusingacombinationofTLSandMS-CHAPv2forpasswordauthenticationTunneledTransportLayerSecurity(TTLS)Atwo-stageauthenticationmethodsimilartoPEAPMicrosoftdoesnotsupportthismethod保护数据传输安全Wirelessdataencryptionstandardsinusetodayinclude:WiredEquivalentPrivacy(WEP)DynamicWEP,combinedwith802.1Xauthentication,providesadequatedataencryptionandintegrityCompatiblewithmosthardwareandsoftwaredevicesWi-FiProtectedAccess(WPA/WPA2)ChangestheencryptionkeywitheachframeUsesalongerinitializationvectorAddsasignedmessageintegritycheckvalueIncorporatesaframecounterWPA2providesdataencryptionviaAES.WPAusesTemporalKeyIntegrityProtocol(TKIP)802.1X的系统需求ComponentsRequirementsClientdevicesWindowsXPandPocketPC2003providebuilt-insupportMicrosoftprovidesan802.1Xclientfor

Windows2000operatingsystemsRADIUS/IASandcertificateserversWindowsServer2003CertificateServicesandWindowsServer2003InternetAuthenticationService(IAS)arerecommendedWirelessaccesspointsAtaminimum,shouldsupport802.1Xauthenticationand128-bitWEPfordataencryption802.1XwithPEAP如何工作WirelessClientRADIUS(IAS)1ClientConnectWirelessAccessPoint2ClientAuthenticationServerAuthenticationMutualKeyDetermination453KeyDistributionAuthorizationWLANEncryptionInternalNetworkWLANNetwork的网络服务BranchOfficeHeadquartersWLANClientsDomainController(DC)RADIUS(IAS)CertificationAuthority(CA)DHCPServices(DHCP)DNSServices(DNS)DHCPIAS/DNS/DCLANLANAccessPointsIAS/CA/DCIAS/DNS/DCPrimarySecondaryPrimarySecondaryWLANClientsAccessPoints目录一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离六、用户行为管理七、其他和展望

Step4补丁和更新管理

1、补丁的重要性和产品生存周期2、与病毒赛跑—及时安装补丁是保护系统安全的最基本方法3、微软提供的软件补丁更新方法4、使用WSUS进行补丁管理5、使用SMS2003进行补丁管理和分发商业价值

漏洞攻击时间表实例：冲击波我们已经收到漏洞报告/正在开发安全更新公告和安全更新都可以得到/没有可以利用的蠕虫向公众发布代码蠕虫July1July16July25Aug11报告RPC/DDOM中的漏洞被报告MS激活最高级别的应急响应过程公告MS03-026告诉用户这个漏洞(7/16/03)继续把服务扩大到分析者、媒体、社会、合作伙伴以及政府机构利用X-focus发布漏洞利用工具MS加大力量来告知用户蠕虫冲击波被发现，不同的病毒共同攻击(比如：SoBig)如何赶在蠕虫发作之前为系统安装上安全补丁将成为解决问题的关键开始与时间赛跑，要赶在攻击开始之前保护您的系统并为其安装上软件安全更新151180331BlasterWelchia/NachiNimda25SQLSlammer从公告发布到病毒攻击的天数更新管理解决方案支持的软件及内容

产品MBSAMicrosoftUpdateWSUSSMS2003支持的软件SameasMUforsecurityupdatedetection.Windows,IE,ExchangeandSQLconfigurationchecksWindows2000+,Exchange2000+,SQLServer2000+,OfficeXP+withexpandingsupportSameasMUSameasWSUS+NT4.0&Win98*+canupdateanyotherWindowsbasedsoftware支持内容类型ServicePacksandSecurityUpdatesAllsoftwareupdates,driverupdates,servicepacks(SPs),andfeaturepacks(FPs)SameasMUwithonlycriticaldriverupdatesAllupdates,SPs,&FPs+supportsupdate&appinstallsforanyWindowsbasedsoftware更新管理解决方案安全更新管理能力产品MBSAMicrosoftUpdateWSUSSMS2003支持的软件及内容简单否简单高级网络带宽优化否是是是更新分发控制否否简单高级更新安装及调度灵活性否手工，最终用户控制简单高级更新安装状态报告简单安装错误报告，罗列丢失更新简单高级部署计划否否简单高级清单管理否否否高级依从性检查否否否高级AdministratorsubscribestoupdatecategoriesServerdownloadsupdatesfromMicrosoftUpdateClientsregisterthemselveswiththeserverAdministratorputsclientsindifferenttargetgroupsAdministratorapprovesupdatesAgentsinstalladministratorapprovedupdatesMicrosoftUpdateWSUSServerDesktopClients

TargetGroup1ServerClients

TargetGroup2WSUSAdministratorWSUS概览管理WSUS

管理更新SMS2003--安全补丁更新管理维护IT环境的完整性确定关键的系统升级确定易受攻击的系统可靠并快速的发送系统升级准确的发送状态报告

系统化的处理需要控制打补丁升级的过程减少系统升级管理部署的成本增加系统升级管理的可靠性和效力SMS2003--安全补丁更新管理IT环境完整性弱点评估(利用MBSA)PatchUpdate状态和验证报告

结构、流程、控制以FeaturePack形式集成到SMS2003中利用SMS2003的结构有效的利用带宽(Delta、BITS)灵活制定分发的策略提高最终用户的体验1.评估需要打软件安全更新的环境阶段性任务A.生成/保留系统基础架构B.建立软件安全更新管理体系（是否满足需求）C.复查体系架构/设置进行中的任务A.发现资源B.列客户端清单1.评估2.鉴定4.部署3.评价

和计划2.鉴定新的软件安全更新任务A.获知新软件安全更新B.确定软件安全更新相关信息(包括威胁评估)C.确认软件安全更新的权威性和完整性3.评价并计划软件安全更新部署过程任务A.进行风险评估B.计划软件安全更新发布过程C.完成软件安全更新可行性测试4.部署软件安全更新任务A.分发并安装软件安全更新B.写进程报告C.解决意外情况D.复核发布情况安全补丁更新管理流程系统补丁升级报告目录一、边界网络安全二、内部网络安全三、无线网络安全四、补丁和更新管理五、网络访问隔离

六、用户行为管理七、其他和展望Step5网络访问隔离

IPSEC策略介绍网络访问隔离（NAP）和IPSEC数据传输面临的威胁窃听数据篡改身份欺骗拒绝服务攻击中间人攻击Sniffer攻击应用层攻击盗用口令攻击加密术语加密透过数学公式运算，使文件或数据模糊化用于秘密通讯或安全存放文件及数据解密为加密的反运算将已模糊化的文件或数据还原密钥是加密/解密运算过程中的一个参数实际上是一组随机的字符串加密方法对称式加密非对称式加密哈希加密IPSEC的特点IPSec

是工业标准的安全协议，

它工作在网络层，可以用于身份验证，加密数据及对数据做认证.总之，IPSEC被用于保护网络中传输数据的安全性.IPSEC的好处:在通信前作双向的身份验证通过对数据包加密保证数据包中数据的机密性通过阻止对数据包的修改保证数据的一致性和原始性防止重播攻击IPSec对使用者及应用程序是透明性可以使用活动目录集中管理IPSEC策略IPSEC的功能可以使用ESP加密数据以及使用AH对数据作数字签名路由器路由器Tunnelmode可以使用传送模式来保护主机之间的安全可以使用隧道模式来保护两个网络的安全ESPAH路由器TransportmodeIPSEC协议组件IKE（InternetKeyExchange）

协商AH（AuthenticationHeader）数据完整性ESP（EncapsulatingSecurityPayload）数据加密IPSEC处理过程

TCP层IPSec驱动TCP层IPSec驱动加密的IP数据包3安全

互联协商(ISAKMP)2IPSec策略IPSec策略1活动目录创建

IPSec

安全策略IP

安全策略规则IP

筛选器列表IP

筛选器列表IP

筛选器列表IP

筛选器列表IP

筛选器列表筛选器操作IP

筛选器可以指派给域、站点和组织单位IPSEC策略和规则IPSec使用策略和规则保护网络通信的安全规则由下列组件组成:筛选器筛选器操作身份验证方法默认策略包括:Client(仅响应)服务器(要求安全性)安全服务器(需要安全性)默认策略联合没有策略指派客户端（仅回应）服务器（要求安全性）安全的服务器（需要安全性）没有策略指派没有IPSec没有IPSec没有IPSec不会通信客户端（仅响应）没有IPSec没有IPSecIPSecIPSec服务器（要求安全性）没有IPSecIPSecIPSecIPSec安全的服务器（需要安全性）不会通信IPSecIPSecIPSec自定义策略IPSEC规则筛选器列表（IPFilterList）筛选器操作（FilterAction）允许、阻止、协商安全隧道端点（TunnelPoint）传送模式、隧道模式网络类型（NetworkType）局域网络、远程访问、所有网络身份验证方法（AuthenticationMethods）KerberosV5、证书、预共享密钥什么是网络隔离？引入逻辑数据隔离防御层的好处包括：

额外的安全性

对可以访问特定信息的人员进行控制

对计算机管理进行控制

抵御恶意软件的攻击

加密网络数据的机制

网络隔离：在直接IP互连的计算机之间，能够允许或禁止特定类型的网络访问识别受信任的计算机受信任的计算机：受管理的设备（处于已知状态并且满足最低安全要求）不受信任的计算机：可能未满足最低安全要求的设备（主要因为此设备未受到管理或集中控制）

使用网络隔离能达到的目标通过使用网络隔离可以达到以下目标：在网络级别上将受信任的域成员计算机与不受信任的设备相隔离帮助确保设备满足访问受信任的资产所需的安全要求允许受信任的域成员将入站网络访问限制到特定的一组域成员计算机上将工作重点放在主动监视和守规上，并确定它们的优先次序将安全工作的重点放在要求从不受信任的设备进行访问的少量受信任的资产上重点关注并加快进行补救和恢复工作

使用隔离无法减轻的风险无法通过网络隔离直接减轻的风险包括：受信任用户泄露敏感数据对受信任用户的凭据的危害

不受信任的计算机访问其他不受信任的计算机受信任用户误用或滥用其受信任状态不符合安全策略的受信任设备失守的受信任计算机访问其他受信任的计算机

网络隔离如何适应网络安全？策略、过程和意识物理安全应用程序主机内部网络周边数据逻辑数据隔离

如何实现网络隔离？网络隔离解决方案的组成部分包括：满足组织最低安全要求的计算机

受信任的

主机使用

IPSec

以提供主机身份验证和数据加密主机身份

验证在本地安全策略中验证安全组成员身份，在资源上验证访问控制列表主机授权

使用网络访问组和IPSec控制计算机访问逻辑数据隔离计算机

访问

权限

(IPSec)主机

访问

权限IPSec

策略2共享和访问权限13组

策略Dept_Computers

NAG第

1

步：用户尝试访问

服务器上的共享资源第2步：IKE主要模式

协商第3步：IPSec安全方法协商

使用网络访问组控制主机访问第

1

步：用户尝试访问

服务器上的共享资源第2步：IKE主要模式

协商第3步：IPSec安全方法协商第4步：检查用户主机访问权限第5步：检查共享和访问权限逻辑数据隔离计算机

访问

权限

(IPSec)主机

访问