勇攀高峰系列课程-访问规则.ppt

勇攀高峰系列课程-访问规则,厦门高士达微软高级技术教育中心,The Problem92%of organizations who could quantify Web site attacks,reported more than 10 attacks in the past 12 months.42%of the types of attacks or misuse detected in the past 12 months were of insider abuse of Internet access.52%of organizations have experienced unauthorized use of their computer systems in the past year.65%of the organizations suffered virus attacks and 25%faced denial of service attacks.Source:“Computer Crime and Security Survey 2006”by CSI/FBI,The NeedBusinesses need to eliminate the damaging effects of malware and attackers through comprehensive tools for scanning and blocking harmful content,files and websites.,13,需求,14,外部网站,攻击者,DMZ,内部网络,Internet,Extranet Web 服务器,安全性违规要求客户确定违规的来源（哪个用户、哪台计算机、于何时、使用什么应用程序）。,未加控制的 Internet 访问会导致员工工作效率的降低，同时也会向内部网络引入病毒、蠕虫、特洛伊木马或其他攻击性脚本代码,用于向 Internet 发送公司私有信息的应用程序种类很多，包括电子邮件、新闻组、对等文件共享、即时消息传递，等等。,缓慢或不稳定的 Internet 连接会使公司置于竞争劣势的境地，同时还会降低整个员工的工作效率,1,2,3,4,顾虑,外部网站,攻击者,内部网络,Internet,集成的应用程序层防火墙、VPN 和 Web 代理,ISA Server 2006 阵列,适用于 120 余种协议的内置流量检测,针对 Dos、DDos 和 DNS 攻击增强的防护,实现高可用性的集成网络负载平衡,通过连接配额实现的增强蠕虫防护,全面的警报触发器和响应,使用 TLS 增强的安全远程管理,用于加快网页影响时间的快速 RAM 和磁盘缓存,可提高灵活性的自定义缓存规则,15,解决方案,2,深入讨论ISA Server 客户端类型及客户端的部署深入探讨及配置ISA Server 2006 访问规则如何利用ISA Server 控制网络应用安全的Web及SharePoint发布,日 程,深入讨论ISA Server 客户端类型及客户端的部署,客户端类型客户端部署,ISA客户端,安全的发布,Get https:/mail,UsernamePasswordPasscode,UsernamePassword,Get https:/team,加强服务器的保护,可自定义表单验证移动设备以及不能通过浏览器访问的应用程序身份验证,RADIUS，OTP,智能卡的支持,LDAP的支持,增强型多因素认证（智能卡、Radius OTP）和委托（NTLM、Kerberos）,单点登录,自动链接地址转换,基于Cookie的会话保持，实现冗余,Exchange,SharePoint 发布向导,更好的证书管理接口,会话闲置和超时的管理,UsernamePassword,更好的标识控制,无缝的访问,高性能,易管理,应用程序的安全发布,按数量,CSI/FBI 2005 报告,更多的向导,基于 Web 的项目OWASharePointWeb 服务器规则和网络对象其它项目SMTP 电子邮件Exchange RPC自定义规则向导根据需要创建网络元素并配置链接转换,Web 侦听器向导,身份验证证书处理HTTP 压缩,身份验证属性,用户 ID,组成员资格,协议使用,计划安排,身份验证：客户端对 ISA,HTML 表单RADIUSOTPSecurIDHTTP 基本身份验证客户端 SSL与其他方法组合或故障切换到其他方法无第三方加载项,身份验证：ISA 对验证器,Active DirectoryKerberosLDAPRADIUSRADIUS OTPSecurID,身份验证流,客户端请求访问网站,在侦听器上进行身份验证？,查询凭据,查找匹配的发布规则,规则适用于所有用户？,查询凭据,后端需要 身份验证？,查询凭据,显示发布内容,是,否,否,是,是,否,身份验证方法,身份验证方法,身份验证方法,身份验证方法,委托过程,AD,IIS,ISA Server,RADIUS,浏览器,单点登录,在单个侦听器上发布的所有应用程序之间自动进行将侦听器视为由该侦听器中所有已发布站点共享的身份验证设置容器,单点登录流,工程,开发,市场,支持,Papers，请,ID+pass,已看到您（即 Papers 已登录）,Papers，请,即时侦听器共享相同的身份验证配置文件并且 SSO 已启用,ISA配置Internet出站访问Lab,练习 1 允许来自客户端计算机的出站 Web 访问练习 2 启用客户端计算机的 Ping 命令练习 3 允许来自 ISA Server的出站访问,自定义表单集,在每个侦听器上可以不同发布规则可以重写侦听器表单,会话管理,Cookie持久会话超时空闲时间会话期间非用户活动不会重设 Cookie 定时器注销将注销 URL 添加到发布规则删除 Cookie；添加到撤销列表记录远程用户的身份,链接转换：检查中,http:/,?,链接转换：检查中,http:/,HREF=http:/,链接转换,链接转换好在哪里？使内部详细信息保持隐秘允许外部用户访问链接而不必重新编写应用程序（节省金钱）有何新功能？自动启用更快的转换引擎其方法全球通用,阵列中的链接转换,即使 Web 内容在其它阵列中也转换链接帮助提高可用性如果一个地理区域的阵列失效，则移交给另一个地理区域,服务器场,定义为一个网络对象，在您希望的任何发布规则中使用,服务器场,定义连接验证选项HTTP/S“GET”ping到某个端口的 TCP 连接,Web 发布负载平衡,使用 Web 服务器场保留应用程序上下文只有单一关联性不需要在已发布的服务器上使用 NLB消除 NAT 问题和路由错误不依赖 ISA IP 地址确保了同等地使用所有已发布的服务器能够选择平衡类型Cookie（OWA 默认）源 IP（RPC/HTTP 默认）,跟踪服务器状态,活动排空(Draining)已删除停用,跟踪服务器状态,当故障服务器恢复时，它将接受新请求；先前的请求将保留在接管服务器上,逆向缓存,缓存到 RAM,取得数据！,随着时间的推移,传输到磁盘,传输到 RAM,Web服务器及其他服务器发布Lab,练习 1 发布内部网络中的 Web Server练习 2 发布 ISA Server计算机上的 Web Server练习 3 在发布的 Web Server上执行链接转换练习 4 使用跨站点的链接转换来发布 SharePoint Server练习 5 发布用于负载平衡的 Web 场练习 6 发布多个终端Server,