管理员遇到的问题: 怎么样防止员工访问任意的网站?
怎么样防止员工任意的下载软件?
怎么样防止员工使用任意的计算机上网?
怎么样防止员工在任意的时间上网?
怎么样阻止P2P软件?
怎么样控制用户上网的带宽使用?
怎么样防止用户使用外部代理?
怎么样阻止员工使用私自安装的二级代理?
解决方案: 软件-->Sygate WinGate WinRoute CCProxy ...... ISA Server 2006!
硬件
传统防火墙所面临的问题!-->见下图:
传统防火墙之包过滤-->见下图:
传统防火墙所无法保护的项目: 看似合法的网络流量(缺乏应用层级的检查)
经过加密的网络流量,如×××或SSL
网络已经遭到***后的***行为
使用懒人密码的网络系统,如Windows Terminal、×××、Mail...
ISA 2006网络模型-->见下图:
ISA 2006策略模型: 规则顺序决定优先级-->更易理解,更有逻辑 便于查看与审计
新的,统一的规则结构-->应用于所有规则 三种类型的主要规则: 访问规则 服务器发布规则 Web服务器发布规则 应用层过滤设定为规则的一部份
默认的系统策略
访问策略元素: 协议 用户 内容类型 计划 网络对象
实验环境-->见下图:
访问策略最佳实践: 首先是尽量采取"允许需要的,拒绝所有(其他)的"的原则创建防火墙规则
拒绝对某些应用服务器IP的访问
拒绝对某些应用服务器端口的访问
对HTTP进行应用层检查,阻止相关请求头、请求URL、响应头及扩展名文件等的连接
拒绝对常用代理端口的访问,比如TCP 8080/1080/3128
关注常见的HTTP隧道登录,随时拒绝这类服务的登录服务器
利用HTTP筛选器保护网站: HTTP筛选器可适用于: 内部用户访问Internet网站的流量 Internet用户访问被发布网站的流量
HTTP筛选器可以依据下列项目进行HTTP协议的阻挡与过滤:
[方法]、[扩展名]与[URL]
[请求头]与[请求正文]
[响应头]与[响应正文]
每一条防火墙规则的HTTP筛选器设定都是独立的因此管理员可以为每一条规则进行单独的设定 见下图:
HTTP协议之签名(Signature)-->见下图:
HTTP协议之方法(Method): GET: 抓取客户端于Request-URL中所指定的资源
HEAD: 测试客户端于Request-URL中所指定的资源
POST: 上传窗体数据
PUT: 将数据上传至客户端于Request-URL中所指定的资源
DELETE: 删除客户端于Request-URL中所指定的资源
OPTIONS: 用以测试服务器端所支持的方法
TRACE: 用以进行应用层循环测试
CONNECT: 于proxy的架构中,建立[通道]
HTTP协议之客户端Request URL-->见下图:
HTTP协议之客户端请求(cont...)-->见下图:
HTTP协议之服务器响应-->见下图:
HTTP筛选器示例-->见下图:
HTTP筛选最佳实践: 建立一致性的基准-->设定最大的HTTP头、负载、URL和查询长度 验证正规化但不阻止高位字符 仅允许GET及POST方法 阻止可执行程序及包含扩展名的服务器端 阻止可能的恶意签名
使用防火墙客户端高级特性限制msn: 打开ISA Server 2006管理控制台--展开配置--按常规--在防火墙客户端设置的应用程序设置里面按新建--输入应用程序(msnmsgr.exe)、键(Disable)和值(1)
淹没缓解简介: 功能-->淹没***和蠕虫传播缓解功能 HTTP连接限制 防范特定***,包括IP数据包保护、DHCP中毒和***检测
配置淹没缓解功能限制网络使用
转载于:https://blog.51cto.com/yejunsheng/161321