|
发信人: williamlong(蓝色月光) 整理人: williamlong(2002-05-26 13:15:40), 站内信件 |
|
网络安全与网站技术白皮书 Microsoft® ISA Server 2000 由于Internet的使用与日俱增,其对安全性及执行效能所带来的挑战亦然。 相关内容 Microsoft® ISA Server 2000介绍 Internet Security & Acceleration Server 技术中心 企业组织需要控制在Internet及其内部网络间所流通的信息,也需要面对日益增加的带宽使用量-- 对前端电脑回应时间及网络资源所带来的出击。当您正在享受Internet为企业带来的竞争优势,也同时面临黑客横行与病毒肆虐,与网络带宽资源有限的环境。 如何保护您企业网络的安全? 为了让企业对外网站的存取速度加倍,确保个业的营运环境顺行无阻,已是信息部门刻不容缓的任务! Microsoft ISA Server 2000产品定位篇 Microsoft ISA Server 2000是目前唯一在Windows 2000 Server平台上,同时具有防火墙与网站快取的服务器软件。其设计是针对今日使用Internet的企业安全需求,提供多层次的企业级防火墙,并结合Microsoft ISA Server 2000专用的防毒软件,在企业Internet推出的第一道关卡,保护网络资源,以避免病毒、黑客及未获授权的存取行为。并同时加速公司内部对内与对外的存取速度,节省Internet网络带宽,并且提供使用者更快的Web存取速度。并进而进行Internet资源管理的功能。 防火墙技术导览篇-Microsoft ISA Server 2000 Microsoft ISA Server 2000本身也是具备高度扩展能力的防火墙与网站快取服务器,它与Windows 2000整合,提供了以原则为基础(policy-based)的安全性,同时也具备存取快速与易于管理的网络功能。Microsoft ISA Server 2000提供了两个高度整合的模式:一个多层次的防火墙(firewall)与一个高效率的网站快取服务器(Web cache server)。 防火墙提供了下列的功能:封包(packet)、路线(circuit)与应用程序的过滤功能;检查通过防火墙的资料的功能:存取原则(access policy)的控制(如图1):信息流量的路由(routing)。快取功能透过将最常存取的网站内容储存起来的方式,来改善网络的效率与使用者存取的速度。防火墙与快取可以分别被建置在专属的服务器,或是在同一台服务器上。 (图1) Microsoft ISA Server 2000巧妙设计的管理工具简化了原则的定义、流量路由、服务器公布与监控等工作,并以智能的管理界面,让管理者可以轻松设定防火墙与企业内部网络的复杂环境(如图2)。 (图2) Microsoft ISA Server 2000是建置的Windows 2000的安全性、目录服务、虚拟私有网络(VPN)与带宽控制的基础上,因此无论是分别建置防火墙、网站快取,或是建置成为两者兼具的整合模式,Microsoft ISA Server 2000都能够强化网络的安全性、强制实施一致的Internet使用原则、加速Internet的存取,而且不论公司的规模大小,都能够将员工的和产力提升到最高点。 企业级防火墙与网站快取服务器,它能够在效率、管理、延展性等各方面满足高Internet流量的需求,同时它也具备集中管理、多层次存取原则与容错的功能。Microsoft ISA Server 2000 Enterprise Edition为关键性任务的Internet连线,提供了一个快速、安全与高延展能力的环境。 多层次安全防护技术篇(Multilayer Firewall Security) 防火墙能够透过各种不同的方法来强化其安全性,这其中包含了封包过滤、路线过滤与应用程序的过滤。高阶的企业级防火墙,例如Microsoft ISA Server 2000所提供的,则同时包含了这些功能,以提供一个多层次的网络层保护(如图3)。 (图3) 路线层级的过滤(circuit-level filtering) 在路线层级方面,Microsoft ISA Server 2000的防火墙服务能够支援几乎所有的Internet应用程序,例如Telnet、mail、news、Microsoft Windows Media(technologies、RealAudio与Internet Relay Chat (IRC)等,另外还有其他用户端的应用程式。防火墙服务让这些应用程序执行起来就好像是直接连接着Internet一般。 封包过滤(packet filtering) Microsoft ISA Server 2000的封包过滤功能,让系统管理员能够控制IP封包如何的进出Microsoft ISA Server 2000。当封包过滤的功能启用后,除非是那些经过封包过滤器所允许的封包,或是那些由存取原则、公布规则所允许的封包的外,其它所有由外界传来的封包都会被丢弃。 IP封包过滤功能会先将封包拦截并经过检查、评估后,再传送到防火墙内较高的阶层或是应用程序过滤器(如图4) (图4) IP封包过滤功能能够被设定只让特殊的封包通过Microsoft ISA Server 2000,为网络提供了一个高阶的安全防护。IP封包过滤功能能够阻止由Internet上特定的某一台主机所传来的资料,也可以拒绝许多常见的、具攻击性的封包。IP封包过滤功能也可以阻止将封包传送到内部网络的任何一个服务,包含Web proxy、网站、SMTP服务器等等。 Microsoft ISA Server 2000的动态(dynamic)封包过滤功能,只有在需要通讯的时侯,才会将所需的端口(port)开启,并且会在通讯结束时将其关闭。这种动态的方式降低了将端口曝露在外的危机,因而提高了网络的安全等级。 应用程序层级的过滤功能(application-level filtering) Microsoft ISA Server 2000防火墙所提供的封包检测功能中最复杂的是其应用程序层级的安全功能(如图5)。一个聪明的应用程序过滤器能够分析欲送给某一程序的数据流(data stream),并且提供针对应用程序的处理程序,例如检测、screening、阻止、转向、甚至在通过防火墙时修改其数据。 这些措施可保护一些已知的的安全漏洞,例如不安全的SMTP指令或是攻击内部DNS服务器的行为。另外由协力厂商所提供的内容screening工具,包含病毒的侦测、词汇(lexical)的分析、站台的分频(site categorization),也使用了应用程序与网站过滤器来进一步的扩展防火墙的功能。 (图5) 安全状态与黑客侵入侦测篇(Multilayer Firewall Security) 安全状态检测(stateful inspection) 安全状态检测是根据其通讯协定与连线状态,来检测通过防火墙的资料。以封包的层级来说,Microsoft ISA Server 2000检测资料内的IP header中的来源与目的位址,并透过TCP或UDP header来辨认所需的服务器服务或应用程序。 整合式的侵入者侦测功能(integrated intrusion detection) 除了具备市场上防火墙产品所具备的功能,Microsoft ISA Server 2000能够帮助系统管理员辨认与回应一般的服务器攻击行为,例如端口扫描(port scaning)、WinNuke与Ping of Death等攻击行为(如图6)。这个技术让Microsoft ISA Server 2000具备了整合式的侵入者侦测机制,以便辨认这类型的攻击行为。这个警示功能也指出当攻击行为被识破时,Microsoft ISA Server 2000会采取的措施,例如传送e-mail或警告信息给系统管理员、停止防火墙的服务、将该事件记录到系统记录档案(system log)、执行一个程序或是指令档(scripts)等。透过协办厂商的额外协助,ISA Server还可以帮助系统管理员辨认与处理其它的一般网络攻击行为。Microsoft ISA Server 2000是将侦测侵入者的功能同时建置在封包过滤与应用程序过滤的层级上。 (图6) 高效率的网站快取篇(High Performance Web Cache) Microsoft ISA Server 2000完全重新设计的网站快取功能,让其可以将快取资料放到RAM中。这个高效率的网站快取功能为后端提供了一个高度延展性的平台,以节省网络带宽的使用,并为网站的用户端提供了一个整体快速的网站的内容存取时间。 Cache Array Routing Protocol Microsoft ISA Server 2000透过Cathe Array Routing Protocol(CARP)来支援将多台ISA Server组成一个阵列(array),并提供高延展性与高效率的功能。CARP使用hash-based路由功能来决定如何按用户端的要求,从阵列中找到一个最佳的路径(request resolution path)。这个"request resolution path"是依据阵列成员辨识码与URL路径所组成的杂奏乱数(hash)来决定的,它可以让送出URL的要求的任何浏览器端或是下层的proxy server,都能够确实知道这些数据是储存在阵列的何处。 快取键的设定(chained-configuration cache placement) 此处的"快取键"指的是个别的ISA Server之间或是ISA Server阵列的服务器之间的逻辑结构上(hierarchical)的连接。透过快取键,用户端的需求会被送到此快取键中,并依序的在此快取键的服务器中找寻所需的物件,一直到所需的物件被找到为止。在找寻的过程中,该物件会被快取到每一台服务器内,一直到回应给用户端为止。快取键的设计变得是一个分散服务器负担与提供容错功能的有效方法。透过Microsoft ISA Server 2000提供的这个分散式的网站快取功能,让使用者可以直接而快速的取得所需的网页,不需要到网站去读取。同时您也可以透过快取键的设定,将使用者所需要的内容放到离使用者愈近的服务器愈好,以便让用户端的存取速度加快,并降低WAN的流量与网络负担。 Active Caching Microsoft ISA Server 2000的Active caching功能,让它能够事先自动更新快取内的物件,以便将网络带宽的使用最佳化。有了Active caching,在那些经常被存取的物件的有效期限到之前,Microsoft ISA Server 2000会利用网络流量较少的时段,自动将其更新。Active caching会在物件有效期限到期之前与使用者存取之前,比较物件来源的服务器与快取,以便确保快取内的数据为最新的版本。它的目的是让需要来回存取原始服务器的用户端,可以加速的存取到所需的资料。但是由于有成本方面的考虑(指在处理cache时所需花费的成本与网络带宽两方面),因此它的目标是只更新那些用户端未来比较可能会存取的物件。 Internet资源管理篇(Internet Resource Management) 当企业所有员工正在享用Internet专线所带来的便利时,公司的管理当局,同时也会思考,是否有员工利用上班时间上不适当的网站?是否有员工大量占用网络带宽?公司的带宽是否需要再投资扩充?……等管理问题。 Microsoft ISA Server 2000帮企业在Internet的进出大门架设好一个具有保护的大门,而系统管理者可以依据公司内部所有的进出Internet的使用者的记录,分析与了解Internet的带宽资源是如何被使用,并可制作(如图7)的报告呈报管理当局。 (图7) 使用统一的管理方式来降低网络的复杂度与成本 Microsoft ISA Server 2000藉由针对使用者、群组、应用程序、目的地、排程、以及网页内容类型的存取控制方式来实施Internet的使用原则(usage policy),提供以人为主体的管理功能,这是因为整合Windows 2000 Active DirectoryTM目录服务来管理ISA Server的使用者、设定值及规则。身份验证、网络服务、管理工具及带宽控制等功能整合并且延伸了Windows 2000的技术。并且让管理者可以使用一致性的工具和规则来管理防火墙、网站快取及proxy服务,其中包括了存取控制、报表(如图8)、警示及监视。 (图8) 防毒与防黑客的全方位网络安全机制 Microsoft ISA Server 2000可透过协力厂商所提供的网页内容安全功能、防毒、管理工具、站台封锁、报表及其他更多功能,来延伸及加强Microsoft ISA Server 2000平台的内容。如目前国际知名的防毒厂商趋势科技已在Microsoft ISA Server 2000上面加值开发了一套防毒技术,让Microsoft ISA Server 2000在Internet的大门,就可以将病毒与黑客拒绝门外。 Microsoft ISA Server 2000相关技术文件请参考: http://www.microsoft.com/taiwan/isaserver/techinfo 其它产品相关信息请参考: http://www.microsoft.com/taiwan/isaserver Microsoft ISA Server 2000防火墙功能一览表 Microsoft® ISA Server 2000产品规格一览表 ▼规格(通过ICSA认证) ▼说明 企业级防火 墙安全性 支持Multilayered Firewall Security,结合「静态及动态封包筛选」、「线路筛选」、「应用程序筛选等」三层式防火墙。 公司可以利用封包层级 、线路层级与应用程序层级的通讯流量筛选,来达到最大的安全性: 「静态及动态封包筛选」 将决定允许哪些封包可以传送到安全的网 络线路及应用程序层代理(Proxy)服务。动 态筛选功能只有在必要时才会自动开启端口,然后在通讯结束时便会关闭端口。 「线路筛选」 将提供应用 程序透过线路闸道器,以便在多平台上存取Telnet、 RealAudio、 Windows MediaTM技术、IRC及数种其它Internet服务。不同 于其它线路层的proxies, Microsoft® ISA Server 2000线路层安全使用动态封包筛选,以加强安全性并达成易于使用的特性。 「应用程序筛选」 了解用户端 个人电脑的应用程序通讯协定(如HTTP、 FTP及Gopher)内的指令。Microsoft® ISA Server 2000会隐藏 网络拓朴及IP地址,让外界无法从网络外看到用户端个人电脑。 支持Content of Protocol的状态检查(Stateful Inspection) Microsoft® ISA Server 2000会根据 通信协定的内容,动态且智能性地检查通过防火墙的通讯内容,以及连线的状态,来确定通讯的完整性,并且 防止安全遭到破坏。 超强智能型应用程序筛选功能 -Smart Application Filtering Microsoft® ISA Server 2000远超过 基本应用程序筛选的层次,因为它利用数据筛选器来控制专属于应用程序的通讯。您可根据透过HTTP、FTP、SMTP电子邮件、H.323多方会议、数据流媒体及PRC的智能型筛 选的通讯内容,来接受、拒绝、重新导向并修改通讯。 安全服务器公布-Secure Server Publishing 公司可以透过安全服务器公布,保护Web服务器、电子邮件服务器及电子商务应用程序,避免遭到外来的攻击。Microsoft® ISA Server 2000可以模 拟公布的服务器,如此将新增另一安全层。Web籍由允许公 司指定哪些电脑可被存取,公布规则来保护内部Web服务器。服务器公布规则将保护内部服务器,避免遭到外来使用者的强行存取。 侵入侦测与自动防护系统 来自Internet Security Systems( ISS)的技术为基础的整合入侵侦测功能,可侦测到网络 入侵的尝试行为,如端口扫瞄、WinNuke及 Ping of Death,并可产生 警示并执行适当的步骤。 整合的虚拟私有网络 公司可以利用Windows® 2000的整合式私 有网络服务,来提供标准式的、安全的远端存取功能。Microsoft® ISA Server 2000支持可 将分公司或远端使用者连接到公司网络,并且可安全的利用VPN来存取。 Windows® 2000系统保护向导 公司可视Microsoft® ISA Server 2000如何在 网络运作,决定如何让系统加强向导透过适当的安全层来锁住Windows® 2000。 高效率数据流媒体分割-Streaming Media Splitting 公司可以透过Microsoft® ISA Server 2000的数据 流媒体筛选器来分割即时媒体数据流,以节省带宽。可以一次从Internet取得信息,然后将它放在本端的Windows Media Technologies Server上,供其它用户端存取。 智能型SecureNAT技术,不需Client端的设定 SecureNAT对所有IP用户端提供 可扩充的、透通式的防火墙保护,它是利用有效的通用IP地址来取代内部IP地址的方式 ,并且不需要额外的用户端软体或设定。 支援NTLM及Kerberos等强大的使用者验证功能 强大的使用者验证功能,提供了整合式的 Windows验证(NTLM及kerberos)、用户端认证及摘要(digest)来取得支援;同时也支援基本及匿名Web验证 支持 Dual-Hop SSL 128 Bit超强加密功能 对于需要用户端验证及加密的Web服务器来说,ISA Server可以透过双 重跃进SSL验证,来提供端对端的安全性及防火墙筛选。 ISA Server将验证使用 者的用户端认证数据、检查数据,然后呈现自己的服务器认证数据给Web服务器,以便进行第二次验证。不同于大多数的防火墙,加密的数据可在到达Web服务器之前,先加以检查。 Web快取服务器 支持高效能Internet Web快取功能 透过Microsoft® ISA Server 2000的快速 RAM快取及有效率的磁盘作业,让内部用户端在存取 Internet时、外部Internet使用者在存取公司Web服务器时, 能够提高Web效能。 支持智能型快取-Smart Caching 因为事先快取常用的物件,所以可确保每一位使用者 得到最新的内容。根据物件已快取的时间,或是上次截取物件的时间,Microsoft® ISA Server 2000将自动 决定哪些网站最常用,以及它们的内容应该更新的频率。Microsoft® ISA Server 2000可以事 先在网络使用率低时,预载该Web内容到快取 ,而不需要网络管理员的介入。 支持排程快取-Scheduled Caching 公司可以在指定的时间内将整个网站预载到快取。排 程的下载将确定每一位使用者可得到最新的快取内容,以及确定一致的镜像服务器及离线可用性。 分散式及阶层式快取-Distributed and Hierarchical Caching 利用Microsoft® ISA Server 2000,公司 可以在ISA Server电脑的陈列 之间设定分散式的内容快取。Microsoft® ISA Server 2000可进一 步扩充分散式的快取,因为它允许设置快取阶层,亦即将ISA Server电脑链在一 起,以便用户端可以存取最接近他们的快取。 一致的管理 原则式的存取控制-Policy Based Access Control 公司可以依据使用者及群组、应用程序、目的地、内 容类型及排程,来控制内送与外传的存取行为。原则向导可以指定哪些站台及内容可被存取、是否允许特定通 讯协定内送与外传、以及设定特定的IP位之间,是 否可以利用指定的通讯协定及端口来进行通讯。 多层次的管理-Multilevel Management Microsoft® ISA Server 2000透过阵 列层级存取原则及企业层级原则,来支援多层次的原则管理。这可让分公司及部门层级的系统管理员不但可以 采用企业原则,还可以根据其特定需求,来设定本机存取规则。 支持Qos带宽管理功能-Bandwidth Management 公司可以节省带宽并管理网络用量,其方法为按照群 组、应用程序、站台或内容类型,来排定特定Internet要求的带宽 配置的优先顺序。Microsoft® ISA Server 2000会善用 Windows® 2000的 Qos(服务品质)特色。 与Active Directory完全整合 所有使用者、规则及设定信息都可以集中存放在 Windows® 2000服务器 Active Directory服务,并且 在其中加以管理。尽管它不是部署ISA Server 2000的必要项目 ,但是Active Directory允许共用 schema(纲要)、实施快取阵列、并自动采取企业设定、存 取原则、公布原则、以及监视设定值。 图形式工作台及设定向导 图形式工作台及向导简化了一般工作的流程及设定。 例如,向导可以在网络上公布位于ISA Server电脑后面的 Exchange-based的服务器、将ISA Server 2000设成 VPN闸道器、或是建立新的站台及内容规则。 远端管理 您可以透过Windows® 2000 Server所附的 MMC或Windows® 2000终端机服务 ,在远端管理ISA Servers 2000。透过 DCOM,系统管理员可以使用指令行指令档(command-line scripts)来管理 ISA服务。 记录、报告与并支持移动电话警示通 知 详细的安全及存取记录将以标准数据格式来提供,如 W3C及ODBC。公司可以在Web使用情形、 应用程序使用情形、网络通讯类型及安全上执行排定的内建报告。事件驱动的警示可将电子邮件寄与结合 Microsoft® Exchange 2000 Server和无线通知功能给系统管理员、启动及停止服务,并且根据警示准则自动采取适当措施。 使用者层级的管理 对于ISA防火墙服务用户端,公司可以依据每一位使用者,而不只是IP地址来限制存取,因此可以对所有通讯协定的内送与外传的存取启用更细致的存取控制。 可开发与扩 充的平台 最广泛的通讯协定与应用程序支援 Microsoft® Exchange 2000 Server支援许多Internet通讯协议, 包括HTTP、FTP、RealAudio及RealVideo、IRC、 H.323、Windows Media数据流、以 及邮件与新闻通讯协议 与防毒软体和其它加值软件整合 独立厂商提供了若干依照Microsoft® ISA 2000 Server来建立 且与之整合的产品,如病毒侦测、管理工具、内容筛选及报告。例如,公司可以使用协办厂商的筛选器来防止 最新的病毒、Java指令档或Active® Controls被下载到他 们的安全网络。 完备的SDK Microsoft® ISA 2000 Server包括完 备的SDK,可用来开发使用于ISA Server防火墙、快 取及管理功能的工具。它提供完整的API文件及逐步 范例,来建立其它的Web筛选器、应 用程序筛选器、MMC嵌入式管理单元、报告工具、可编写指令码的指令、 警示管理、以及其它项目。 防火墙功能比较表 防火墙产品规格比较一览表 :全部 :部份 :无 Microsoft ISA Server 2000 Check Poin Cisco Pix ★企业级防火墙安全性 支持Multilayered Firewall Security,结合静态及动态封包筛选、线路筛选、应用程序筛选等三层式防火墙。 支持Content of Protocol的状态检查(Stateful Inspection) 超强智能型应用程序筛选功能-Smart Application Filtering 安全服务器公布-Secure Server Publishing 侵入侦测与自动防护系统 整合的虚拟私有网络 Windows®2000系统保护精向导 高效率数据流媒体分割-Streaming Media Splitting 智能型SecureNAT技术,不需Client端的设定 支持NTLM及Kerberos等强大的使用者验证功能 支持Dual-Hop SSL 128 Bit超强加密功能 ★Web快取服务器 支持高效能Internet Web快取功能 支持智能型快取-Smart Caching 支持排程快取-Scheduled Caching 分散式及阶层式快取-Distributed and Hierarchical Caching ★一致的管理 原则式的存取控制-Policy Based Access Control 多层次的管理-Multilevel Management 支持QoS带宽管理功能-Bandwidth Management 与Active Directory完全整合 图形式工作台及设定向导 远端管理 记录、报告并支持行动电话警示通知 使用者层级的管理 ★可开发与扩充的平台 最广泛的通讯协定与应用程序支持 与防毒软体和其它加值软体整合 完备的SDK 升级版(CVUP)的适用对象为下列产品的合法授权用户 ★ Microsoft® Proxy Server ★ Novell BorderManager,Firewall for Windows® NT ★ Check Point Firewall-1,VPN-1 ★ CacheFlow,IBM SecurityWay Firewall,WebSphere Cache,... ★ Cisco Cache Engine,PIX Firewall 功能 一般版 企业版 ▲服务器的建置 单机运作 多机的集中管理 ▲原则的设定(policy support) 服务器本机 服务器阵列 ▲硬件支持 4颗CPU 无限制 Web快取 ▲延展性 适合小型企业 适合中大型企业 ▲分散式与阶层式快取 仅阶层式 皆有 统一的管理 ▲Windows® 2000 Active Directory整合 有限 完全 ▲多层次原则 无 有 ▲多服务器管理 无 有         ---- 青青子衿,悠悠我心 |
|
[关闭][返回] |