ISA与企业网络安全管理课件

一、企业网络安全系一、企业网络安全系统的构建统的构建ISA的安全结构1企业为什么需要企业为什么需要ISA2000n n网络资源合理分配的需要n n网络内容安全合法的需要n n网络故障排除和内部安全的需要n n员工上网管理的需要n n费用控制的需要n n网络资源共享使用的需要n n提高网络速度和效率的需要2ISA2000主要解决的企主要解决的企业网络安全问题业网络安全问题代理服务代理服务资源共享资源共享防火墙服务防火墙服务安全管理安全管理缓冲服务缓冲服务提高网络效率提高网络效率视频服务视频服务多媒体支持多媒体支持3ISA安全体系结构安全体系结构4防火墙功能防火墙功能n n内网、外网访问控制内网、外网访问控制n n攻击检测攻击检测n n访问权限控制访问权限控制5代理服务功能代理服务功能n n共享网络资源共享网络资源n n实现高速上网实现高速上网n n控制内部上网控制内部上网n n控制协议使用控制协议使用n n控制时间范围控制时间范围6加速功能加速功能n n通过缓冲区提高上网速度n n根据带宽优先级别调整上网速度7网络资源合理分配网络资源合理分配8网络资源管理范围网络资源管理范围n n时间n n协议n n站点n n内容n n流量n n权限9时间时间n n对网络使用时间的控制n n充分利用Schedule Rule10协议协议n n对网络各种协议的控制n n利用Protocol Rule 控制协议n n自己建立新的协议11站点站点n n对外部网络站点的控制n n利用Destionation Rule实现对外部站点的控制12内容内容n n对网络访问文件内容的控制n n利用Content Rule实现对各种外部网络内容和各种文件类型的访问控制13流量流量n n建立带宽优先级，分配优先级小组n n通过Bandwith Rule 确定上网人员的不同优先级别14权限权限n n通过权限管理，控制网络用户的对网络使用的不同权限n n利用Incoming,Outgoing,Request 等控制不同的上网方式n n通过Client Address Rule 分配不同的用户权限小组15分配管理的策略分配管理的策略n n站点内容规则 Site and Content Rulen n协议规则 Protocol Rulen n时间规则 Schedule Rulen n优先权 Bandwith Rulen n网络数据筛选规则 IP Packet Filtern nLAT和LDTn n用户规则16站点内容规则站点内容规则n n设置了不同用户对不同网络站点和内容的访问控制n n什么人n n什么时间n n什么内容n n什么方式17协议规则协议规则n n通过对网络协议的控制，实现用户上网请求的控制n n什么人n n什么时间n n可用的网络协议（不仅仅是浏览器方式的上网，包括邮件、专用客户端程序等实用的协议）18时间规则时间规则n n通过制定时间规则，对不同的用户组进行上网时段的控制19优先权优先权n n分配不同的优先级别控制不同用户使用网络的优先级20LAT和和LDTn n建立基于IP地址的阵列，控制通过 ISA 访问网络的不同的用户IP地址段n n通过基于Window Domain 的网络，控制不同的域用户通过ISA访问网络的方式21用户规则用户规则n n通过对网络不同用户的分组和权限分配，管理不同用户上网n n基于用户IP的小组划分方式n n基于Windows用户管理机制的小组划分方式22访问策略访问策略n n通过访问策略n n利用已经设置好的规则控制网络访问权限利用已经设置好的规则控制网络访问权限n n利用已经设置好的规则控制网络资源利用已经设置好的规则控制网络资源n n利用已经设置好的规则控制网络使用时间利用已经设置好的规则控制网络使用时间n n利用已经设置好的规则控制网络流量利用已经设置好的规则控制网络流量n n利用已经设置好的规则控制网络应用程序利用已经设置好的规则控制网络应用程序23发布规则发布规则n n通过发布规则n n控制控制WebWeb发布（向外、向内）发布（向外、向内）n n控制外部非法攻击控制外部非法攻击n n控制服务器间发布控制服务器间发布24IP筛选器筛选器n n通过建立筛选器，实现网络协议数据包的筛选n n控制网络远程计算机和本级计算机的各种网络协议的侦测方式n n控制各种协议的使用25应用程序和应用程序和Web筛选器筛选器n n通过内置的应用程序过滤器，控制网络各种应用程序的使用，如邮件软件是否可以发送附件等n n通过Web筛选器控制对网站和网页内容的过滤，需要第三方开发的插件产品n nISA提供了可扩展的开发接口，让用户可以根据需要扩充不同的筛选器26网络事件及时处理网络事件及时处理n n通过系统监视功能（LOG、Report Job）n n监视服务器监视服务器n n监视上网人员在线情况监视上网人员在线情况n n监视网络使用的各种数据监视网络使用的各种数据n nIPIP，用户上网情况，用户上网情况n n接收发送流量接收发送流量n n占用网络时间占用网络时间n n网络各种事件发生情况网络各种事件发生情况27二、各种安全措施分二、各种安全措施分析析常用安全管理功能28服务器管理服务器管理n n服务器状态监测服务器状态监测n n事件状态监测事件状态监测n n工作状态监测工作状态监测n n日常报告和日志日常报告和日志29人员上网权限管理人员上网权限管理n n内网访问权限内网访问权限n n外网访问权限外网访问权限n n浏览器权限浏览器权限n n拨号上网管理拨号上网管理30人员上网控制管理人员上网控制管理n n部门及人员管理部门及人员管理n n外网资源管理外网资源管理n n网站内容管理网站内容管理n n上网时间管理上网时间管理31人员上网功能管理人员上网功能管理n n上网功能管理上网功能管理n n网络开通时间管理网络开通时间管理32人员上网安全管理人员上网安全管理n n设置防范措施设置防范措施n n查看预设措施查看预设措施n n设置攻击控制设置攻击控制33人员上网优先级管理人员上网优先级管理n n优先权分配优先权分配n n优先权使用时间管理优先权使用时间管理34网络缓冲管理网络缓冲管理n n设置预先下载设置预先下载35ISA其他常用网络管理其他常用网络管理n n服务器设置服务器设置n n网络设置网络设置n n日志和报表设置日志和报表设置n n客户端设置客户端设置n n警报设置警报设置36三、三、ISA实现网络安全实现网络安全管理管理结合企业业务加强安全管理37ISA实现安全管理的三部曲实现安全管理的三部曲n n第一步：制定策略元素n n第二步：组织控制策略n n第三步：实施控制策略（启用否）说明：ISA必须在真实的网络环境中配置，有些功能在没有其他计算机与ISA服务器连接的时候无法设置和看到效果38案例一：谁可以上网案例一：谁可以上网n n手段手段n n建建 立立 Client Client Address Address SetSetn n建立建立 Access Policy Access Policyn n启用启用/不启用不启用39案例二：何时让用户上网案例二：何时让用户上网n n手段手段n n建立建立Schedule Schedule 策略策略n n建立建立Access PolicyAccess Policyn n启用启用/不启用不启用40案例三：是否允许使用邮件案例三：是否允许使用邮件n n手段手段n n建立建立Protocol SetProtocol Setn n建立建立Access PolicyAccess Policyn n启用启用/不启用不启用41案例四：是否允许使用聊天软件案例四：是否允许使用聊天软件n n手段手段n n建立建立Protocol SetProtocol Setn n建立建立Access PolicyAccess Policyn n启用启用/不启用不启用42案例五：是否可以上搜索引擎网案例五：是否可以上搜索引擎网n n手段手段n n建立建立Destination SetDestination Setn n建立建立Access PolicyAccess Policyn n启用启用/不启用不启用43案例六：是否可以访问多媒体网页案例六：是否可以访问多媒体网页n n手段手段n n建立建立Content SetContent Setn n建立建立Access PolicyAccess Policyn n启用启用/不启用不启用44案例七：设置攻击检测案例七：设置攻击检测n n手段手段n n设置设置 IP Filter IP Filtern n启用启用/不启用不启用45案例八：防止外部非法入侵案例八：防止外部非法入侵n n手段手段n n建立建立 Web Publish Rule Web Publish Rulen n启用启用/不启用不启用46案例九：设置不同的上网优先权案例九：设置不同的上网优先权n n手段手段n n建立建立Bandwith SetBandwith Setn n建立建立Access PolicyAccess Policyn n启用启用/不启用不启用47案例十：防止案例十：防止Nimda病毒病毒n n手段手段n n建立建立Site and Content SetSite and Content Setn n建立建立Access PolicyAccess Policyn n启用启用/不启用不启用48案例十一：防止案例十一：防止ISA服务停止导致无服务停止导致无法上网法上网n n手段n n设置网络设置网络Client Client 的的 Web Browser Web Browser49感谢感谢安全管理，事在必行安全管理，事在必行ISAISA防火墙系统防火墙系统=全面的安全管理全面的安全管理50谢谢！