实现远程访问安全

实现远程访问安全赵翔北京中达金桥技术服务有限公司标题脆弱的网络网络本身的脆弱性病毒、蠕虫泛滥攻击时间越来越多攻击方法越来越多网络信息资源的风险人为因素黑客常用的攻击手段网络监听数据篡改欺骗中间人攻击密码破解缓冲区溢出什么是纵深防御？使用分层的方法：增加攻击者被检测到的风险降低攻击者的成功几率安全策略、过程和教育策略、过程和意识警卫、锁、跟踪设备物理安全应用程序强化应用程序操作系统加固、身份验证、更新管理、防病毒更新和审核主机网段、IPSec、NIDS内部网络防火墙、边界路由器和具有隔离过程的VPN周边网络强密码、ACL、加密、EFS、备份与还原策略数据边缘防御的目的和限制正确配置的防火墙和边界路由器是边缘安全的基础Internet和移动性增加了安全风险VPN使边缘变得脆弱，并与无线联网一起在本质上造成了网络边缘的传统概念的消失传统的数据包筛选防火墙只阻止针对网络端口和计算机地址的攻击现今大多数攻击都发生在应用程序层企业应用移动化原有的应用系统+移动能力=高效的移动信息平台企业集成交换平台EAI（应用整合、数据接口）(BiztalkServer)企业协作平台SPS,Exchange基本办公邮件新闻文档共享视频会议OA项目管理在线教育企业管理信息门户(EIP)SharepointPortalServer电子商务网上营业厅企业网站外网应用对外门户CMS,CS,Biztalk经营报表在线分析财务人力资源企业管理管理分析、决策平台SQLServer2000客服CRM资源管理ERP生产应用运营、业务支撑SQLServer统一用户管理（目录服务）(WindowsServer2003)基础网络架构(WindowsServer2003)运营维护、安全性保障(ISA,SMS,MOM)设计目标减轻非授权的使用客户信用资料的威胁减轻不可靠访问装置的威协确保用户在网络检疫期间满足所有远程访问安全的必要条件确保所有要求远程访问联接的装置不受到其它装置访问的威胁身份认证-信息安全体系的基础用于解决访问者的物理身份与数字身份一致性问题,给其它安全技术提供权限管理依据根据你所知道的信息来证明身份(Whatyouknow)假设某些信息只有某人知道，比如暗号等，通过询问这个信息就可以确认此人的身份；据你所拥有的物品来证明身份(Whatyouhave)假设某一物品只有某人才有，比如印章等，通过出示该物品也可以确认个人的身份；直接根据你独一无二的身体特征来证明身份(Whoyouare)如指纹、面貌等。单因子认证和双因子认证-安全性的提高防火墙等技术针对数字身份进行权限管理，解决数字身份能干什么的问题多因子认证ClientClientDomainControllerPasswordSingle-factorAuthenticationMultifactorAuthenticationSmartCardandPINorBiometricandPassword多因子认证使用场景CaseUsewhen:AdministrativeAccountsPerformingadministrativeactivitiesorforalllogonsValidatingaUser’sIdentitySendingsecuree-mailConnecttoaTerminalServerUsingaremotedesktopconnectionVirtualPrivateNetworksMobileusersareconnectingtothenetwork用于多因子认证的装置可以用于实现多因子身份验证的设备:生态学设备:•视网膜•指纹•声音•DNATokendevices•智能卡•存储卡•Hardwaretokens(RSASecurID)在企业中使用智能卡AdministrativeAuthenticationRemoteAccessAuthenticationSecureE-MailCodeSigningSigningCertificateRequestsTerminalServicesClientAuthenticationSmartCards了解VPN隔离网络隔离网络的标准功能包括：诸如限制或阻止获取对内部资源的访问权限的常规功能提供一个连接级别，以允许临时访问者的计算机能有效地工作，同时又不会对内部网络带来安全性风险当前仅适用于VPN远程访问解决方案隔离ISA2004VPNtunnelVPNOKNetworksVPNVPNClientsQuarantinedVPNClientsRunchecks123456AllowSMB://://://://://避开防火墙检查的通信由于SSL是加密的，因此可以穿过传统防火墙，这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器VPN通信是加密的，因此无法对其进行检查InstantMessenger(IM)通信经常不会受到检查，因此可能会用于传输文件检查所有通信使用入侵检测和其他机制在解密了VPN通信后对其进行检查请记住：深层防御使用可以检查SSL通信的防火墙扩展防火墙的检查功能使用防火墙附件来检查IM通信检查由于SSL是加密的，因此可以穿过传统防火墙，这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器。ISAServer可以解密并检查SSL通信。可以通过重新加密或明文方式将已检查的通信发送到内部服务器。保护ExchangeServer方法说明邮件发布向导配置ISAServer规则，以便将内部邮件服务安全地发布到外部用户邮件筛选器筛选进入内部网络的SMTP电子邮件RPC发布保护MicrosoftOutlook®客户端的本机协议访问。OWA发布对于通过没有VPN的不受信任的网络访问MicrosoftExchangeServer的远程Outlook用户，提供OWA前端保护最佳做法使用多因子身份验证使用ISA只允许明确允许的请求的访问规则使用ISAServer的身份验证功能限制和记录Internet访问通过ISAServer发布特定的服务器实现VPN隔离使用SSL检查来检查进入网络的加密数据使用的产品及技术WindowsServer2003MicrosoftWindowsXPProfessionalMOM2005VPNIASISA2004StandardEditionRADIUSPKIandCertificateServicesMicrosoftSQLServer2000ConnectionManagerSmartcardtechnologies是什么?只需轻轻点击，答案就在您的指尖对于IT专业人员来说，TechNet是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源每月发放包含最新信息的DVD或者CD这是最权威的资源，可以帮助你评估、配置和维护微软产品。订阅TechNet可以访问该站点在线资源和社区订户--仅仅提供在线服务TechNet网站两周发放一次的中文电子快报安全更新,新的资源等等TechNet中文电子快报有关最新微软产品介绍和技术的简报上机试验,“如何操作”等信息TechNet活动和网站消息用户群可管理的新闻组中文社区我们从哪里可以了解到TechNet?访问TechNet的官方网站注册TechNet快报加入到中文在线论坛成为TechNet的订户参与到更多的TechNet活动中或者在线了解://您的潜力，我们的动力！