1 / 45

Windows Vista 網路架構、 防火牆與 IPSec 的功能改進

Windows Vista 網路架構、 防火牆與 IPSec 的功能改進. 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT BS7799/ISO27001 Lead Auditor. 預備知識. 熟悉群組原則的使用與管理 TCP/IP 網路管理. Level 300. 講題大綱. 網路架構的新變動 Windows Firewall 的使用 IPSec 的使用 網域與伺服器隔離 (Isolation). 下一世代的 TCP/IP. 對管理員與使用者的好處 改善的安全性且不影響使用者的使用經驗

eve-vinson
Download Presentation

Windows Vista 網路架構、 防火牆與 IPSec 的功能改進

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows Vista網路架構、防火牆與 IPSec 的功能改進 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT BS7799/ISO27001 Lead Auditor

  2. 預備知識 • 熟悉群組原則的使用與管理 • TCP/IP網路管理 Level 300

  3. 講題大綱 • 網路架構的新變動 • Windows Firewall的使用 • IPSec的使用 • 網域與伺服器隔離(Isolation)

  4. 下一世代的 TCP/IP 對管理員與使用者的好處 改善的安全性且不影響使用者的使用經驗 更可靠、更方便使用也更方便管理 更佳的擴展性來彈性適用於複雜的網路環境 內建的診斷功能減少技術的協助需求

  5. 完全重新設計的TCP/IP Stack Dual-IP layer架構來支援原生的 IPv4 與 IPv6 延伸的IPSec安全整合 改善的網路效能 網路自動調校與最佳化演算法 豐富的APIs提供更佳的延展性與可靠性 Winsock User Mode Kernel Mode AFD TDI Clients WSK Clients TDI WSK TDX Next Generation TCP/IP Stack (tcpip.sys) RAW TCP UDP Windows Filtering Platform API IPv6 IPv4 802.3 WLAN Loop-back IPv4 Tunnel IPv6 Tunnel NDIS

  6. 新功能簡表 http://www.microsoft.com/technet/itsolutions/network/evaluate/new_network.mspx

  7. Receive Window Auto-Tuning Application performance with Windows Vista between Redmond and Sydney

  8. Advanced Congestion Control TCP data transfer using Compound-TCP (green) and vanilla TCP (red) between Bay Area, CA and Tukwila, WA data centers

  9. 路由區隔(Routing Compartments) 網路介面隔絕在虛擬區隔之中 一個路由區隔一個路由表 應用程式只在單一區隔中執行 隔絕功能位於 Kernel mode Client 1 Client 2 Session 1 Session 2 Session 1 Email Email IE Messenger User Kernel Ethernet VPN Ethernet Internet Intranet

  10. QoS Policies的情境 • Source/Destination IPv4/IPv6 addresses • Protocol • Source or destination ports • Application

  11. QoS Policy的使用 • 使用Differentiated Service Code Point(DSCP)值來控制(RFC 2474) • Default: 0 (Best Effort) • Example: • Backup :10 (low) • Server Apps :26(Medium) • VoIP :46 (High) • 指定 Throttle Rate • Example: HTTP 512Kbps

  12. QoS Policy • QoS Policy for Live Messenger Traffic

  13. Windows filtering platform • 系列APIs提供3rd-party產品在不同layers可以進行過濾機制 • 提供下一世代的過濾特性 • Authenticated communication • Dynamic firewall configuration based on WinSock calls • Windows Firewall and IPsec的基礎 • 與加密網路流共同運作 • e.g., RPC

  14. WFP架構

  15. 講題大綱 • 網路架構的新變動 • Windows Firewall的使用 • IPSec的使用 • 網域與伺服器隔離(Isolation)

  16. 網路封包過濾 Inbound Outbound Default: Block most Few core exceptions Default: Allow all interactive Restrict services Allow rules: Programs, services Users, computers Protocols, ports Block rules: Programs, services Users, computers Protocols, ports

  17. 功能比較

  18. 架構的改善 • 程式介面的呼叫是同步的 • 如果程式呼叫回傳成功,規則保證會被套用 • 原則變動的稽核會顯示使用者資訊 • ACLs設定在服務的API呼叫中 • 不再有登錄檔的 ACLs • 不再有權限的擴展 • 原則的設定是漸增的

  19. 設定方式 • 控制台(Control panel):類似Windows XP • 新的MMC介面來提供更多的控制 • “Windows Firewall with Advanced Security” snap-in • 事先定義在管理工具集的主控台 • 能夠遠端設定 • 整合並簡化 IPsec 設定 • 新的命令列指令 netsh advfirewall

  20. 彈性的例外設定

  21. Network Location • 自動偵測網路的變動 • Network profile service在連結時建立設定檔 • Interfaces, DC, authenticated machine, gateway MAC, … • NPS在網路變動時會通知防火牆 • 防火牆在 200ms 內變更 Location 設定 • 未加入網域時,只有 public 或 private 兩種選擇 • 本機管理員才能定義私人網路的條件情形

  22. 多網路介面的情形判斷 Examine all connected nets Is an interface connected to a net classified “private”? No All interfaces see domain controller? Host authenticate? No Is an interface connected to a net classified “public”? No Yes Set category to “private” Yes Set category to “domain” Yes Set category to “public”

  23. 設定Profile • 允許本機管理員建立規則 • 當 inbound 連線被阻隔時會出現通知訊息

  24. 規則種類

  25. Windows Firewall with Advanced Security • Profile設定 • 規則設定

  26. 防火牆規則 DO Action = {By-pass | Allow | Block} IF: Protocol = XAND Direction = {In | Out} AND Local TCP/UDP port is in {Port list} AND Remote TCP/UDP port is in {Port list} AND ICMP type code is in {ICMP type-code list} AND Interface NIC is in {Interface ID list} AND Interface type is in {Interface types list} AND Local address is found in {Address list} AND Remote address is found in {Address list} AND Application = <Path> AND Service SID = <Service Short Name> AND Require authentication = {TRUE | FALSE} AND Require encryption = {TRUE | FALSE} AND Remote user has access in {SDDL} AND Remote computer has access in {SDDL} AND OS version is in {Platform List}

  27. 規則的儲存 • 規則可以匯出/匯入

  28. 規則合併與使用順序

  29. 監視規則的情形

  30. Windows Firewall with Advanced Security • 規則匯出與監視

  31. 講題大綱 • 網路架構的新變動 • Windows Firewall的使用 • IPSec的使用 • 網域與伺服器隔離(Isolation)

  32. IPSec設定

  33. Load Balancing and Clustering • 2000/XP/2003會在節點失敗時花上 2min 來重建連線 • 1 minute: idle time expiration • 1 minute: renegotiate security associations (SAs) • Vista/Longhorn 改為監控已建立的 SAs • 如果 TCP 連線開始進行重傳,意指節點已經下線 • IPsec馬上重新與另一個節點 renegotiates SAs • 馬上進行Failover,不會影響應用程式的穩定性

  34. Load balancing and Failover renegotiate with cluster IP active SA with node 1 attempted retransmissions active SA with node 2  

  35. 新的加密演算法

  36. 改善的身分驗證 • 需要正常使用中的憑證 • 新的“extended mode” • IKE extension known as AuthIP • User authentication: Kerberos, NTLMv2, certificate • 會嘗試多種方法 • 不會在第一次失敗就放棄連線嘗試 • 以特定的順序進行嘗試

  37. IPSec的設定操作

  38. IPsec的稽核與問題診斷

  39. 講題大綱 • 網路架構的新變動 • Windows Firewall的使用 • IPSec的使用 • 伺服器與網域隔離(Isolation)

  40. Servers with Sensitive Data Server Isolation HR Workstation Managed Computer Domain Isolation Managed Computer 伺服器與網域隔離(Isolation) Active Directory Domain Controller Corporate Network Trusted Resource Server X Unmanaged/Rogue Computer X Untrusted Enable tiered-access to sensitive resources Block inbound connections from untrusted Managed computers can communicate Define the logical isolation boundaries Distribute policies and credentials

  41. 伺服器與網域隔離

  42. 講題總結 • Vista/LongHorn的網路架構提供更好的效率與管理設定 • 從安全的觀點來看,新的防火牆功能與設定更加符合未來複雜的網路應用 • 深入了解Windows Vista的新增網路功能加強來應用於特殊的環境

  43. Home Work • Server and Domain Isolation with Microsoft Windows • http://www.microsoft.com/downloads/details.aspx?FamilyID=9a3e2b2b-695d-4ff9-bcb1-5f2f3001845e&DisplayLang=en • Network Location Types in Windows Vista • http://www.microsoft.com/technet/community/columns/cableguy/cg0906.mspx • The New Windows Firewall in Windows Vista and Windows Server "Longhorn" • http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx

  44. For More Information… • TechNet • www.microsoft.com/taiwan/technet • Windows Vista • www.microsoft.com/taiwan/windowsvista • Windows Vista: Resources for IT Professional • www.microsoft.com/technet/windowsvista/default.mspx • MVP Community社群網站 • www.microsoft.com/taiwan/community

More Related