1 / 25

ISA Server 2006 新功能介紹

ISA Server 2006 新功能介紹. 精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/ MCSE:Security /CISSP/SSCP. Agenda. ISA Server 2006 概觀 安全遠端存取新功能 企業分公司安全性新功能 網際網路存取保護新功能. 何謂 Forefront ?. 是一套完整的企業營運安全性產品 可用來協助企業經由深度整合與簡化管理 的方式取得更完善的防護. 用戶端與 伺服器 作業系統. 伺服器 應用程式. 邊際端. ISA Server 2006 簡介.

geraldine-salinas
Download Presentation

ISA Server 2006 新功能介紹

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ISA Server 2006新功能介紹 精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP

  2. Agenda • ISA Server 2006 概觀 • 安全遠端存取新功能 • 企業分公司安全性新功能 • 網際網路存取保護新功能

  3. 何謂 Forefront ? 是一套完整的企業營運安全性產品可用來協助企業經由深度整合與簡化管理的方式取得更完善的防護 用戶端與伺服器作業系統 伺服器應用程式 邊際端

  4. ISA Server 2006 簡介 • ISA Server 2006 是一套企業級防火牆及網站快取伺服器。 • 藉由 ISA Server 2006 可以為企業網路提供如下的特性: • 安全的 Internet 連線 • 快速的 Web 存取 • 一致性的管理 • 可延伸的平台 • 高可用性、錯誤移轉及備援

  5. ISA Server 2006 新功能概觀

  6. 安全遠端存取 • 安全應用程式發行 • 使用者身份驗證 • 工作階段管理 • Web 發行負載平衡 • 伺服器發佈 • 憑證管理 • 單一登入 • 連結轉換

  7. 安全應用程式發行 • 整合的安全性 • 增強的多重驗證機制 (智慧卡、單次密碼) • LDAP 驗證支援 • 可自訂表單型態的預先驗證 • 增強的驗證委派 (包括 NTLM、Kerberos 和 SecurID) • 改善的工作階段管理 • 有效的管理 • 提供 Web 發行負載平衡 • 提供 Exchange、SharePoint 和其他 Web 伺服器的自動化工具 • 增強的憑證管理 • 快速安全的存取 • 單一登入 • 自動化連結轉換

  8. 使用者身份驗證 • ISA Server 2006 在用戶端身份驗證所做的加強包括了 • 支援可完全自訂化的 HTTP 表單驗證機制:以往 ISA Server 所支援的表單驗證機制僅限於對 Exchange Server 的 OWA,而 ISA Server 2006 除了支援 Exchange Server OWA 的表單驗證機制之外,另外也可以對一般的網站進行表單驗證的支援,並且後端的驗證伺服器可以為 AD、LDAP、RADIUS、SecureID 及 RADIUS 單次密碼驗證。 • 增強的驗證委派:以往使用者在經由 ISA Server 存取後端網站時,倘若 ISA Server 本身的驗證機制啟動;而網站本身的驗證機制也啟動,則此時使用者必須輸入二次帳號/密碼。為了解決這個問題,管理者可以啟動 ISA Server 的「基本委派」功能,如此使用者只需要登入一次,便可以通過 ISA Server 及網站主機的驗證。但是此方法僅限於「基本驗證」機制,如果使用其他的驗證機制,則 ISA Server 將不提供基本委派的功能。在 ISA Server 2006 中,驗證委派的部分除了支援基本驗證外,另外也開始支援了包括 NTLM、Kerberos 及 SecurID 等驗證機制。

  9. 工作階段管理 • 在傳統的驗證過程中,使用者被驗證成功的狀態,是由用戶端的電腦所保留。如此的驗證方式在某些情況中,可能會造成使用上的不便(使用者可能常常需要重新驗證)或是安全上的瑕疵(使用者已經登出,但系統卻仍然保留驗證成功的狀態)。 • 表單驗證的運作機制為使用者在通過身份驗證後,系統會發給使用者 cookie,而往後使用者的身份將經由此 cookie 進行確認。因此只要 cookie 保持在有效的狀態,則使用者就不需要對系統進行重新驗證的動作。並且當使用者的工作階段結束(如登出或關閉瀏覽器),則 cookie 將喪失其有效性,如此將可以確保系統的安全性。 • ISA Server 2006 在工作階段的管理(cookie 的有效性管理)除了保有 ISA Server 2004 的優點外,另外更增加了對於不同狀態電腦可以提供更有彈性的設定,包括了是否要使用永久有效的 cookie、或者是對公用電腦與私有電腦可以有不同的設定。

  10. Web 發行負載平衡 • 當企業的網站需要提供給大量的使用者進行存取時,最快的解決方案便是建構所謂的「網站伺服器農場」。然而該如何讓農場中的每一部伺服器都可以適當的為使用者提供服務,則常見的作法有: • DNS 輪詢。其優點為簡單、其缺點為缺乏容錯及負載平衡的效果。 • Windows NLB。其優點為可以達到容錯及負載平衡的效果、其缺點為設定上較為複雜。 • 為此 ISA Server 2006 提供了第三種作法,也就是由 ISA Server 發佈後端整個網站伺服器農場。其特性為設定上較 NLB 容易,並且一樣可以提供容錯及負載平衡的效果。 • 負載平衡的部分可以採 cookie based 或 source-IP based。 • 容錯的部分,ISA Server 則可以直接對伺服器農場中的每一部主機進行狀態的監控。無法提供服務的伺服器,ISA Server 將不會把使用者的請求導向至該主機。並且當主機需要維護時,管理者也可以手動的將主機設定為「排出(Draining)」的狀態,如此將不會影響到既有的使用者,並且新的使用者也將不會被導向至該部主機。

  11. 伺服器發佈 • ISA Server 2006 針對伺服器發佈所新增的功能有: • 為 Exchange Server 相關的 web 存取設計了專屬的發佈精靈,可支援 Exchange 5.5、2000、2003 及 V12。發佈作業可以針對單一的 Exchange Server或針對伺服器農場進行發佈。 • 為 SharePoint 設計了專屬的發佈精靈。 • 網站發佈精靈可以發佈單一網站、伺服器農場或者同時發佈多個網站。

  12. 憑證管理 • 對於安全的網路架構而言,憑證服務永遠扮演著重要的角色。特別是在 SSL 的運作機制中,憑證更是不可或缺的關鍵要素。但是也因為這樣的原因,當管理者在進行 ISA Server 相關設定時,卻常常因為憑證的問題而造成了系統無法正常運作。 • ISA Server 2006 在憑證管理作業新增的功能有: • 在單一的 Web Listener 中,支援多張憑證的使用。 • 在 ISA Serve 2006 的管理介面中可以直接檢視憑證的狀態 • 在警示功能中增加了憑證逾期的相關事件。當憑證逾期時,管理者可以檢視或收到警示通知。

  13. 單一登入 • 當使用者經由 ISA Server 存取企業內部的多個網站時,由於每一個網站都啟用了自身的驗證機制,因此使用者必須要對每一個網站進行各自的身份驗證,如此將造成使用者在使用上的不便。 • 藉由 ISA Server 2006 所提供的 SSO,使用者在通過驗證後,便可以不需要單獨的對後端每一個網站進行額外的身份確認。 • 使用 SSO 的條件為: • ISA Server 使用表單驗證機制驗證使用者身份。 • ISA Server 所發佈的網站必須採用相同的 DNS 尾碼。

  14. 連結轉換 • 當企業內部網站被發佈至 Internet 時,網頁中超連結所指向的路徑,可能會有讓外部使用者無法存取的問題。這是因為網頁中超連結所指向的都是外部網路所存取不到的內部網路位址(主機名稱)。 • 藉由 ISA Server 所提供的連結轉換功能,這樣的問題可以輕鬆解決。因為在啟用連結轉換功能後,ISA Server 可以將網頁中超連結所指向的內部位址相對轉換為外部位址,或者也可以利用關鍵字的方式,將特定的內部位址轉換為外部位址。 • ISA Server 2006 除了保有此項功能外,另外更加強了此功能,強化的部分有: • 自動化連結轉換。當網站被發佈時連結轉換功能將自動啟用。 • 全新設計的轉換引擎。 • 支援多國語系字元。

  15. 企業分公司安全性 • 整合的安全性 • BITS 快取 • 有效的管理 • 自動化的 VPN 連線工具 • 卸除式媒體上的回應檔案 • 快速安全的存取 • 提供 HTTP 流量壓縮 • 提供 DiffServ IP 設定

  16. BITS 快取 • BITS (Background Intelligent Transfer Service ) 是一種用來傳遞大量資料的技術。資料是以片段的方式利用網路閒置的時候進行傳遞,因此並不直接影響網路效能。現有 Windows Update 的機制便是利用這樣的方式傳遞大量檔案。 • 對於企業而言 Windows Update,是維持網路安全重要的基石。然而進行 Windows Update 時所耗用的頻寬,卻是企業網路必須付出的代價。雖然藉由 BITS 的技術,可以將更新時,網路所必須花費的成本降低。但是對於小型的網路環境而言,這仍然會造成一定的衝擊。 • BITS 快取是 ISA Server 2006 所加入的新功能。藉由此功能 ISA Server 的除了快取一般的 HTTP 資料外,另外也可以針對 BITS 的資料進行快取。並且在快取規則中,預設也針對了 Windows Update 相關的網站啟用了 BITS 快取的機制。

  17. 簡化分公司 VPN 環境之部署 • 現今的企業為了節省其網路通訊的成本,大多都會在總公司與分公司之間建置 Site to Site VPN 的解決方案。 • 藉由 ISA Server 所提供完善的 VPN 解決方案,企業可以輕易的在總公司與分公司之間建構出功能完整的 VPN 網路環境。 • 但是對於大多數的企業而言,其分公司對於資訊人員的編制通常都有人力不足,甚至是沒有資訊人員編制的現象。因此在建構 VPN 環境時,或多或少都會造成一些影響。 • 為了改善這樣的現象,ISA Server 2006 除了保有原先 ISA Server 2004 所有 VPN 的相關功能外,另外更增加了對於分公司 VPN 環境建置的支援。

  18. 簡化分公司 VPN 環境之部署 (續) • Branch Office VPN Connectivity Wizard 是一支可以用來簡化分公司 VPN 設定的精靈。其主要功能如下: • 用以自動建立分公司與總公司的 VPN 連線,可支援 L2TP 及 IPSec。 • 將 ISA Server 加入網域。 • 將 ISA Server 加入 現有陣列環境或建立新的陣列。 • 在分公司 ISA Server 可以執行 Branch Office VPN Connectivity Wizard 之前,總公司 ISA Server 必須先行設定完成。需要的設定有 Remote Site Network 的建立及設定適當的網路規則及存取規則。 • Branch Office VPN Connectivity Wizard 的執行程式位於 ISA Server 2006 的安裝目錄中,執行檔名稱為:AppCfgWzd.exe 。 • Branch Office VPN Connectivity Wizard 之執行,可以採精靈的方式一步步的完成,或者管理者可以事先利用 Branch Office VPN Connectivity Wizard 建立自動回應檔,而後在執行精靈時指定以回應檔作為設定依據。

  19. HTTP 流量壓縮與 DiffServ IP • HTTP 流量壓縮 • ISA Server 2006 提供 HTTP 流量壓縮的功能。 • 藉由 HTTP 流量壓縮可以讓資料在傳遞時變的更有效率。 • ISA Server 2006 可以提供壓縮過的資料給用戶端或者是向特定的網路要求取得經過壓縮的資料。 • DiffServ IP • 當分公司與總公司之間的通訊有不同的重要性時,假如可以根據封包的優先順序來區分封包,則如此便能善用有限的頻寬。 • ISA Server 2006 可以藉由使用差異服務 (DiffServ) 通訊協定來針對 HTTP 相關流量提供排定封包優先順序。 • DiffServ 通訊協定能提供一種架構,以便於網際網路上部署可擴充的服務辨識。DiffServ 會在每個封包的 IP 標頭中,使用標籤來標示其優先順序,如此封包在傳輸時便可以依照其優先順序進行傳遞。

  20. 網際網路存取保護 • 整合的安全性 • 增強流量恢復功能 • 增強的蠕蟲恢復功能 • 完善的警示觸發程序與回應 • 有效的管理 • 增強的資源控制

  21. 對抗來自於網路的威脅 • 對於現今的網路環境而言,分散式阻斷服務攻擊與網路蠕蟲是最主要的威脅來源… • ISA Server 2006 所提供的流量恢復功能可以用以對抗類似的網路威脅: • 大量網路蠕蟲散播的攻擊。 • 同步(Syn)攻擊。 • 阻斷服務攻擊。 • 分散式阻斷服務攻擊。 • HTTP 炸彈攻擊。

  22. 對抗來自於網路的威脅 (續) • 流量恢復功能同時也可以經由資源控管的機制防止 ISA Server 遭受到阻斷服務攻擊,防禦的機制有: • Log throttling:當攻擊行為超過臨界值時,ISA 會暫時停止記錄相關的攻擊行為。 • Control of memory consumption:ISA 會針對系統記憶體進行監控。當系統資源不足時,ISA 將會停止提供服務給新的連線;但是會既有的連線將會繼續提供服務。並且此功能只有在 ISA 遭受到攻擊時才會自動啟動。 • Control of pending DNS queries:此機制可用以防止用戶端以大量的 DNS 解析動作造成 ISA 需要處理過多待處理的名稱解析查詢。

  23. Summary • ISA Server 已針對微軟網路環境進行最佳化 • ISA Server 同樣適用傳統網路應用程式之環境 • 藉由代理伺服器功能,ISAServer 可提升網路存取之效率 • 藉由整合性的 VPN 服務,ISAServer 可提供較佳的 VPN 網路安全性 • 藉由 ISAServer 企業版,管理者可打造出具高延展性與高可用性的網路環境 • 透過整合 3-Party 元件,ISAServer 可輕易擴充安全防護功能,如網路防毒等…

  24. Resources • Microsoft ISA Server Product Homehttp://www.microsoft.com/isaserver • Microsoft ISA Server Product Home, Taiwan http://www.microsoft.com/taiwan/isaserver • Microsoft ISA Server TechCenter, Taiwanhttp://www.microsoft.com/taiwan/technet/isa/default.mspx

More Related