收藏
下载资源

如何建構安全的網路環境

上传人:汽*** 文档编号:567534447 上传时间:2024-07-21 格式:PPT 页数:62 大小:3.07MB
返回 下载 相关 举报
如何建構安全的網路環境_第1页
第1页 / 共62页
如何建構安全的網路環境_第2页
第2页 / 共62页
如何建構安全的網路環境_第3页
第3页 / 共62页
如何建構安全的網路環境_第4页
第4页 / 共62页
如何建構安全的網路環境_第5页
第5页 / 共62页
点击查看更多>>
资源描述

《如何建構安全的網路環境》由会员分享,可在线阅读,更多相关《如何建構安全的網路環境(62页珍藏版)》请在金锄头文库上搜索。

1、Insights and Answers for IT Professionals如何建構安全的網路環境如何建構安全的如何建構安全的 Microsoft Windows 2000 網路環境網路環境 蕭文龍蕭文龍臺灣微軟顧問臺灣微軟顧問臺灣微軟顧問臺灣微軟顧問( ( ( (零宇學苑零宇學苑) ) ) )鍾希桓鍾希桓臺灣微軟臺灣微軟臺灣微軟臺灣微軟技術專員技術專員如何建構安全的網路環境本課程假設您本課程假設您 u u已具備以下基本技術知識已具備以下基本技術知識已具備以下基本技術知識已具備以下基本技術知識:電腦及網路建置相關事項電腦及網路建置相關事項電腦及網路建置相關事項電腦及網路建置相關事項電腦及

2、網路管理及除錯電腦及網路管理及除錯電腦及網路管理及除錯電腦及網路管理及除錯Windows 2000 Active DirectoryWindows 2000 Active Directory這這這這是是是是 TechNet Level 200 TechNet Level 200 的課程的課程的課程的課程如何建構安全的網路環境u u如何如何如何如何運用運用運用運用Windows 2000 Windows 2000 的安全機制的安全機制的安全機制的安全機制各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量 身份認證機制身份認證機制身份認

3、證機制身份認證機制( (Kerberos) Kerberos) 檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護u u授權憑證授權憑證授權憑證授權憑證 Certificated Authority (CA) Certificated Authority (CA) 如何加入如何加入如何加入如何加入CACA服務服務服務服務 如何發送憑證如何發送憑證如何發送憑證如何發送憑證 CACA的規劃與運用的規劃與運用的規劃與運用的規劃與運用 講座大綱講座大綱 (一一)如何建構安全的網路環境u uISA Server 2000ISA Server 2000安全機制安全機制安全機制安全機制

4、ISA ServerISA Server功能剖析功能剖析功能剖析功能剖析如何設定如何設定如何設定如何設定ISA ServerISA Server防火牆防火牆防火牆防火牆如何設定如何設定如何設定如何設定ISA ServerISA Server網路快取網路快取網路快取網路快取u u如何利用如何利用如何利用如何利用Windows 2000Windows 2000與與與與ISA 2000ISA 2000規劃安全的規劃安全的規劃安全的規劃安全的網路環境網路環境網路環境網路環境 Windows 2000 Windows 2000 與與與與 ISA Server 2000 ISA Server 2000 的

5、結合的結合的結合的結合安全原則的制定與管理安全原則的制定與管理安全原則的制定與管理安全原則的制定與管理 講座大綱講座大綱 (二二)如何建構安全的網路環境如何運用如何運用Windows 2000 的安全機制的安全機制u u各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量 單一辦公室位置單一辦公室位置單一辦公室位置單一辦公室位置分公司網路環境分公司網路環境分公司網路環境分公司網路環境跨國集團的網路環境跨國集團的網路環境跨國集團的網路環境跨國集團的網路環境u u身份認證機制身份認證機制身份認證機制身份認證機制( (Kerberos) K

6、erberos) Smart Card Smart Card u u檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護授權授權授權授權( (ACL)ACL)檔案加密檔案加密檔案加密檔案加密( (EFS)EFS)檔案傳輸檔案傳輸檔案傳輸檔案傳輸( (VPN, IPSec)VPN, IPSec)如何建構安全的網路環境Security Office傳統鎖傳統鎖警衛警衛監視器監視器Card Card KeyKey各種網路環境下應有的安全考量各種網路環境下應有的安全考量環境一環境一: 單一辦公位置單一辦公位置如何建構安全的網路環境各種網路環境下應有的安全考量各種網路環境下應有的安全

7、考量環境二環境二: 分公司的網路環境分公司的網路環境Internet移移移移 動動動動 使使使使 用用用用 者者者者LAN/WAN如何建構安全的網路環境各種網路環境下應有的安全考量各種網路環境下應有的安全考量環境三環境三: 跨國集團的網路環境跨國集團的網路環境總部InternetIntranet/Extranet/ECIntranet/Extranet/EC如何建構安全的網路環境The Infrastructure Pieces使用者帳使用者帳使用者帳使用者帳戶戶的管理的管理的管理的管理認證服務認證服務認證服務認證服務Public Key InfrastructurePublic Key In

8、frastructure原則管理原則管理原則管理原則管理信任管理信任管理信任管理信任管理授權服務授權服務授權服務授權服務稽核服務稽核服務稽核服務稽核服務Cryptographic ServicesCryptographic Services資料保護服務資料保護服務資料保護服務資料保護服務整合服務整合服務整合服務整合服務如何建構安全的網路環境網路安全的元件網路安全的元件Policyu 身份認證服務身份認證服務u 非戰區的設置非戰區的設置 ( DMZ )u 資料保密資料保密 (Data Privacy)u 安全監測安全監測u 經由原則管理經由原則管理如何建構安全的網路環境綜綜 合合 解解 決決 方

9、方 案案情境情境情境情境可能的風險可能的風險可能的風險可能的風險解決方案解決方案解決方案解決方案移移 動動 使使 用用 者者 加密檔案系統加密檔案系統 (EFS) PPTP, IPSEC, L2TP 遺失遺失/被被偷 Laptop撥接攻擊撥接攻擊E-commerce偽造偽造 ID/假冒身份假冒身份資料資料/金錢金錢 被被偷任意更改交易任意更改交易 Public Key Infrastructure (PKI) 與與 CA 整合整合 SSL/TLS家家 庭庭 辦辦 公公 室室 PPTP, IPSEC, L2TP NTLMv2, Kerberos, PKI SSL/TLS, S/MIME線上線上

10、Internet 攻擊攻擊撥接攻擊撥接攻擊偽造偽造 ID/假冒身份假冒身份LAN / WANLAN / WAN 偽造偽造偽造偽造 ID/ ID/假冒身份假冒身份假冒身份假冒身份 密碼密碼密碼密碼 分享分享分享分享/ /猜測猜測猜測猜測 新增新增新增新增/ /搬移搬移搬移搬移/ /修改修改修改修改 Kerberos, NTLMv2Kerberos, NTLMv2 Smart Cards, Biometrics Smart Cards, Biometrics 群組原則群組原則群組原則群組原則, , 委任管理委任管理委任管理委任管理ApplicationsApplications 偽造偽造偽造偽造

11、ID/ ID/假冒身份假冒身份假冒身份假冒身份 通行密碼通行密碼通行密碼通行密碼 Path of least resistance codingPath of least resistance coding 惡意的程式碼惡意的程式碼惡意的程式碼惡意的程式碼 Code ( Code (特洛依木馬特洛依木馬特洛依木馬特洛依木馬) ) Kerberos, NTLMv2, Smart CardsKerberos, NTLMv2, Smart Cards 稽核稽核稽核稽核 SSPI, CryptoAPI SSPI, CryptoAPI 原則與程式碼簽署原則與程式碼簽署原則與程式碼簽署原則與程式碼簽署 C

12、ode SigningCode SigningPublic Key Infrastructure (PKI)與與 CA 整合整合IPSEC, L2TP, SSL/TSL, S/MIMEExtranets偽造偽造 ID/假冒身份假冒身份資料被資料被偷線上線上 Internet 攻擊攻擊 與與 Active Directory 整合整合 委任管理委任管理 改善稽核改善稽核 安全性範本安全性範本管管 理理 面面太多地方有安全需求太多地方有安全需求員工角色的變化員工角色的變化不知道誰做了什麼事不知道誰做了什麼事時常變化的組態時常變化的組態如何建構安全的網路環境如何如何運用運用Windows 2000

13、的安全機制的安全機制u u各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量 u u身份認證機制身份認證機制身份認證機制身份認證機制( (Kerberos)Kerberos) u u檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護如何建構安全的網路環境身份認證服務身份認證服務u u利用利用利用利用 usernameCusernameC 來登入來登入來登入來登入u u利用利用利用利用 Kerberos Kerberos 來做網域的身份認證來做網域的身份認證來做網域的身份認證來做網域的身份認證u uSmart c

14、ard Smart card 登入登入登入登入如何建構安全的網路環境Smart Card 佈署佈署u u實作實作實作實作 Smart Card Logon Smart Card Logonu uConfigure CertificatesConfigure Certificates註冊代理程式註冊代理程式註冊代理程式註冊代理程式 ( (Enrollment Agent)Enrollment Agent)憑證憑證憑證憑證,智慧卡使用者智慧卡使用者智慧卡使用者智慧卡使用者( (Smartcard User)Smartcard User)u u設定憑證範本設定憑證範本設定憑證範本設定憑證範本u u安

15、裝安裝安裝安裝 Smart Card Reader Smart Card Reader u u利用利用利用利用 Web-based Web-based 為使用者申請為使用者申請為使用者申請為使用者申請u u測試測試測試測試如何建構安全的網路環境1 挿入卡片後會觸發挿入卡片後會觸發Winlogon 程式並顯程式並顯示示 GINA2 使用者使用者輸入輸入 PIN5 Kerberos PKINIT 延伸套件送出憑延伸套件送出憑證給證給 KDC 要求登入要求登入7 KDC 送回一個利用雙層加密的送回一個利用雙層加密的 TGT (encrypted with a session key which is

16、 in turn encrypted using users public key)8 Smart card 利用利用private key 解密解密 TGT 然然後後 LSA 允許允許 使用者登入使用者登入6 KDC 核對憑證核對憑證並且查詢並且查詢 AD 內內之原則之原則ReaderReader3 GINA 把把 PIN code 傳傳給給 LSASC4 LSA 存取存取 smart card 並並 取出憑證取出憑證LSALSAK Ke er rb be er ro os sK Ke er rb be er ro os sKDCKDCSmart Card Logon原理原理如何建構安全的網

17、路環境Smart Card Logon (Enrollment)如何建構安全的網路環境多種身份認證機制多種身份認證機制u u彈性的身份認證架構支援網路上多種彈性的身份認證架構支援網路上多種彈性的身份認證架構支援網路上多種彈性的身份認證架構支援網路上多種“核對身份核對身份核對身份核對身份”的機制的機制的機制的機制ActiveActiveDirectoryDirectoryWindows 2000Windows 2000 Server Server 應用程式應用程式應用程式應用程式 電腦電腦電腦電腦裝置裝置裝置裝置 檣案檣案檣案檣案人員人員人員人員CredentialsCredentialsAut

18、henticateAuthenticateInternetInternetSmart CardSmart CardX.509 / SSLX.509 / SSLPasswordPasswordBiometricsBiometrics如何建構安全的網路環境如何運用如何運用Windows 2000 的安全機制的安全機制u u各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量 u u身份認證機制身份認證機制身份認證機制身份認證機制( (Kerberos)Kerberos) u u檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護檔案存取

19、限制與保護授權授權授權授權( (ACL)ACL)檔案加密檔案加密檔案加密檔案加密( (EFS)EFS)檔案傳輸檔案傳輸檔案傳輸檔案傳輸( (VPN, IPSec)VPN, IPSec)如何建構安全的網路環境物件存取的授權物件存取的授權u u所有的所有的所有的所有的物件存取物件存取物件存取物件存取都透過安全系統來檢都透過安全系統來檢都透過安全系統來檢都透過安全系統來檢查查u u任何系統任何系統任何系統任何系統內內物件皆可被保護物件皆可被保護物件皆可被保護物件皆可被保護檔案檔案檔案檔案,目錄目錄目錄目錄,登入登入登入登入值值 (registry keys)(registry keys)核心物件核心

20、物件核心物件核心物件 (Kernel objects)(Kernel objects)同步物件同步物件同步物件同步物件公用物件公用物件公用物件公用物件 (e.g., printers, etc.) (e.g., printers, etc.)程式管線程式管線程式管線程式管線 (Pipes)(Pipes),記憶體記憶體記憶體記憶體,通訊通訊通訊通訊, etc., etc.Active Directory Active Directory 物件物件物件物件 (e.g., domains, users)(e.g., domains, users)如何建構安全的網路環境一致性的授權模式一致性的授權模式

21、uu由一致性的授權模式與由一致性的授權模式與由一致性的授權模式與由一致性的授權模式與 Kerberos Kerberos 標準整合來決定資標準整合來決定資標準整合來決定資標準整合來決定資源的存取源的存取源的存取源的存取電腦電腦電腦電腦裝置裝置裝置裝置 檔案檔案檔案檔案ACLACLACLAccessAccessRequestRequest授權授權授權授權如何建構安全的網路環境資料保護資料保護u u保護硬碟保護硬碟保護硬碟保護硬碟內內的資料的資料的資料的資料加密檔案系統加密檔案系統加密檔案系統加密檔案系統加密郵件加密郵件加密郵件加密郵件u u保護正在傳輸中的資料保護正在傳輸中的資料保護正在傳輸中的

22、資料保護正在傳輸中的資料IP SecurityIP SecuritySSPI based encryptionSSPI based encryptionSession keys in NTLM, Kerberos, TLS/SSLSession keys in NTLM, Kerberos, TLS/SSL如何建構安全的網路環境加密檔案系統加密檔案系統 Encrypting File System (EFS)Encrypting File System (EFS)u u可由被授權的代理做資料修復可由被授權的代理做資料修復可由被授權的代理做資料修復可由被授權的代理做資料修復Integrated

23、key managementIntegrated key managementu u彈性的修復原則彈性的修復原則彈性的修復原則彈性的修復原則Enterprise, domain, Enterprise, domain, 或或或或 per machineper machineu u加密資料的備份與還原加密資料的備份與還原加密資料的備份與還原加密資料的備份與還原與與與與 Windows 2000Windows 2000 backup backup 整合整合整合整合如何建構安全的網路環境RNGRNGData recoveryData recoveryfield generationfield gen

24、eration(e.g., RSA)(e.g., RSA)DRFDRF加密資料修復代理的加密資料修復代理的加密資料修復代理的加密資料修復代理的publicpublic key keyin recovery policyin recovery policy隨機隨機隨機隨機產產生生生生file encryption keyfile encryption key檔案加密檔案加密檔案加密檔案加密檔案加密檔案加密 (e.g., DES)(e.g., DES)Data decryptionData decryptionfield generationfield generation(e.g., RSA)(

25、e.g., RSA)DDFDDFUsersUserspublicpublic key key內內含採購含採購含採購含採購機密資料機密資料機密資料機密資料.* *#$fjdaj#$fjdaju539!3tu539!3tt389E *&t389E *&如何建構安全的網路環境* *#$fjdaj#$fjdaju539!3tu539!3tt389E *&t389E *&DDFDDF檔案解密檔案解密檔案解密檔案解密(e.g., DES)(e.g., DES)內內含採購含採購含採購含採購機密資料機密資料機密資料機密資料.檔案解密檔案解密DDF contains file DDF contains file

26、 encryption key encryption key encrypted under encrypted under users users public keypublic keyDDF extractionDDF extraction(e.g., RSA)(e.g., RSA)File encryptionFile encryptionkeykey利用利用利用利用private keyprivate key 來將來將來將來將DDF DDF 解密以得到解密以得到解密以得到解密以得到file encryption keyfile encryption keyUsers Users pr

27、ivateprivatekeykey如何建構安全的網路環境uu EFS uu 利用利用Windows 2000 Resource Kit內 之之efsinfo來檢視加密檔案來檢視加密檔案如何建構安全的網路環境u u檔案傳輸的安全檔案傳輸的安全檔案傳輸的安全檔案傳輸的安全遠端存取公司網路遠端存取公司網路遠端存取公司網路遠端存取公司網路兩地之間的網路連接兩地之間的網路連接兩地之間的網路連接兩地之間的網路連接u u安全的電子郵件安全的電子郵件安全的電子郵件安全的電子郵件u u安全的安全的安全的安全的 Web Web 伺服器伺服器伺服器伺服器如何運用如何運用如何運用如何運用Windows 2000 W

28、indows 2000 的安全機制的安全機制的安全機制的安全機制檔案存取限制與保護檔案存取限制與保護如何建構安全的網路環境InternetInternetCorporate Corporate NetworkNetworkInternetInternetServiceServiceProviderProviderRouter or Router or Tunnel ServerTunnel ServerLaptop or Laptop or Home PCHome PCIP TunnelIP TunnelHostAModemsModemsHostBHostC遠端存取公司的網路遠端存取公司的網路

29、Windows 2000 IPSecu uUser User 利用遠端存取公司網路利用遠端存取公司網路利用遠端存取公司網路利用遠端存取公司網路從家裡或筆記型電腦撥接從家裡或筆記型電腦撥接從家裡或筆記型電腦撥接從家裡或筆記型電腦撥接利用現有的網路連接到利用現有的網路連接到利用現有的網路連接到利用現有的網路連接到 InternetInternet如何建構安全的網路環境Corporate Net Corporate Net in DCin DCRouter CRouter CRouter DRouter DCorporate Net Corporate Net in LAin LAHostAHost

30、BIP TunnelIP Tunnel兩地之間的網路連接兩地之間的網路連接Windows 2000 IPSecu uLAN ToLAN To LAN LAN 經由經由經由經由 GatewayGatewayAcross Internet or private network with Across Internet or private network with Windows 2000 Windows 2000 routers using Windows 2000 Windows 2000 routers using IP tunnelsIP tunnelsIPSec Tunnel ModeI

31、PSec Tunnel ModeL2TP/IPSec integrated tunnelingL2TP/IPSec integrated tunnelingInternetInternet如何建構安全的網路環境IPSEC 協定協定u u兩種協定的組合兩種協定的組合兩種協定的組合兩種協定的組合Encapsulated SecurityEncapsulated Security Payload (ESP)Payload (ESP)Authentication Header (AH)Authentication Header (AH) u u可以使用數位憑證為鑰匙的身可以使用數位憑證為鑰匙的身可以使

32、用數位憑證為鑰匙的身可以使用數位憑證為鑰匙的身分認證架構分認證架構分認證架構分認證架構u u兩種模式兩種模式兩種模式兩種模式傳輸傳輸傳輸傳輸自發送者包裝自發送者包裝自發送者包裝自發送者包裝 IP IP 封包封包封包封包( (End-to-End)End-to-End)隧道隧道隧道隧道 自隧道的發送端自隧道的發送端自隧道的發送端自隧道的發送端包裝包裝包裝包裝 IP IP 封包封包封包封包如何建構安全的網路環境InternetInternetReaderReaderSCSCCertCertOutlook 2000Outlook 2000Active DirectoryOutlook Express

33、Retrieve users Retrieve users certificate (LDAP)certificate (LDAP)Exchange 2000Exchange 2000S/MIMES/MIME安全的電子郵件安全的電子郵件S/MIME如何建構安全的網路環境Secure Web ServerReaderReaderClientSCSCCertCertCertification AuthorityHTTP with SSL/TLSHTTP with SSL/TLSCertificate Certificate EnrollmentEnrollment安全的安全的 Web 伺服器伺服器

34、Server AuthenticationTrust Trust RelationshipRelationship如何建構安全的網路環境檔案傳輸的安全檔案傳輸的安全Secure NetworkingSecure Networkingu u虛擬私有網路虛擬私有網路虛擬私有網路虛擬私有網路 (VPN)(VPN)Internet Protocol Security (IPSec)Internet Protocol Security (IPSec)PPTPPPTPu uExtended Authentication Protocol/PPPExtended Authentication Protoco

35、l/PPPSmartCard support EAP/TLSSmartCard support EAP/TLSu uRemote Authentication Dial In User Remote Authentication Dial In User Service (RADIUS)Service (RADIUS)u uKerberos security packageKerberos security packageu uPublic key (SSL/TLS) security packagePublic key (SSL/TLS) security package如何建構安全的網路環

36、境u u 如何加入如何加入如何加入如何加入CACA服務服務服務服務 u u如何發送憑證如何發送憑證如何發送憑證如何發送憑證 u uCACA的規劃與運用的規劃與運用的規劃與運用的規劃與運用 授權憑證授權憑證 Certificated Authority (CA)如何建構安全的網路環境加入加入 CA 服務服務u uWindows 2000 Windows 2000 內內建服務之一建服務之一建服務之一建服務之一u u控制台控制台控制台控制台 新増移除程式新増移除程式新増移除程式新増移除程式新增移除新增移除新增移除新增移除 Windows Windows 元件元件元件元件勾選勾選勾選勾選 Certif

37、icate ServicesCertificate Services如何建構安全的網路環境CA 安裝選項安裝選項u u企業等級企業等級企業等級企業等級 CA CA (Enterprise CA)(Enterprise CA)網域認證使用網域認證使用網域認證使用網域認證使用定義憑證定義憑證定義憑證定義憑證內內容範本容範本容範本容範本u u獨立獨立獨立獨立 CA CA (Standalone CA)(Standalone CA)獨立於網域運作獨立於網域運作獨立於網域運作獨立於網域運作u u一般資料一般資料一般資料一般資料組織單位組織單位組織單位組織單位,連絡人等連絡人等連絡人等連絡人等如何建構安全

38、的網路環境Active DirectoryReaderReaderSCSC憑證憑證憑證憑證ClientRoot CASubordinate CA憑證要求與安裝憑證要求與安裝憑證要求與安裝憑證要求與安裝憑證發佈憑證發佈憑證發佈憑證發佈憑證登記流程憑證登記流程如何建構安全的網路環境CA 的規劃運用的規劃運用u u階層式階層式階層式階層式 CACA使用方式使用方式使用方式使用方式組織架構組織架構組織架構組織架構地理位置地理位置地理位置地理位置ExtranetE-MailSSL ServerSSL ClientCorporate CAProjects Root CARoot CASubordinate

39、 CAsIssuing CAs如何建構安全的網路環境 綜合的服務綜合的服務u uWindows 2000Windows 2000 發揮了綜合性可管控的安全服務並且與其他發揮了綜合性可管控的安全服務並且與其他發揮了綜合性可管控的安全服務並且與其他發揮了綜合性可管控的安全服務並且與其他的服務能的服務能的服務能的服務能夠夠共同整合運作來達到企業的要求共同整合運作來達到企業的要求共同整合運作來達到企業的要求共同整合運作來達到企業的要求InternetInternetExtranetExtranetSQLSQLServerServerWindowsIISIISServerServerExchangeEx

40、changeServerServer KerberosKerberosOracleOracleUnixHTTPHTTPSAPSAPR3R3Mainframe / MiniActiveActiveDirectoryDirectoryWindows 2000Windows 2000ServerServer ApplicationsApplications ComputersComputersDevicesDevices FilesFilesPeoplePeopleSmart CardSmart CardX.509 / SSLX.509 / SSLPasswordPasswordBiometrics

41、BiometricsIntranetIntranet如何建構安全的網路環境綜綜 合合 解解 決決 方方 案案情境情境情境情境可能的風險可能的風險可能的風險可能的風險解決方案解決方案解決方案解決方案移移移移 動動動動 使使使使 用用用用 者者者者 加密檔案系統加密檔案系統加密檔案系統加密檔案系統 (EFS) (EFS) PPTP, IPSEC, L2TP PPTP, IPSEC, L2TP 遺失遺失遺失遺失/ /被被被被偷偷 LaptopLaptop 撥接攻擊撥接攻擊撥接攻擊撥接攻擊E-commerceE-commerce 偽造偽造偽造偽造 ID/ ID/假冒身份假冒身份假冒身份假冒身份 資料資

42、料資料資料/ /金錢金錢金錢金錢 被被被被偷偷 任意更改交易任意更改交易任意更改交易任意更改交易 Public Key Infrastructure (PKI)Public Key Infrastructure (PKI) 與與與與 CA CA 整合整合整合整合 SSL/TLS SSL/TLS家家家家 庭庭庭庭 辦辦辦辦 公公公公 室室室室 PPTP, IPSEC, L2TP PPTP, IPSEC, L2TP NTLMv2, Kerberos, PKI NTLMv2, Kerberos, PKI SSL/TLS, S/MIME SSL/TLS, S/MIME 線上線上線上線上 Interne

43、t Internet 攻擊攻擊攻擊攻擊 撥接攻擊撥接攻擊撥接攻擊撥接攻擊 偽造偽造偽造偽造 ID/ ID/假冒身份假冒身份假冒身份假冒身份LAN / WANLAN / WAN 偽造偽造偽造偽造 ID/ ID/假冒身份假冒身份假冒身份假冒身份 密碼密碼密碼密碼 分享分享分享分享/ /猜測猜測猜測猜測 新增新增新增新增/ /搬移搬移搬移搬移/ /修改修改修改修改 Kerberos, NTLMv2Kerberos, NTLMv2 Smart Cards, Biometrics Smart Cards, Biometrics 群組原則群組原則群組原則群組原則, , 委任管理委任管理委任管理委任管理Ap

44、plicationsApplications 偽造偽造偽造偽造 ID/ ID/假冒身份假冒身份假冒身份假冒身份 通行密碼通行密碼通行密碼通行密碼 Path of least resistance codingPath of least resistance coding 惡意的程式碼惡意的程式碼惡意的程式碼惡意的程式碼 Code ( Code (特洛依木馬特洛依木馬特洛依木馬特洛依木馬) ) Kerberos, NTLMv2, Smart CardsKerberos, NTLMv2, Smart Cards 稽核稽核稽核稽核 SSPI, CryptoAPI SSPI, CryptoAPI 原則

45、與程式碼簽署原則與程式碼簽署原則與程式碼簽署原則與程式碼簽署 Code SigningCode Signing Public Key Infrastructure (PKI)Public Key Infrastructure (PKI) 與與與與 CA CA 整合整合整合整合 IPSEC, L2TP, SSL/TSL, S/MIMEIPSEC, L2TP, SSL/TSL, S/MIMEExtranetsExtranets 偽造偽造偽造偽造 ID/ ID/假冒身份假冒身份假冒身份假冒身份 資料被資料被資料被資料被偷偷 線上線上線上線上 Internet Internet 攻擊攻擊攻擊攻擊 與與

46、與與 Active Directory Active Directory 整合整合整合整合 委任管理委任管理委任管理委任管理 改善稽核改善稽核改善稽核改善稽核 安全性範本安全性範本安全性範本安全性範本管管管管 理理理理 面面面面 太多地方有安全需求太多地方有安全需求太多地方有安全需求太多地方有安全需求 員工角色的變化員工角色的變化員工角色的變化員工角色的變化 不知道誰做了什麼事不知道誰做了什麼事不知道誰做了什麼事不知道誰做了什麼事 時常變化的組態時常變化的組態時常變化的組態時常變化的組態如何建構安全的網路環境ISA Server 2000 安全機制安全機制u uISA Server ISA S

47、erver 功能剖析功能剖析功能剖析功能剖析u u如何設定如何設定如何設定如何設定ISA ServerISA Server防火牆防火牆防火牆防火牆u u如何設定如何設定如何設定如何設定ISA ServerISA Server網路快取網路快取網路快取網路快取如何建構安全的網路環境ISA 功能剖析功能剖析u u多功能的防火牆多功能的防火牆多功能的防火牆多功能的防火牆多層次防火牆多層次防火牆多層次防火牆多層次防火牆 (packet, protocol, app-level)(packet, protocol, app-level)入侵防護入侵防護入侵防護入侵防護, NAT, VPN, DMZ, NA

48、T, VPN, DMZu u快取功能快取功能快取功能快取功能RAM/Disk RAM/Disk 快取快取快取快取, CARP, Forward/Reverse, CARP, Forward/Reverseu u與與與與 Windows Windows 整合的管理功能整合的管理功能整合的管理功能整合的管理功能原則性的管理原則性的管理原則性的管理原則性的管理, , , , Wizard-based, Taskpads, Wizard-based, Taskpads, 警示警示警示警示(Alert), (Alert), 記錄記錄記錄記錄 (Logs)(Logs),報表報表報表報表 (Reports)

49、(Reports)u u具延展性具延展性具延展性具延展性負載平衡負載平衡負載平衡負載平衡,容錯備援容錯備援容錯備援容錯備援,提供提供提供提供 SDK SDK 容易開發容易開發容易開發容易開發如何建構安全的網路環境如何設定如何設定 ISA Server 防火牆防火牆u uPacket, Protocol, Site and ContentPacket, Protocol, Site and Contentu uPolicy-basedPolicy-basedu uElementElementu uApplication-level FilterApplication-level Filteru

50、uIntrusion DetectedIntrusion Detected如何建構安全的網路環境如何設定如何設定 ISA Server 網路快取網路快取u uHTTP cacheHTTP cacheu uFTP cacheFTP cacheu uAdvanced propertiesAdvanced properties如何建構安全的網路環境如何利用如何利用 Windows 2000 與與 ISA Server 2000 規劃安全的網路環境規劃安全的網路環境u uWindows 2000 與與ISA Server 2000 的結合的結合u u安全原則的制定與管理安全原則的制定與管理如何建構安全

51、的網路環境單一地點佈署應用單一地點佈署應用只有一台只有一台 ISA ServerInternetSmall OrganizationISA Server如何建構安全的網路環境單一地點佈署應用單一地點佈署應用 ISA Server ArrayInternetMedium Org & EnterpriseISA ServerArray如何建構安全的網路環境單一地點佈署應用單一地點佈署應用非戰區非戰區 (Demilitarized Zone)InternetDMZ - 1ISA ServerDMZ Intranet如何建構安全的網路環境單一地點佈署應用單一地點佈署應用非戰區非戰區 (Demilita

52、rized Zone)InternetDMZ - 2ISA #2ISA #1DMZ Intranet如何建構安全的網路環境多個地點佈署應用多個地點佈署應用ISA ChainingFirewallChainingISA ServerISA ServerLeased line /VPN connectionBranchMainInternet如何建構安全的網路環境Web Proxy 的存取原則的存取原則u u存取原則存取原則存取原則存取原則Protocol RulesProtocol RulesSite and Content RulesSite and Content Rulesu u規則的屬性

53、規則的屬性規則的屬性規則的屬性Windows Users and Groups Windows Users and Groups Clients SetsClients SetsContent GroupsContent GroupsDestination SetsDestination SetsSchedulesSchedules如何建構安全的網路環境Tiered 的原則的原則( (一一) )Enterprise Level PolicyArray 2PolicyArray 1PolicyArray 1Array 2Domain Levelu uTop-Down Approach Top-D

54、own Approach u uApply Policy to Multiple ArraysApply Policy to Multiple Arrays如何建構安全的網路環境Enterprise Level PolicyTiered 的原則的原則( (二二) )u uMultiple Policy ObjectsMultiple Policy Objectsu uAvoid DuplicationAvoid DuplicationSalesPolicyArray 3PolicyArray 1PolicyArray 1Array 3MarketingPolicyArray 2Array 2P

55、olicy如何建構安全的網路環境ISA Server 的管理的管理u u單一地點管理所有單一地點管理所有單一地點管理所有單一地點管理所有 EnterpriseEnterprise ArraysArraysu u遠端管理遠端管理遠端管理遠端管理MMC (snap-in)MMC (snap-in)DCOMDCOMTerminal ServicesTerminal Servicesu u內內建建建建 Wizards Wizards Mail server, Terminal Services, VPN, System HardeningMail server, Terminal Services,

56、VPN, System Hardeningu u內內建建建建 TaskpadsTaskpads如何建構安全的網路環境安全監控安全監控安全監控安全監控安全監控安全監控私人網路私人網路私人網路私人網路私人網路私人網路 / / / VPNVPNVPN原則管理原則管理原則管理原則管理原則管理原則管理非戰區的非戰區的非戰區的非戰區的非戰區的非戰區的安全安全安全安全安全安全身份識別身份識別身份識別身份識別身份識別身份識別uu整合性整合性整合性整合性uu透通性透通性透通性透通性uu無所不在無所不在無所不在無所不在規劃安全的網路環境規劃安全的網路環境如何建構安全的網路環境實務上的建議實務上的建議Network

57、 Security Implementationu u認證所有的使用者身份認證所有的使用者身份認證所有的使用者身份認證所有的使用者身份u u多層安全防護來限制存取多層安全防護來限制存取多層安全防護來限制存取多層安全防護來限制存取u u入侵防護並對重要地區作流量分析入侵防護並對重要地區作流量分析入侵防護並對重要地區作流量分析入侵防護並對重要地區作流量分析u u利用利用利用利用ISA Server VPNs ISA Server VPNs 節省成本並確保資料的私節省成本並確保資料的私節省成本並確保資料的私節省成本並確保資料的私密性密性密性密性u u定期做網路風險評估定期做網路風險評估定期做網路風險

58、評估定期做網路風險評估u u持續的原則性佈署並且訓練持續的原則性佈署並且訓練持續的原則性佈署並且訓練持續的原則性佈署並且訓練如何建構安全的網路環境參考資料參考資料u by stepsStep by stepsWhite papersWhite papersu uhttp:/ security security 的議題的議題的議題的議題u uMOC 教材教材2150ADesigning a Secure Microsoft Windows Designing a Secure Microsoft Windows 2000 Network 2000 Network u uhttp:/ 整體服務整

59、體服務Insights & Answers for IT ProfessionalsInsights & Answers for IT Professionalsu uTechNet 光碟、光碟、TechNet Plus光碟光碟u uMicrosoftMicrosoftMicrosoftMicrosoft TechNetTechNetTechNetTechNet 實務技術講座實務技術講座u u網站網站 uTechNet Flash資訊技術人電子快資訊技術人電子快訊訊如何建構安全的網路環境TechNet CD 標準版標準版內容內容一年十二期一年十二期u uMicrosoft Knowledge

60、BaseMicrosoft Knowledge Baseu u精通所有精通所有精通所有精通所有產產品的品的品的品的 Resource Kits Resource Kitsu u讓系統保持最佳狀態的讓系統保持最佳狀態的讓系統保持最佳狀態的讓系統保持最佳狀態的Service Packs, patches, Service Packs, patches, drivers, tools drivers, tools 等等等等等等等等u u實務技術文章實務技術文章實務技術文章實務技術文章u u評估與部署指南評估與部署指南評估與部署指南評估與部署指南u uTechNet TechNet 技術訓練課程技術訓

61、練課程技術訓練課程技術訓練課程( (Seminar Online)Seminar Online)u u個案研討、建置策略白皮書個案研討、建置策略白皮書個案研討、建置策略白皮書個案研討、建置策略白皮書u u如何建構安全的網路環境TechNet Plus CD內容內容TechNet Plus = TechNet 標準版光碟的標準版光碟的內容容+Microsoft 各種最新各種最新產品的品的Beta 評估版評估版以及正式評估版光碟以及正式評估版光碟如何建構安全的網路環境2001年年2 2月月TechNet Plus u uMicrosoft Mobile Information 2001 Serve

62、rMicrosoft Mobile Information 2001 Server企業版企業版企業版企業版 BetaBetau uMicrosoft SharePoint Portal Server RC-1Microsoft SharePoint Portal Server RC-1u uExchange 2000 Conferencing ServerExchange 2000 Conferencing Server正式評估版正式評估版正式評估版正式評估版u uExchange 2000 ServerExchange 2000 Server企業版正式評估版企業版正式評估版企業版正式評估版企

63、業版正式評估版u uMicrosoft SQL Server 2000Microsoft SQL Server 2000中文版正式評估版中文版正式評估版中文版正式評估版中文版正式評估版u uMicrosoft BizTalk Server 2000Microsoft BizTalk Server 2000企業版正式評估版企業版正式評估版企業版正式評估版企業版正式評估版u uMicrosoft Internet Security and Acceleration (ISA) Server Microsoft Internet Security and Acceleration (ISA) Server 20002000企業版正式評估版企業版正式評估版企業版正式評估版企業版正式評估版u uMicrosoft Host Integration Server 2000Microsoft Host Integration Server 2000正式評估版正式評估版正式評估版正式評估版u uMicrosoft Visio 2000Microsoft Visio 2000標準版正式評估版標準版正式評估版標準版正式評估版標準版正式評估版如何建構安全的網路環境如何建構安全的網路環境

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号