欢迎来到天天文库
浏览记录
ID:34343503
大小:170.89 KB
页数:6页
时间:2019-03-05
《isaserver2004安全强化指南五》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、ISAServer2004安全强化指南五(图)锁定模式防火墙的一个重要功能是对攻击作出反应。发生攻击时,第一道防线似乎是断开与Internet的连接,从而将受到危害的网络与恶意外部攻击者隔离。但是,这不是一个值得推荐的方法。虽然必须对付攻击,但是尽快恢复正常网络连接性,并且必须识别攻击的来源。ISAServer2004引入的锁定功能同时满足隔离和保持连接的需要。如果出现某种情况,导致Microsoft防火墙服务关闭,ISA服务器将进入锁定模式。以下条件下会发生这种情况:某个事件触发防火墙服务关闭。当您配置警报定义时,需要决定导致防火墙服务关闭的事件。实质上,您配置ISA服务
2、器何时进入锁定框。手动关闭防火墙服务。如果您察觉恶意攻击,您可以关闭防火墙服务,同时配置ISA服务器计算机和网络以对付攻击。受影响的功能处于锁定模式时,功能方面情况如下:FirewallPacketFilterEngine(fweng)应用防火墙策略。允许从本地主机网络到所有网络的传出通讯。如果建立一个传出连接,可以使用该连接对传入通讯作出响应。例如,DNS查询可以在相同的连接上接收DNS响应。除非启用特别允许传入通讯的系统策略规则,否则不允许传入通讯。一个例外情况是DHCP通讯,DHCP通讯始终获得允许。也就是说,允许UDP端口67上的DHCP请求从本地主机传送到所有网络
3、,允许UDP端口68上的DHCP回复传回本地主机。以下系统策略规则仍适用:允许从受信任的服务器到本地主机的ICMPo允许使用MMC(RPC,通过端口3847)远程管理防火墙。允许使用RDP远程管理防火墙。VPN远程访问客户端不能访问ISA服务器。同样,在站点至站点VPN方案中,拒绝访问远程站点网络。只有在防火墙服务重新启动并且ISA服务器退出锁定模式之后,才应用锁定模式下对网络配置的更改。例如,如果您物理上移动网络段,并重新配置ISA服务器以便与物理更改匹配,只有在ISA服务器退出锁定模式之后,新拓扑才生效。ISA服务器不触发任何警报。保持锁定模式防火墙服务重新启动时,IS
4、A服务器退出锁定模式并继续像以前一样运行。ISA服务器退出锁定模式之后,应用对ISA服务器配置的任何更改。保证配置安全当您配合公司安全策略配置ISA服务器防火墙策略时,请遵循拒绝未明确允许的所有流量的原则。ISA服务器在默认情况下实施此策略。称为“默认规则”的默认防火墙策略规则拒绝所有用户访问所有网络。由于最后处理此规则,将拒绝未明确允许的任何通讯。升级Z后验证配置通过升级或使用“ISA服务器迁移向导”,可以将ISAServer2000策略迁移至ISAServer2004o请仔细检查迁移的策略。ISAServer2004利用与ISAServer2000不同的规则模型。确保根
5、据组织的安全策略配置防火墙策略。验证防火墙策略配置建议您在创建防火墙策略之后,积极检查策略。验证您要传送的通讯是否获得允许。另外,验证仅适用的端口打开。虚拟专用网络使用ISAServer2004作为虚拟专用网络(VPN)服务器时,请遵循安全最佳做法,这很重要。下面列岀关于保证作为VPN服务器的ISA服务器计算机安全的建议:建议使用L2TPoverIPSec(建立在Internet协议安全之上的第二层隧道协议)连接,以获得最强加密。建议实施并强制使用强密码策略,从而减少词典攻击的机会。实施这样的策略吋,您可以禁用帐户锁定,从而减少攻击者触发帐户锁定的机会。要求远程VPN客户端
6、运行特定操作系统(如MicrosoftWindowsServer2003、Windows2000Server或WindowsXP)。并非所有操作系统的文件系统和用户帐户系统都具有同等安全级别。同样,并非所有操作系统的所有远程访问功能都可用。使用ISA服务器的隔离控制功能为远程VPN客户端提供分阶段网络访问。通过隔离控制,客户端在获准访问网络之前,限于隔离模式。虽然隔离控制并不能防止攻击,但是在授权用户访问网络Z前,可以验证授权用户的计算机配置并在必要时进行纠正。利用VPN进行病毒防护系统不能自动阻止感染病毒的VPN客户端计算机通过请求使病毒扩散到ISA服务器计算机或其保护的
7、网络。为防止这种情况发生,需要采取监视措施以检测警报或异常通讯高峰等异常情况,并且配置警报通知以使用电子邮件。如果确定受感染的VPN客户端计算机,请采取以下措施之一:?通过使用远程访问策略将用户排除在允许连接的VPN客户端之外,按用户名限制VPN访问。按IP地址限制VPN访问。创建一个包含阻止的外部IP地址的新网络,并将客户端的IP地址从外部网络移至新网络。VPN的身份验证使用足够安全的身份验证方法。最安全的身份验证方法是与智能卡结合使用的可扩展身份验证协议-传输级别安全(EAP-TLS)o尽管使用EAP-TLS和
此文档下载收益归作者所有