|
|
ISA Server 2004 安全强化指南五(图) |
|
| http://www.hbdxs.com 2006-8-18 13:45:49 来源:网络收集 点击 |
|
|
锁定模式
防火墙的一个重要功能是对攻击作出反应。 发生攻击时,第一道防线似乎是断开与 Internet 的连接,从而将受到危害的网络与恶意外部攻击者隔离。 但是,这不是一个值得推荐的方法。 虽然必须对付攻击,但是尽快恢复正常网络连接性,并且必须识别攻击的来源。
ISA Server2004 引入的锁定功能同时满足隔离和保持连接的需要。 如果出现某种情况,导致 Microsoft 防火墙服务关闭,ISA 服务器将进入锁定模式。 以下条件下会发生这种情况: 某个事件触发防火墙服务关闭。 当您配置警报定义时,需要决定导致防火墙服务关闭的事件。 实质上,您配置 ISA 服务器何时进入锁定框。
手动关闭防火墙服务。 如果您察觉恶意攻击,您可以关闭防火墙服务,同时配置 ISA 服务器计算机和网络以对付攻击。
受影响的功能
处于锁定模式时,功能方面情况如下: Firewall Packet Filter Engine (fweng) 应用防火墙策略。
允许从本地主机网络到所有网络的传出通讯。 如果建立一个传出连接,可以使用该连接对传入通讯作出响应。 例如,DNS 查询可以在相同的连接上接收 DNS 响应。
除非启用特别允许传入通讯的系统策略规则,否则不允许传入通讯。 一个例外情况是 DHCP 通讯,DHCP 通讯始终获得允许。 也就是说,允许 UDP 端口67 上的 DHCP 请求从本地主机传送到所有网络,允许 UDP 端口68 上的 DHCP 回复传回本地主机。
以下系统策略规则仍适用: 允许从受信任的服务器到本地主机的 ICMP。
允许使用 MMC(RPC,通过端口3847)远程管理防火墙。
允许使用 RDP 远程管理防火墙。
VPN 远程访问客户端不能访问 ISA 服务器。 同样,在站点至站点 VPN 方案中,拒绝访问远程站点网络。
只有在防火墙服务重新启动并且 ISA 服务器退出锁定模式之后,才应用锁定模式下对网络配置的更改。 例如,如果您物理上移动网络段,并重新配置 ISA 服务器以便与物理更改匹配,只有在 ISA 服务器退出锁定模式之后,新拓扑才生效。
ISA 服务器不触发任何警报。
保持锁定模式
防火墙服务重新启动时,ISA 服务器退出锁定模式并继续像以前一样运行。 ISA 服务器退出锁定模式之后,应用对 ISA 服务器配置的任何更改。
保证配置安全
当您配合公司安全策略配置 ISA 服务器防火墙策略时,请遵循拒绝未明确允许的所有流量的原则。 ISA 服务器在默认情况下实施此策略。 称为“默认规则”的默认防火墙策略规则拒绝所有用户访问所有网络。 由于最后处理此规则,将拒绝未明确允许的任何通讯。
升级之后验证配置
通过升级或使用“ISA 服务器迁移向导”,可以将 ISA Server2000 策略迁移至 ISA Server2004。 请仔细检查迁移的策略。 ISA Server2004 利用与 ISA Server2000 不同的规则模型。 确保根据组织的安全策略配置防火墙策略。
验证防火墙策略配置
建议您在创建防火墙策略之后,积极检查策略。 验证您要传送的通讯是否获得允许。 另外,验证仅适用的端口打开。
虚拟专用网络
使用 ISA Server2004 作为虚拟专用网络 (VPN) 服务器时,请遵循安全最佳做法,这很重要。 下面列出关于保证作为 VPN 服务器的 ISA 服务器计算机安全的建议:
建议使用 L2TP over IPSec(建立在 Internet 协议安全之上的第二层隧道协议)连接,以获得最强加密。 建议实施并强制使用强密码策略,从而减少词典攻击的机会。 实施这样的策略时,您可以禁用帐户锁定,从而减少攻击者触发帐户锁定的机会。
要求远程 VPN 客户端运行特定操作系统(如 Microsoft Windows Server2003、Windows2000 Server 或 WindowsXP)。 并非所有操作系统的文件系统和用户帐户系统都具有同等安全级别。 同样,并非所有操作系统的所有远程访问功能都可用。
使用 ISA 服务器的隔离控制功能为远程 VPN 客户端提供分阶段网络访问。 通过隔离控制,客户端在获准访问网络之前,限于隔离模式。虽然隔离控制并不能防止攻击,但是在授权用户访问网络之前,可以验证授权用户的计算机配置并在必要时进行纠正。
利用 VPN 进行病毒防护
系统不能自动阻止感染病毒的 VPN 客户端计算机通过请求使病毒扩散到 ISA 服务器计算机或其保护的网络。 为防止这种情况发生,需要采取监视措施以检测警报或异常通讯高峰等异常情况,并且配置警报通知以使用电子邮件。 如果确定受感染的 VPN 客户端计算机,请采取以下措施之一: ? 通过使用远程访问策略将用户排除在允许连接的 VPN 客户端之外,按用户名限制 VPN 访问。
按 IP 地址限制 VPN 访问。 创建一个包含阻止的外部 IP 地址的新网络,并将客户端的 IP 地址从外部网络移至新网络。
VPN 的身份验证
使用足够安全的身份验证方法。 最安全的身份验证方法是与智能卡结合使用的可扩展身份验证协议-传输级别安全 (EAP-TLS)。 尽管使用 EAP-TLS 和智能卡时会遇到部署难题,需要公钥基础结构 (PKI),仍不失为最安全的身份验证方法。 启用 EAP-TLS(在远程访问策略的配置文件中默认为禁用)。
如果使用 EAP-TLS 身份验证协议,必须在 Internet 验证服务 (IAS) 服务器上安装计算机证书。 对于客户端和用户身份验证,您可以在客户端计算机上安装证书,也可以使用智能卡。 在部署证书之前,必须按正确的要求设计证书。
如果使用基于密码的身份验证,请对您的网络强制使用强密码策略,使词典攻击更困难。
可考虑要求您的远程 VPN 客户端使用更安全的身份验证协议进行身份验证,如 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 或可扩展身份验证协议 (EAP),而不允许它们使用密码身份验证协议 (PAP)、Shiva 密码身份验证协议 (SPAP) 和质询握手身份验证协议 (CHAP)。
我们强烈建议禁用密码身份验证协议 (PAP)、Shiva 密码身份验证协议 (SPAP) 和质询握手身份验证协议 (CHAP)。 默认情况下禁用 PAP、SPAP 和 CHAP。
链接转换
无论是否启用了链接转换,ISA Server2004 的链接转换功能都会转换 HTTP 标头。 这意味着,当您发布 Web 服务器时,如果指定可以使用任何域名,攻击者可以在标头中发送恶意内容。 如果发布的服务器将请求重定向至任何计算机上的页面,响应可能有害。 (它可能已被修改,包含攻击者发送的标头中的 URL。)如果此页面被下游服务器缓存,访问此页面的用户将会被重定向至攻击者配置的网站。
因此,我们建议您指定 Web 发布规则应用到的特定域名。
要指定特定域名,请执行以下步骤。
1. 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。
2. 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server2004,单击 server_name,然后单击“防火墙策略”。
3. 在详细信息窗格中,选择适用的 Web 发布规则。
4. 在“任务”选项卡上,单击“编辑所选规则”。
5. 在“公共名称”选项卡上,选择“此规则应用到”下面的“以下网站的请求”。
6. 单击“添加”。
7. 在“公共域名或 IP 地址”中,键入 Web 发布规则将应用到的特定域名。
连接限制
ISA 服务器限制指定时间内的连接数。 您可以配置限制,从而指定并发连接的最大数量。 达到最大连接数时,对该 Web 侦听器的任何新客户端请求都将被拒绝。
您可以限制服务器发布或访问规则每秒允许的 UDP、ICMP 及其他 Raw IP 会话的总数。 这些限制并不适用于 TCP 连接。 超过指定的连接数时,将不再创建新连接。 也不会断开现有的连接。
建议配置较严格的连接限制。 这样可以有效地限制恶意主机使用 ISA 服务器计算机上的资源。
默认情况下,对于非 TCP 连接,连接限制配置为每秒钟每个规则 1000 个连接,每个客户端 160 个连接。 对于 TCP 连接,连接限制配置为每个客户端 160 个连接。 我们强烈建议您不要更改这些预配置限制。 如果您必须修改连接限制,请尽可能配置较少的连接数。
要配置连接限制,请执行以下步骤。
1. 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。
2. 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server2004 -> server_name ->“配置”->“常规”。
3. 在详细信息窗格中,单击“定义连接限制”。
4. 在“连接限制”选项卡上,选择“限制连接数目”。
5. 执行以下操作: 1. 在“每秒钟每个规则创建的非 TCP 连接数限制”中,键入每秒钟每个规则允许的连接数。
2. 在“每个客户端的 TCP 和非 TCP 连接数限制”中,键入每个客户端允许的连接数。
防火墙客户端
ISA 服务器支持防火墙客户端和 ISA 服务器之间采用更安全的通讯方式,这涉及采取使用 TCP 控制通道的加密。 您可以配置 ISA 服务器,使之仅接受客户端使用此安全方式发出的
|
|
|
|
|
|
