首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > 理解并部署ISA 2004作为具有RPC状态识别过滤器的应用层防火墙
现在时间是: 2019-01-18 22:01
理解并部署ISA 2004作为具有RPC状态识别过滤器的应用层防火墙

(2005-02-21 13:34)
来源:ISAServer.ORG

理解并部署ISA 2004作为具有RPC状态识别过滤器的应用层防火墙

 

译自Frédéric ESNOUF MVP和Thomas W Shinder MD MVP,Understanding and Implementing ISA 2004 as an Application Firewall with the RPC Stateful Inspection Filter,有较大修改
 

ISA Server 2004 (ISA防火墙)为企业网络基础服务提供了大量的安全性增强性能,其中特别突出的是ISA防火墙包含的应用程序过滤器。

RPC(远程过程调用)协议被许多微软网络应用程序所使用,是非常重要的;但是许多IT人员都没有理解RPC协议是如何工作的。他们不理解许多潜在的问题是通过RPC协议而产生的,并且,他们不知道如何保护 网络中的基础服务器。在通常情况下,网络和防火墙管理员只会认为RPC是不安全的,并且从来没有考虑过安全的配置RPC访问。

这篇文章中讨论了RPC协议和为什么ISA防火墙可以为需要RPC访问的服务器提供高安全性的访问。在这篇文章中,我们会使用一个基本的 网络拓朴结构来模拟部署RPC状态过滤,不过在任何更为复杂的网络拓朴结构中进行部署也是一样的。

  

介绍防火墙、过滤和识别,三层 vs 应用层防火墙

大部分组织只是依赖三层包过滤系统来保护他们的公司网络。三层过滤(有时被认为是状态包过滤识别)只是打开和关闭TCP或者UDP端口 。由于网络攻击技术和协议的不断进化,工作在网络层和传输层(OSI模型中的第三层和第四层)已经不再拥有高级别的安全,并且只依赖于状态识别包过滤不能给予足够的网络保护。我们需要将防火墙放置在OSI模型中的更高层-应用层

在只部署有状态包过滤功能的防火墙的网络环境中,如果你想过滤RPC传输,你需要打开TCP端口135(RPC端口映射器,RPC客户通过此端口来搜寻远程RPC服务的TCP端口),并且,我们不知道RPC应用程序所使用的端口,所以你还需要打开从1024到65535的高端端口

我们用下面的图来表示上面的配置:

通过上面的图,你可以看到一条防火墙规则开放了到受保护的网络中的RPC服务器的大量的端口,传统的防火墙和网络安全管理员或工程师将认为这样的配置是不安全的,并且不会接受。从另一方面来说,大部分微软的服务器向企业网络中的其他网段中的主机开放大量的服务,而传统的网络和防火墙管理员在内部网络间一般不会再部署防火墙。

这就是问题的现状,在20世纪中我们认为Internet是不可信任的网络而认为企业内部网络是可信任的;但是在21世纪,我们不能再这样进行区分。现在没有网络可以认为是可信任的。企业内部网络中的蠕虫、病毒或者其他恶意代码, 还有不管是有意还是无意的攻击者,这些都应该让你把企业网络当成Internet一样不可信任的网络来对待。



作者:Frédéric ESNOUF MVP和Thomas W Shinder MD MVP
责任编辑:风间子

[1] [2] [3] [4] [5] [6] 下一页>>
上一篇:使用 ISA Server 2004 控制安全的 Internet 访问
下一篇:ISA 规则详解
相关信息:



热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..