那些遇到过的问题

标签: isa-server

Web 服务器前的反向代理会提高安全性吗?

第三方安全专家建议我们在 Web 服务器(均托管在 DMZ 中)前运行反向代理作为最佳实践安全措施。

我知道这是一个典型的推荐架构,因为它在 Web 应用程序前面提供了另一个级别的安全性以防止黑客。

然而,由于反向代理在用户和内部 Web 服务器之间愉快地来回穿梭 HTTP,它不会提供任何防止对 Web 服务器本身进行黑客攻击的措施。换句话说,如果您的 Web 应用程序存在安全漏洞,代理将不会提供任何有意义的安全性。

并且考虑到攻击 Web 应用程序的风险远高于攻击代理的风险,在中间添加一个额外的框真的有很多好处吗?我们不会使用反向代理的任何缓存功能——只是一个来回传输数据包的愚蠢工具。

还有什么我在这里想念的吗?反向代理 HTTP 数据包检查是否变得如此出色,可以检测到有意义的攻击而没有重大性能瓶颈,或者这只是安全剧院的另一个例子?

反向代理是 MS ISA fwiw。

security proxy reverse-proxy isa-server

Dar*_*ren
lucky-day
15
推荐指数
4
解决办法
4万
查看次数

无法通过 OpenSWAN <-> ISA Server IPSec VPN 上的“待定阶段 2”

问题

我很难在我的 Linux 服务器(Ubuntu 12.04)上配置 OpenSWAN 以连接到 ISA Server 2004 IPSec VPN。阻碍隧道工作的配置显然有问题。看起来我的一些数据包在某处丢失了?我不确定。

对方说他们这边的日志没有任何问题。我这边没有防火墙。这是/var/log/auth.log(下面的更长版本)中的违规部分。

Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: STATE_MAIN_I3: sent MI3, expecting MR3
Jan 29 17:28:12 P-INV-SD07 pluto[5821]: "myconn" #1: discarding duplicate packet; already STATE_MAIN_I3
Jan 29 17:28:34  pluto[5821]: last message repeated 3 times
Jan 29 17:28:42 P-INV-SD07 pluto[5821]: packet from <hispublicip>:500: Informational Exchange is for an unknown (expired?) SA with MSGID:0x8341092b …
Run Code Online (Sandbox Code Playgroud)

vpn ipsec isa-server openswan

Gom*_*moX
2013 02-08
7
推荐指数
1
解决办法
2万
查看次数

WSDL 中包含的模式 URL 的 ISA 错误翻译

我在 ISA 服务器后面有一个 WSDL。WSDL 包括一个模式 <xsd:include schemaLocation="myschema.xsd"/>

但是,当通过 ISA 访问时,某些隐式映射会将服务器名称更改为应用程序名称“TEST”,如下面的 xsd:include 行所示

<xsd:include schemaLocation="http://TEST:8345/myservice?xsd=myschema.xsd"/>

可以使用 URL 访问 WSDL - https://services.mycompany.com/myservice?wsdl

可以使用 URL 访问架构 - https://services.mycompany.com/myservice?xsd=myschema.xsd

问题是 WSDL 中模式的翻译 URL 不正确。它需要是

<xsd:include schemaLocation="https://services.mycompany.com/myservice?xsd=myschema.xsd"/>

代替

<xsd:include schemaLocation="http://TEST:8345/myservice?xsd=myschema.xsd"/>

ISA 人员是否需要为此设置一些 ISA 规则(用于替换 WSDL 中的 URL)?他需要创建/更改什么规则?

url url-routing isa-server

use*_*140
2013 04-30
6
推荐指数
1
解决办法
161
查看次数

出于安全原因使用 VLAN 进行 LAN 隔离

我被要求隔离我们网络中的测试环境以提高我们的安全性。

我们的结构包括:

  • 1 台交换机 Dell Power Connect 3448
  • 1 台交换机 Dell Power Connect 2748
  • 几个 5 端口 Star Tech 交换机(解决我们的布线结构问题)
  • 1 ISA Server 2006 防火墙

为了完成这项任务,我计划执行以下操作:

  • 为测试环境创建一个 VLAN 并在该 VLAN 上包含必要的端口
  • 让默认 VLAN 1 中的所有其他端口(保持数据包未标记),除了插入 ISA 服务器的端口
  • 将 ISA Server 插入的端口配置为 Trunk
  • 在 ISA Server 网卡上配置一个虚拟接口,允许它与 VLAN 通信
  • 在 ISA 服务器上配置防火墙规则以仅允许 LAN、Internet 和 VPN 客户端之间的所需流量。

我的计划是按照我的要求去做的最佳方式吗?

switch vlan isa-server dell-powerconnect

Fab*_*iro
2011 11-09
4
推荐指数
1
解决办法
706
查看次数

如何找到产生流量的客户?

我们正在运行 SBS 2003 SP2,我想知道是否有任何简单的方法可以找出特定时间的流量是从哪里生成的?

就我而言,每天的总流量消耗大约为 8GB。我不关心一般流量(那些 8GB 主要包括在夜间传输备份文件),但在特定时间范围内。

举个例子:突然在上午 10 点 30 分,互联网连接速度明显变慢。我检查了我们的自动备份和其他传输服务,但它们都没有运行。我仍然有一个网络,其中大约有 15 台 PC 散布在建筑物周围,这可能会产生流量。

我们只有2MBit的小线路,所以在办公时间线路很快就饱和了。我不怀疑任何用户做错了什么,我认为有一些软件自动化的事情正在发生,但我不确定。也许是 Windows 或 Adob​​e 自动下载,但我如何确定?

我已经在查看 ISA 2004 生成的报告并看到很多数字,但我无法确定哪个客户端生成了流量。

通过转到任务管理器中的网络选项卡,我可以看到服务器本身的峰值,我看到外部 100Mbit 接口为 2% == 2Mbit,但我无法弄清楚它实际上来自哪里。

我想我可以排除它是服务器本身产生的流量,因为来自外部接口的流量图与为我的用户提供服务的 LAN 接口相匹配(我们的 DMZ 接口,其中包含我们的自动备份服务,当时为 0 )。

我怎样才能进一步解决这个问题?

traffic isa-server

mar*_*ark
2017 05-20
3
推荐指数
1
解决办法
2645
查看次数

如何在使用端口 80 和 443 时阻止 SKYPE?

如何在网络中使用端口 80 和 443 时阻止 SKYPE。(如果我可以通过使用 ISA 2006 并且不禁用 Web 来做到这一点会更好)我知道如果用户无法安装 Skype,他们将无法使用它。所以没有那个?

firewall access-control-list isa-server port-80 port-443

Thi*_*ina
lucky-day
2
推荐指数
1
解决办法
2万
查看次数

标签 统计

isa-server ×6

access-control-list ×1

dell-powerconnect ×1

firewall ×1

ipsec ×1

openswan ×1

port-443 ×1

port-80 ×1

proxy ×1

reverse-proxy ×1

security ×1

switch ×1

traffic ×1

url ×1

url-routing ×1

vlan ×1

vpn ×1