安全策略高級(jí)特性

會(huì)計(jì)學(xué)1安全策略高級(jí)特性通過(guò)完成此章節(jié)課程，您將可以：

-配置基于角色和時(shí)間表的策略-配置安全網(wǎng)關(guān)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊防護(hù)

-配置安全網(wǎng)關(guān)抵御ARP攻擊章節(jié)目標(biāo)第1頁(yè)/共24頁(yè)

基于角色的策略基于時(shí)間表的策略網(wǎng)絡(luò)攻擊防護(hù)二層防護(hù)議程：安全策略高級(jí)特性第2頁(yè)/共24頁(yè)神州數(shù)碼防火墻不僅可以基于IP指定策略控制流量，而且可以結(jié)合角色實(shí)現(xiàn)細(xì)粒度的基于用戶的訪問(wèn)控制。把用戶和角色（Role）映射起來(lái)（配置角色映射規(guī)則），然后把角色/角色組引用到系統(tǒng)策略規(guī)則中，就能夠?qū)崿F(xiàn)設(shè)備對(duì)不同用戶流量的管理與控制。角色第3頁(yè)/共24頁(yè)用戶>用戶新建用戶界面輸入需新建用戶名/密碼，點(diǎn)擊確定用戶>角色新角色角色（創(chuàng)建用戶、角色）用戶名稱→→用戶密碼角色名稱→第4頁(yè)/共24頁(yè)用戶>角色新角色映射

配置用戶-角色對(duì)應(yīng)關(guān)系，點(diǎn)擊確定完成新建操作，可編輯該角色映射規(guī)則，添加和刪除對(duì)應(yīng)關(guān)系。用戶>AAA服務(wù)器>編輯界面綁定映射規(guī)則綁定角色映射規(guī)則→映射規(guī)則名稱→→需映射用戶對(duì)應(yīng)角色→角色（創(chuàng)建用戶映射規(guī)則）第5頁(yè)/共24頁(yè)網(wǎng)絡(luò)>Web認(rèn)證界面開(kāi)啟認(rèn)證模式，可根據(jù)需要調(diào)整超時(shí)值和認(rèn)證端口。

防火墻>策略對(duì)需要通過(guò)角色控制策略選擇已定義角色，實(shí)現(xiàn)基于角色策略控制新建一條用戶認(rèn)證用戶的策略，置于角色控制策略之上角色（實(shí)現(xiàn)Web認(rèn)證）認(rèn)證模式→第6頁(yè)/共24頁(yè)基于安全域策略模式：

基于全局策略模式：配置角色控制策略第7頁(yè)/共24頁(yè)基于角色的策略

基于時(shí)間表的策略網(wǎng)絡(luò)攻擊防護(hù)二層防護(hù)議程：安全策略高級(jí)特性第8頁(yè)/共24頁(yè)DCFW-1800系列防火墻支持時(shí)間表（Schedule）功能。時(shí)間表功能可以使策略規(guī)則在指定的時(shí)間生效，也可以控制PPPoE接口與因特網(wǎng)的連接時(shí)間。時(shí)間表包含絕對(duì)時(shí)間和周期。周期通過(guò)周期條目指定時(shí)間表的時(shí)間點(diǎn)或者時(shí)間段而絕對(duì)時(shí)間決定周期的生效時(shí)間。每個(gè)周期最多可以擁有16條周期條目。時(shí)間表第9頁(yè)/共24頁(yè)對(duì)象>時(shí)間表>新建時(shí)間表提供“絕對(duì)時(shí)間”和“周期”兩種類型時(shí)間表第10頁(yè)/共24頁(yè)防火墻>策略調(diào)用時(shí)間表的策略，只在時(shí)間表范圍內(nèi)生效應(yīng)用時(shí)間表到策略第11頁(yè)/共24頁(yè)防火墻>策略調(diào)用時(shí)間表的策略，只在時(shí)間表范圍內(nèi)生效CLI：showpolicy查看調(diào)用時(shí)間表的策略第12頁(yè)/共24頁(yè)基于角色的策略基于時(shí)間表的策略

網(wǎng)絡(luò)攻擊防護(hù)二層防護(hù)議程：安全策略高級(jí)特性第13頁(yè)/共24頁(yè)網(wǎng)絡(luò)中存在多種防不勝防的攻擊，如侵入或破壞網(wǎng)絡(luò)上的服務(wù)器、盜取服務(wù)器的敏感數(shù)據(jù)、破壞服務(wù)器對(duì)外提供的服務(wù)，或者直接破壞網(wǎng)絡(luò)設(shè)備導(dǎo)致網(wǎng)絡(luò)服務(wù)異常甚至中斷。作為網(wǎng)絡(luò)安全設(shè)備的防火墻，必須具備攻擊防護(hù)功能來(lái)檢測(cè)各種類型的網(wǎng)絡(luò)攻擊，從而采取相應(yīng)的措施保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，以保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)正常運(yùn)行。神州數(shù)碼防火墻提供基于域的攻擊防護(hù)功能攻擊防護(hù)第14頁(yè)/共24頁(yè)防火墻>攻擊防護(hù)攻擊防護(hù)是否啟用防護(hù)→→檢測(cè)閥值→該防護(hù)功能動(dòng)作第15頁(yè)/共24頁(yè)防火墻>攻擊防護(hù)攻擊防護(hù)（續(xù)）是否啟用防護(hù)→→代理閥值代理時(shí)間Syncookie第16頁(yè)/共24頁(yè)基于角色的策略基于時(shí)間表的策略網(wǎng)絡(luò)攻擊防護(hù)

二層防護(hù)議程：安全策略高級(jí)特性第17頁(yè)/共24頁(yè)防火墻>二層防護(hù)>主機(jī)防御安全網(wǎng)關(guān)代替不同主機(jī)發(fā)送免費(fèi)arp包，保護(hù)被代理主機(jī)免受arp攻擊。主機(jī)防御服務(wù)器所在接口→服務(wù)器IP→服務(wù)器mac→Arp包速率→第18頁(yè)/共24頁(yè)防火墻>二層防護(hù)>arp防御通過(guò)使用ARP學(xué)習(xí)功能、MAC學(xué)習(xí)、ARP認(rèn)證以及ARP檢查功能，DCFOS能夠很好的防御ARP欺騙攻擊。并且，DCFOS能夠?qū)RP欺騙攻擊進(jìn)行統(tǒng)計(jì)，顯示ARP欺騙攻擊統(tǒng)計(jì)信息ARP防御→ARP廣播包限制是否啟用ARP檢查→應(yīng)用→第19頁(yè)/共24頁(yè)防火墻>二層防護(hù)>靜態(tài)綁定※在全局模式下，使用以下命令綁定IP-MAC:arpip-addressmac-address※在全局模式下，使用以下命令綁定MAC-接口：mac-address-staticmac-adressinterfaceinterface-name靜態(tài)綁定第20頁(yè)/共24頁(yè)防火墻>二層防護(hù)>DHCPSnoopingDHCP監(jiān)控第21頁(yè)/共24