安全策略高級特性_第1頁
安全策略高級特性_第2頁
安全策略高級特性_第3頁
安全策略高級特性_第4頁
安全策略高級特性_第5頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

會計學(xué)1安全策略高級特性通過完成此章節(jié)課程,您將可以:

-配置基于角色和時間表的策略-配置安全網(wǎng)關(guān)實現(xiàn)對網(wǎng)絡(luò)攻擊防護

-配置安全網(wǎng)關(guān)抵御ARP攻擊章節(jié)目標(biāo)第1頁/共24頁

基于角色的策略基于時間表的策略網(wǎng)絡(luò)攻擊防護二層防護議程:安全策略高級特性第2頁/共24頁神州數(shù)碼防火墻不僅可以基于IP指定策略控制流量,而且可以結(jié)合角色實現(xiàn)細粒度的基于用戶的訪問控制。把用戶和角色(Role)映射起來(配置角色映射規(guī)則),然后把角色/角色組引用到系統(tǒng)策略規(guī)則中,就能夠?qū)崿F(xiàn)設(shè)備對不同用戶流量的管理與控制。角色第3頁/共24頁用戶>用戶新建用戶界面輸入需新建用戶名/密碼,點擊確定用戶>角色新角色角色(創(chuàng)建用戶、角色)用戶名稱→→用戶密碼角色名稱→第4頁/共24頁用戶>角色新角色映射

配置用戶-角色對應(yīng)關(guān)系,點擊確定完成新建操作,可編輯該角色映射規(guī)則,添加和刪除對應(yīng)關(guān)系。用戶>AAA服務(wù)器>編輯界面綁定映射規(guī)則綁定角色映射規(guī)則→映射規(guī)則名稱→→需映射用戶對應(yīng)角色→角色(創(chuàng)建用戶映射規(guī)則)第5頁/共24頁網(wǎng)絡(luò)>Web認(rèn)證界面開啟認(rèn)證模式,可根據(jù)需要調(diào)整超時值和認(rèn)證端口。

防火墻>策略對需要通過角色控制策略選擇已定義角色,實現(xiàn)基于角色策略控制新建一條用戶認(rèn)證用戶的策略,置于角色控制策略之上角色(實現(xiàn)Web認(rèn)證)認(rèn)證模式→第6頁/共24頁基于安全域策略模式:

基于全局策略模式:配置角色控制策略第7頁/共24頁基于角色的策略

基于時間表的策略網(wǎng)絡(luò)攻擊防護二層防護議程:安全策略高級特性第8頁/共24頁DCFW-1800系列防火墻支持時間表(Schedule)功能。時間表功能可以使策略規(guī)則在指定的時間生效,也可以控制PPPoE接口與因特網(wǎng)的連接時間。時間表包含絕對時間和周期。周期通過周期條目指定時間表的時間點或者時間段而絕對時間決定周期的生效時間。每個周期最多可以擁有16條周期條目。時間表第9頁/共24頁對象>時間表>新建時間表提供“絕對時間”和“周期”兩種類型時間表第10頁/共24頁防火墻>策略調(diào)用時間表的策略,只在時間表范圍內(nèi)生效應(yīng)用時間表到策略第11頁/共24頁防火墻>策略調(diào)用時間表的策略,只在時間表范圍內(nèi)生效CLI:showpolicy查看調(diào)用時間表的策略第12頁/共24頁基于角色的策略基于時間表的策略

網(wǎng)絡(luò)攻擊防護二層防護議程:安全策略高級特性第13頁/共24頁網(wǎng)絡(luò)中存在多種防不勝防的攻擊,如侵入或破壞網(wǎng)絡(luò)上的服務(wù)器、盜取服務(wù)器的敏感數(shù)據(jù)、破壞服務(wù)器對外提供的服務(wù),或者直接破壞網(wǎng)絡(luò)設(shè)備導(dǎo)致網(wǎng)絡(luò)服務(wù)異常甚至中斷。作為網(wǎng)絡(luò)安全設(shè)備的防火墻,必須具備攻擊防護功能來檢測各種類型的網(wǎng)絡(luò)攻擊,從而采取相應(yīng)的措施保護內(nèi)部網(wǎng)絡(luò)免受惡意攻擊,以保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)正常運行。神州數(shù)碼防火墻提供基于域的攻擊防護功能攻擊防護第14頁/共24頁防火墻>攻擊防護攻擊防護是否啟用防護→→檢測閥值→該防護功能動作第15頁/共24頁防火墻>攻擊防護攻擊防護(續(xù))是否啟用防護→→代理閥值代理時間Syncookie第16頁/共24頁基于角色的策略基于時間表的策略網(wǎng)絡(luò)攻擊防護

二層防護議程:安全策略高級特性第17頁/共24頁防火墻>二層防護>主機防御安全網(wǎng)關(guān)代替不同主機發(fā)送免費arp包,保護被代理主機免受arp攻擊。主機防御服務(wù)器所在接口→服務(wù)器IP→服務(wù)器mac→Arp包速率→第18頁/共24頁防火墻>二層防護>arp防御通過使用ARP學(xué)習(xí)功能、MAC學(xué)習(xí)、ARP認(rèn)證以及ARP檢查功能,DCFOS能夠很好的防御ARP欺騙攻擊。并且,DCFOS能夠?qū)RP欺騙攻擊進行統(tǒng)計,顯示ARP欺騙攻擊統(tǒng)計信息ARP防御→ARP廣播包限制是否啟用ARP檢查→應(yīng)用→第19頁/共24頁防火墻>二層防護>靜態(tài)綁定※在全局模式下,使用以下命令綁定IP-MAC:arpip-addressmac-address※在全局模式下,使用以下命令綁定MAC-接口:mac-address-staticmac-adressinterfaceinterface-name靜態(tài)綁定第20頁/共24頁防火墻>二層防護>DHCPSnoopingDHCP監(jiān)控第21頁/共24

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論