安全設(shè)備規(guī)劃與配置

第12章安全設(shè)備規(guī)劃與配置主講人劉曉輝現(xiàn)在是1頁\一共有49頁\編輯于星期五本章內(nèi)容31安全設(shè)備規(guī)劃與配置3233網(wǎng)絡(luò)安全設(shè)計(jì)配置安全設(shè)備現(xiàn)在是2頁\一共有49頁\編輯于星期五12.1安全設(shè)備規(guī)劃與配置13.1.1案例情景13.1.2項(xiàng)目需求13.1.3解決方案網(wǎng)關(guān)安全——網(wǎng)絡(luò)防火墻局部安全——IDS全網(wǎng)安全防護(hù)——IPS現(xiàn)在是3頁\一共有49頁\編輯于星期五12.2網(wǎng)絡(luò)安全設(shè)計(jì)12.2.1網(wǎng)絡(luò)防火墻設(shè)計(jì)12.2.2入侵檢測系統(tǒng)設(shè)計(jì)12.2.3入侵防御系統(tǒng)設(shè)計(jì)12.2.4綜合安全設(shè)計(jì)現(xiàn)在是4頁\一共有49頁\編輯于星期五12.2.1網(wǎng)絡(luò)防火墻設(shè)計(jì)內(nèi)部網(wǎng)絡(luò)與Internet的連接之間連接局域網(wǎng)和廣域網(wǎng)內(nèi)部網(wǎng)絡(luò)不同部門之間的連接用戶與中心服務(wù)器之間的連接現(xiàn)在是5頁\一共有49頁\編輯于星期五內(nèi)部網(wǎng)絡(luò)與Internet的連接之間DMZ區(qū)域外部區(qū)域內(nèi)部區(qū)域現(xiàn)在是6頁\一共有49頁\編輯于星期五連接局域網(wǎng)和廣域網(wǎng)DMZ區(qū)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)存在邊界路由器網(wǎng)絡(luò)連接：

現(xiàn)在是7頁\一共有49頁\編輯于星期五連接局域網(wǎng)和廣域網(wǎng)無邊界路由器的網(wǎng)絡(luò)連接：

DMZ區(qū) 內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)現(xiàn)在是8頁\一共有49頁\編輯于星期五內(nèi)部網(wǎng)絡(luò)不同部門之間的連接被保護(hù)網(wǎng)絡(luò)現(xiàn)在是9頁\一共有49頁\編輯于星期五用戶與中心服務(wù)器之間的連接每臺(tái)服務(wù)器單獨(dú)配置獨(dú)立的防火墻配置虛擬網(wǎng)絡(luò)防火墻根據(jù)實(shí)施方式的不同分類：

核心交換機(jī)防火墻模塊現(xiàn)在是10頁\一共有49頁\編輯于星期五12.2.2入侵檢測系統(tǒng)設(shè)計(jì)IDS位置IDS與防火墻聯(lián)動(dòng)現(xiàn)在是11頁\一共有49頁\編輯于星期五IDS位置IDS在交換式網(wǎng)絡(luò)中一般選擇如下位置：盡可能靠近攻擊源；盡可能靠近受保護(hù)資源。這些位置通常在如下位置：服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器之后的第一臺(tái)交換機(jī)上；重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。核心交換機(jī)IDS服務(wù)器現(xiàn)在是12頁\一共有49頁\編輯于星期五IDS與防火墻聯(lián)動(dòng)核心交換機(jī)IDS服務(wù)器防火墻現(xiàn)在是13頁\一共有49頁\編輯于星期五IDS與防火墻聯(lián)動(dòng)TCP重置的缺陷：只對(duì)TCP連接起作用。IDS向攻擊者和受害者發(fā)送TCPReset命令，IDS必須在40億字節(jié)的范圍內(nèi)猜測到達(dá)受害者時(shí)的序列號(hào)數(shù)，以關(guān)閉連接。這種方法在實(shí)際上是不可實(shí)現(xiàn)的。即使IDS最終猜測到了到達(dá)受害者的序列號(hào)，關(guān)閉了連接，攻擊實(shí)際上已經(jīng)對(duì)受害者產(chǎn)生了作用?，F(xiàn)在是14頁\一共有49頁\編輯于星期五IDS與防火墻聯(lián)動(dòng)IDS與防火墻聯(lián)動(dòng)的缺點(diǎn)：使用和設(shè)置上復(fù)雜，影響FW的穩(wěn)定性與性能。阻斷來自源地址的流量，不能阻斷連接或單個(gè)數(shù)據(jù)包。黑客盜用合法地址發(fā)起攻擊，造成防火墻拒絕來自該地址的合法訪問?？煽啃圆?，實(shí)際環(huán)境中沒有實(shí)用價(jià)值?，F(xiàn)在是15頁\一共有49頁\編輯于星期五12.2.3入侵防御系統(tǒng)設(shè)計(jì)路由防護(hù)交換防護(hù)多鏈路防護(hù)混合防護(hù)現(xiàn)在是16頁\一共有49頁\編輯于星期五路由防護(hù)現(xiàn)在是17頁\一共有49頁\編輯于星期五交換防護(hù)現(xiàn)在是18頁\一共有49頁\編輯于星期五多鏈路防護(hù)現(xiàn)在是19頁\一共有49頁\編輯于星期五混合防護(hù)現(xiàn)在是20頁\一共有49頁\編輯于星期五12.2.4綜合安全設(shè)計(jì)現(xiàn)在是21頁\一共有49頁\編輯于星期五知識(shí)鏈接網(wǎng)絡(luò)防火墻——CiscoPIX和ASAIDS與IPS比較部署位置不同。檢測方式不同。處理攻擊的方式不同。現(xiàn)在是22頁\一共有49頁\編輯于星期五12.3配置安全設(shè)備12.3.1CiscoASA連接策略12.3.2CiscoASDM初始化12.3.3網(wǎng)絡(luò)設(shè)備集成化管理12.3.4安全策略設(shè)置12.3.5配置DMZ12.3.6管理安全設(shè)備現(xiàn)在是23頁\一共有49頁\編輯于星期五12.3.1CiscoASA連接策略安全I(xiàn)nternet連接：

CiscoASA私有網(wǎng)絡(luò)路由器Internet現(xiàn)在是24頁\一共有49頁\編輯于星期五12.3.1CiscoASA連接策略虛擬網(wǎng)絡(luò)防火墻：

現(xiàn)在是25頁\一共有49頁\編輯于星期五12.3.1CiscoASA連接策略發(fā)布網(wǎng)絡(luò)服務(wù)器：

現(xiàn)在是26頁\一共有49頁\編輯于星期五12.3.1CiscoASA連接策略VPN遠(yuǎn)程安全訪問：

現(xiàn)在是27頁\一共有49頁\編輯于星期五12.3.1CiscoASA連接策略站點(diǎn)VPN：

現(xiàn)在是28頁\一共有49頁\編輯于星期五12.3.1CiscoASA連接策略CiscoASA典型應(yīng)用：

現(xiàn)在是29頁\一共有49頁\編輯于星期五12.3.2CiscoASDM初始化安裝前的準(zhǔn)備 第1步，獲得一個(gè)DES許可證或3DES-AES許可證。 第2步，在Web瀏覽器啟用JavaandJavascript。 第3步，搜集下列信息： 在網(wǎng)絡(luò)中能夠識(shí)別自適應(yīng)安全設(shè)備的主機(jī)名。 外部接口、內(nèi)部接口和其他接口的IP地址信息。 用于NAT或PAT配置的IP地址信息。 DHCP服務(wù)器的IP地址范圍。使用StartupWizard現(xiàn)在是30頁\一共有49頁\編輯于星期五12.3.3網(wǎng)絡(luò)設(shè)備集成化管理對(duì)于CiscoAIP-SSM的全面管理服務(wù)虛擬化安全服務(wù)的世界級(jí)管理現(xiàn)在是31頁\一共有49頁\編輯于星期五12.3.4安全策略設(shè)置在安全策略設(shè)置上，通常包括以下幾種設(shè)置：

內(nèi)到外全部允許，外到內(nèi)全部拒絕。內(nèi)到外和外到內(nèi)都要做ACL控制、映射、NAT。設(shè)置IPSec、L2TP、SSLVPN?，F(xiàn)在是32頁\一共有49頁\編輯于星期五12.3.5配置DMZ運(yùn)行ASDM為NAT創(chuàng)建IP地址池為外部端口指定IP地址池配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器配置內(nèi)部客戶端訪問Internet為Web服務(wù)器配置外部ID允許Internet用戶訪問DMZ的Web服務(wù)現(xiàn)在是33頁\一共有49頁\編輯于星期五12.3.5配置DMZWeb服務(wù)器連接至安全設(shè)備的DMZ接口。HTTP客戶端位于私有網(wǎng)絡(luò)，可以訪問位于DMZ中的Web服務(wù)器，并且可以訪問Internet中的設(shè)備。Internet中的HTTP客戶端允許訪問DMZ區(qū)的Web服務(wù)器，除此之外的其他所有的通信都被禁止。網(wǎng)絡(luò)有2個(gè)可路由的IP地址可以被公開訪問：安全設(shè)備外部端口的IP地址為25，DMZ中Web服務(wù)器的公開IP地址為26?，F(xiàn)在是34頁\一共有49頁\編輯于星期五運(yùn)行ASDM現(xiàn)在是35頁\一共有49頁\編輯于星期五運(yùn)行ASDM現(xiàn)在是36頁\一共有49頁\編輯于星期五為NAT創(chuàng)建IP地址池現(xiàn)在是37頁\一共有49頁\編輯于星期五為外部端口指定IP地址池現(xiàn)在是38頁\一共有49頁\編輯于星期五配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器現(xiàn)在是39頁\一共有49頁\編輯于星期五配置內(nèi)部客戶端訪問Internet 借助NAT規(guī)則，可以實(shí)現(xiàn)內(nèi)部客戶端對(duì)DMZ區(qū)中Web服務(wù)器的訪問。當(dāng)然，借助NAT規(guī)則也應(yīng)當(dāng)能夠?qū)崿F(xiàn)內(nèi)部客戶端對(duì)Internet的訪問。不過，管理員無需再創(chuàng)建任何規(guī)則，因?yàn)镮P地址池包括了2種需要轉(zhuǎn)換的地址，即DMZ接口使用的IP地址，和外部接口使用的IP地址?，F(xiàn)在是40頁\一共有49頁\編輯于星期五為Web服務(wù)器配置外部ID現(xiàn)在是41頁\一共有49頁\編輯于星期五允許Internet用戶訪問DMZ的Web服務(wù)現(xiàn)在是42頁\一共有49頁\編輯于星期五12.3.6管理安全設(shè)備監(jiān)視安全設(shè)備運(yùn)行狀態(tài)查看和分析網(wǎng)絡(luò)流量查看和分析系統(tǒng)日志安全監(jiān)控工具現(xiàn)在是43頁\一共有49頁\編輯于星期五監(jiān)視安全設(shè)備運(yùn)行狀態(tài)現(xiàn)在是44頁\一共有49頁\編輯于星期五查看和分析網(wǎng)絡(luò)流量現(xiàn)在是45頁\一共有49頁\編輯于星期五查看和分析系統(tǒng)日志現(xiàn)在是46頁\一共有49頁\編輯于星期五安全監(jiān)控工具監(jiān)控工具系統(tǒng)圖連接圖攻擊保護(hù)系統(tǒng)圖接口圖VPN統(tǒng)計(jì)和連接圖現(xiàn)在是47頁\一共有49頁\編輯于星期五習(xí)題1.企業(yè)網(wǎng)絡(luò)中常用的安全設(shè)備有哪些？主要應(yīng)用在網(wǎng)絡(luò)中的哪些位置？2.簡述IPS的主要功能。3.簡述CiscoASA些列產(chǎn)品有的功能特點(diǎn)。4.什么是DMZ，如何通過CiscoASA防火墻配置DMZ？現(xiàn)在是48頁\一共有49頁\編輯于星期五實(shí)驗(yàn)：設(shè)計(jì)安全企業(yè)網(wǎng)絡(luò)實(shí)驗(yàn)?zāi)康?掌握常用安全網(wǎng)絡(luò)設(shè)備的部署與應(yīng)用。實(shí)驗(yàn)