安全設(shè)備規(guī)劃與配置

第12章安全設(shè)備規(guī)劃與配置主講人劉曉輝當(dāng)前第1頁\共有49頁\編于星期四\22點(diǎn)本章內(nèi)容31安全設(shè)備規(guī)劃與配置3233網(wǎng)絡(luò)安全設(shè)計(jì)配置安全設(shè)備當(dāng)前第2頁\共有49頁\編于星期四\22點(diǎn)12.1安全設(shè)備規(guī)劃與配置13.1.1案例情景13.1.2項(xiàng)目需求13.1.3解決方案網(wǎng)關(guān)安全——網(wǎng)絡(luò)防火墻局部安全——IDS全網(wǎng)安全防護(hù)——IPS當(dāng)前第3頁\共有49頁\編于星期四\22點(diǎn)12.2網(wǎng)絡(luò)安全設(shè)計(jì)12.2.1網(wǎng)絡(luò)防火墻設(shè)計(jì)12.2.2入侵檢測系統(tǒng)設(shè)計(jì)12.2.3入侵防御系統(tǒng)設(shè)計(jì)12.2.4綜合安全設(shè)計(jì)當(dāng)前第4頁\共有49頁\編于星期四\22點(diǎn)12.2.1網(wǎng)絡(luò)防火墻設(shè)計(jì)內(nèi)部網(wǎng)絡(luò)與Internet的連接之間連接局域網(wǎng)和廣域網(wǎng)內(nèi)部網(wǎng)絡(luò)不同部門之間的連接用戶與中心服務(wù)器之間的連接當(dāng)前第5頁\共有49頁\編于星期四\22點(diǎn)內(nèi)部網(wǎng)絡(luò)與Internet的連接之間DMZ區(qū)域外部區(qū)域內(nèi)部區(qū)域當(dāng)前第6頁\共有49頁\編于星期四\22點(diǎn)連接局域網(wǎng)和廣域網(wǎng)DMZ區(qū)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)存在邊界路由器網(wǎng)絡(luò)連接：

當(dāng)前第7頁\共有49頁\編于星期四\22點(diǎn)連接局域網(wǎng)和廣域網(wǎng)無邊界路由器的網(wǎng)絡(luò)連接：

DMZ區(qū) 內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)當(dāng)前第8頁\共有49頁\編于星期四\22點(diǎn)內(nèi)部網(wǎng)絡(luò)不同部門之間的連接被保護(hù)網(wǎng)絡(luò)當(dāng)前第9頁\共有49頁\編于星期四\22點(diǎn)用戶與中心服務(wù)器之間的連接每臺(tái)服務(wù)器單獨(dú)配置獨(dú)立的防火墻配置虛擬網(wǎng)絡(luò)防火墻根據(jù)實(shí)施方式的不同分類：

核心交換機(jī)防火墻模塊當(dāng)前第10頁\共有49頁\編于星期四\22點(diǎn)12.2.2入侵檢測系統(tǒng)設(shè)計(jì)IDS位置IDS與防火墻聯(lián)動(dòng)當(dāng)前第11頁\共有49頁\編于星期四\22點(diǎn)IDS位置IDS在交換式網(wǎng)絡(luò)中一般選擇如下位置：盡可能靠近攻擊源；盡可能靠近受保護(hù)資源。這些位置通常在如下位置：服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器之后的第一臺(tái)交換機(jī)上；重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。核心交換機(jī)IDS服務(wù)器當(dāng)前第12頁\共有49頁\編于星期四\22點(diǎn)IDS與防火墻聯(lián)動(dòng)核心交換機(jī)IDS服務(wù)器防火墻當(dāng)前第13頁\共有49頁\編于星期四\22點(diǎn)IDS與防火墻聯(lián)動(dòng)TCP重置的缺陷：只對TCP連接起作用。IDS向攻擊者和受害者發(fā)送TCPReset命令，IDS必須在40億字節(jié)的范圍內(nèi)猜測到達(dá)受害者時(shí)的序列號(hào)數(shù)，以關(guān)閉連接。這種方法在實(shí)際上是不可實(shí)現(xiàn)的。即使IDS最終猜測到了到達(dá)受害者的序列號(hào)，關(guān)閉了連接，攻擊實(shí)際上已經(jīng)對受害者產(chǎn)生了作用。當(dāng)前第14頁\共有49頁\編于星期四\22點(diǎn)IDS與防火墻聯(lián)動(dòng)IDS與防火墻聯(lián)動(dòng)的缺點(diǎn)：使用和設(shè)置上復(fù)雜，影響FW的穩(wěn)定性與性能。阻斷來自源地址的流量，不能阻斷連接或單個(gè)數(shù)據(jù)包。黑客盜用合法地址發(fā)起攻擊，造成防火墻拒絕來自該地址的合法訪問?？煽啃圆?，實(shí)際環(huán)境中沒有實(shí)用價(jià)值。當(dāng)前第15頁\共有49頁\編于星期四\22點(diǎn)12.2.3入侵防御系統(tǒng)設(shè)計(jì)路由防護(hù)交換防護(hù)多鏈路防護(hù)混合防護(hù)當(dāng)前第16頁\共有49頁\編于星期四\22點(diǎn)路由防護(hù)當(dāng)前第17頁\共有49頁\編于星期四\22點(diǎn)交換防護(hù)當(dāng)前第18頁\共有49頁\編于星期四\22點(diǎn)多鏈路防護(hù)當(dāng)前第19頁\共有49頁\編于星期四\22點(diǎn)混合防護(hù)當(dāng)前第20頁\共有49頁\編于星期四\22點(diǎn)12.2.4綜合安全設(shè)計(jì)當(dāng)前第21頁\共有49頁\編于星期四\22點(diǎn)知識(shí)鏈接網(wǎng)絡(luò)防火墻——CiscoPIX和ASAIDS與IPS比較部署位置不同。檢測方式不同。處理攻擊的方式不同。當(dāng)前第22頁\共有49頁\編于星期四\22點(diǎn)12.3配置安全設(shè)備12.3.1CiscoASA連接策略12.3.2CiscoASDM初始化12.3.3網(wǎng)絡(luò)設(shè)備集成化管理12.3.4安全策略設(shè)置12.3.5配置DMZ12.3.6管理安全設(shè)備當(dāng)前第23頁\共有49頁\編于星期四\22點(diǎn)12.3.1CiscoASA連接策略安全I(xiàn)nternet連接：

CiscoASA私有網(wǎng)絡(luò)路由器Internet當(dāng)前第24頁\共有49頁\編于星期四\22點(diǎn)12.3.1CiscoASA連接策略虛擬網(wǎng)絡(luò)防火墻：

當(dāng)前第25頁\共有49頁\編于星期四\22點(diǎn)12.3.1CiscoASA連接策略發(fā)布網(wǎng)絡(luò)服務(wù)器：

當(dāng)前第26頁\共有49頁\編于星期四\22點(diǎn)12.3.1CiscoASA連接策略VPN遠(yuǎn)程安全訪問：

當(dāng)前第27頁\共有49頁\編于星期四\22點(diǎn)12.3.1CiscoASA連接策略站點(diǎn)VPN：

當(dāng)前第28頁\共有49頁\編于星期四\22點(diǎn)12.3.1CiscoASA連接策略CiscoASA典型應(yīng)用：

當(dāng)前第29頁\共有49頁\編于星期四\22點(diǎn)12.3.2CiscoASDM初始化安裝前的準(zhǔn)備 第1步，獲得一個(gè)DES許可證或3DES-AES許可證。 第2步，在Web瀏覽器啟用JavaandJavascript。 第3步，搜集下列信息： 在網(wǎng)絡(luò)中能夠識(shí)別自適應(yīng)安全設(shè)備的主機(jī)名。 外部接口、內(nèi)部接口和其他接口的IP地址信息。 用于NAT或PAT配置的IP地址信息。 DHCP服務(wù)器的IP地址范圍。使用StartupWizard當(dāng)前第30頁\共有49頁\編于星期四\22點(diǎn)12.3.3網(wǎng)絡(luò)設(shè)備集成化管理對于CiscoAIP-SSM的全面管理服務(wù)虛擬化安全服務(wù)的世界級(jí)管理當(dāng)前第31頁\共有49頁\編于星期四\22點(diǎn)12.3.4安全策略設(shè)置在安全策略設(shè)置上，通常包括以下幾種設(shè)置：

內(nèi)到外全部允許，外到內(nèi)全部拒絕。內(nèi)到外和外到內(nèi)都要做ACL控制、映射、NAT。設(shè)置IPSec、L2TP、SSLVPN。當(dāng)前第32頁\共有49頁\編于星期四\22點(diǎn)12.3.5配置DMZ運(yùn)行ASDM為NAT創(chuàng)建IP地址池為外部端口指定IP地址池配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器配置內(nèi)部客戶端訪問Internet為Web服務(wù)器配置外部ID允許Internet用戶訪問DMZ的Web服務(wù)當(dāng)前第33頁\共有49頁\編于星期四\22點(diǎn)12.3.5配置DMZWeb服務(wù)器連接至安全設(shè)備的DMZ接口。HTTP客戶端位于私有網(wǎng)絡(luò)，可以訪問位于DMZ中的Web服務(wù)器，并且可以訪問Internet中的設(shè)備。Internet中的HTTP客戶端允許訪問DMZ區(qū)的Web服務(wù)器，除此之外的其他所有的通信都被禁止。網(wǎng)絡(luò)有2個(gè)可路由的IP地址可以被公開訪問：安全設(shè)備外部端口的IP地址為25，DMZ中Web服務(wù)器的公開IP地址為26。當(dāng)前第34頁\共有49頁\編于星期四\22點(diǎn)運(yùn)行ASDM當(dāng)前第35頁\共有49頁\編于星期四\22點(diǎn)運(yùn)行ASDM當(dāng)前第36頁\共有49頁\編于星期四\22點(diǎn)為NAT創(chuàng)建IP地址池當(dāng)前第37頁\共有49頁\編于星期四\22點(diǎn)為外部端口指定IP地址池當(dāng)前第38頁\共有49頁\編于星期四\22點(diǎn)配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器當(dāng)前第39頁\共有49頁\編于星期四\22點(diǎn)配置內(nèi)部客戶端訪問Internet 借助NAT規(guī)則，可以實(shí)現(xiàn)內(nèi)部客戶端對DMZ區(qū)中Web服務(wù)器的訪問。當(dāng)然，借助NAT規(guī)則也應(yīng)當(dāng)能夠?qū)崿F(xiàn)內(nèi)部客戶端對Internet的訪問。不過，管理員無需再創(chuàng)建任何規(guī)則，因?yàn)镮P地址池包括了2種需要轉(zhuǎn)換的地址，即DMZ接口使用的IP地址，和外部接口使用的IP地址。當(dāng)前第40頁\共有49頁\編于星期四\22點(diǎn)為Web服務(wù)器配置外部ID當(dāng)前第41頁\共有49頁\編于星期四\22點(diǎn)允許Internet用戶訪問DMZ的Web服務(wù)當(dāng)前第42頁\共有49頁\編于星期四\22點(diǎn)12.3.6管理安全設(shè)備監(jiān)視安全設(shè)備運(yùn)行狀態(tài)查看和分析網(wǎng)絡(luò)流量查看和分析系統(tǒng)日志安全監(jiān)控工具當(dāng)前第43頁\共有49頁\編于星期四\22點(diǎn)監(jiān)視安全設(shè)備運(yùn)行狀態(tài)當(dāng)前第44頁\共有49頁\編于星期四\22點(diǎn)查看和分析網(wǎng)絡(luò)流量當(dāng)前第45頁\共有49頁\編于星期四\22點(diǎn)查看和分析系統(tǒng)日志當(dāng)前第46頁\共有49頁\編于星期四\22點(diǎn)安全監(jiān)控工具監(jiān)控工具系統(tǒng)圖連接圖攻擊保護(hù)系統(tǒng)圖接口圖VPN統(tǒng)計(jì)和連接圖當(dāng)前第47頁\共有49頁\編于星期四\22點(diǎn)習(xí)題1.企業(yè)網(wǎng)絡(luò)中常用的安全設(shè)備有哪些？主要應(yīng)用在網(wǎng)絡(luò)中的哪些位置？2.簡述IPS的主要功能。3.簡述CiscoASA些列產(chǎn)品有的功能特點(diǎn)。4.什么是DMZ，如何通過CiscoASA防火墻配置DMZ？當(dāng)前第48頁\共有49頁\編于星期四\22點(diǎn)實(shí)驗(yàn)：設(shè)計(jì)安全企業(yè)網(wǎng)絡(luò)實(shí)驗(yàn)?zāi)康?掌握常用安全網(wǎng)絡(luò)設(shè)備的部署與應(yīng)用。