联想网御UTM技术培训.ppt

1,联想网御utm技术培训,2,目录,三、入侵防护功能调试,四、病毒防护功能调试,五、反垃圾邮件功能调试,一、utm原理技术介绍,二、utm管理界面介绍,3,一、utm原理技术介绍,用户网络中的常见问题,传统的网络安全架构,antispam 减少不需要的邮件 web filters 减少与工作无关的浏览网站 vpn 实现远程安全访问,firewall 防御入侵 antivirus 防御病毒感染 ips 防御恶意攻击,vpn,ips,users,servers,firewall,antivirus,antispam,url filters,传统的网络安全架构,传统架构的劣势 需要用户熟悉不相关联的多重安全产品 提高了网络的复杂性和操作成本 网络延时较大,传统架构的优势 全面的安全 对个人攻击能够迅速 地反应,vpn,ips,users,servers,firewall,antivirus,antispam,url filters,传统的网络安全架构的瓶颈,采用新的网络安全架构 集中威胁管理系统 (utm) 的好处：,降低复杂度 集成 厂商和产品的选择 支持和管理 真正的“安全”保护 灵活性 可扩展性，真正基于客户的需求设计！ 进一步降低成本tco,utm统一威胁管理系统的形成,utm统一威胁管理系统的形成,8,2004年9月，idc首度提出“统一威胁管理”的概念，即将防病毒、入侵检测/防护和防火墙安全设备划归统一威胁管理(unified threat management，简称utm)新类别。 idc将防病毒、防火墙和入侵检测/防护等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。 由idc提出的utm是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。,utm统一威胁管理的演进过程,由于utm拥有以上强大功能，所以utm的演进过程由众多厂家组成，最后在utm这个产品上终极统一,9,2019/2/10,page10,leadsec-utm,状态检测防火墙 ipsec vpn 网关防病毒 入侵检测防护 绿色上网 反垃圾邮件,utm安全网关技术优势,2019/2/10,page11,100%为防火墙功能处理性能,0%,10%,20%,30%,40%,50%,60%,70%,80%,90%,100%,fw,fw+ips,fw+ips+av,联想网御utm产品性能,国内utm厂商a,国内utm厂商b,采用use+优化匹配技术，突破了传统utm产品性能瓶颈，推荐用户使用联想网御utm产品时，开启全部功能模块。,utm安全网关技术优势,dna 特征匹配引擎,协议负载分析模块,快速转发模块,特征优化匹配引擎,协议异常检测引擎,策略动作执行模块,一次拆包 并行检测 关联策略,全功能下的 高性能 低延迟,特征dna提取模块,utm安全网关技术优势,2019/2/10,page13,自主研发的防病毒引擎，获得网络防病毒技术专利，结合了特征值检测和启发式检测，实时防御多种形式的病毒 。 病毒响应服务速度快：承诺5个工作日对提交的样本实现病毒特征值提取。,av 特点,utm安全网关技术优势,utm安全网关技术优势,限流,完全阻断,基于时间阻断,im、p2p、流媒体、炒股软件等应用,utm安全网关技术优势,utm安全网关技术优势,一键配置 一键式网关策略配置和分级保护快捷切换法为联想网御专利技术，管理人员可以通过设备机箱上的外置按钮快速切换网关的安全保护等级。,16,可靠的硬件bypass 联想网御utm安全网关的硬件bypass功能使得设备即使在 断电的情况下也可以让网络保持连通，极大的提高了设备的 可用性。,2019/2/10,page17,通过快速配置模块，实现多级别的安全防护 通过联想网御安全管理系统 ，实现多层的管理,utm安全网关技术优势,2019/2/10,page18,统一的集中管理 简单的监控面板 直观的统计报表,utm安全网关技术优势,2019/2/10,page19,六合一的网络边界综合防护,自有引擎、国产特征库、检测率高,精确高效的入侵防护,专业高效的上网行为管理,独创的一键式配置和分级保护,全功能打开时仍具备高性能,leadsec-utm 特点,价值,构造立体防护 防护与性能并重 降低用户成本,产品优势,20,二、utm管理界面介绍,串口命令行管理方式：,管理方式介绍-串口管理,21,串口命令行管理方式：,22,管理方式介绍-串口管理,串口命令行管理方式：,23,管理方式介绍-串口管理,24,推荐使用证书方式管理utm安全网关！,web页面管理的必要条件（二选一）：,a. 证书认证 需要导入ie证书，之后即可通过ie浏览器管理utm安全网关。 b. 电子钥匙认证 需要安装电子钥匙驱动程序和utm登录认证程序。,管理方式介绍-web管理,当ie证书均导入成功后，我们在管理主机打开ie浏览器 并输入54:8889，出现选择证书提示 后点击“确定”。,25,管理方式介绍-web管理,证书认证：,出现安全警报后点击“是（y)”就会出现utm安全网关的登录页面,*注：xp系统请确认ie浏览器中internet选项-隐私选项-中的阻止弹出窗口 选取去掉：如下图,26,登录utm安全网关,utm用户名密码为: administrator/ administrator,27,登录utm安全网关,utm安全网关界面是基于b/s模式。大致可分为以下几 个模块： 快速配置 系统配置 网络配置 入侵防护 病毒防护 深度防护 状态监控 报表 帮助,28,utm安全网关管理界面,29,仪表盘,utm安全网关仪表盘,30,流量统计图,utm安全网关仪表盘,最新 事件,31,utm安全网关仪表盘,日期 时间,32,utm如需要和管理主机时间同步，点击“时间同步”,utm安全网关系统配置,系统 参数,33,如要修改utm的名称，请点击“编辑”,更改完名称后点击确定,更改utm的名称,utm安全网关系统配置,资源 占用,34,要启动资源监控服务 点击启动按钮,监控服务图标状态变为启动后，我们就可以查看cpu、内存的统计图了,utm安全网关状态监控,资源 占用,35,要查看cpu的使用情况， 点击“统计图”,我们可以选择下拉菜单更改页面刷新的时间,utm安全网关状态监控,资源 占用,36,要查看内存的使用情况， 点击“统计图”,我们可以选择下拉菜单更改页面刷新的时间,utm安全网关状态监控,资源 占用- 网络 设备,37,要启动设备监控服务 点击启动按钮,监控服务图标状态变为 启动后，我们就可以查 看网口的使用情况了,utm安全网关状态监控,38,资源 占用- 网络 设备,要查看fe4网口的统计图，点击“统计图”按钮,我们可以选择下拉菜单更改页面刷新的时间,utm安全网关状态监控,网络 测试,39,在这里输入我们要测试连通性的ip地址,点击：“开始调试”,utm安全网关状态监控,40,三、utm入侵防护功能配置方法,一、创建一个入侵防护模版,41,需要注意的是，这几个模版都是系统自带的模版，无法对其进行编辑,首先，可点击查看策略信息预览模版配置,入侵防护功能配置方法,一、创建一个入侵防护模版,42,如果自带的模版中没有满足用户需求的模版，则需要自定义一个，点击添加按钮,至此，一个名为test的模版就建立好了,入侵防护功能配置方法,43,编辑好深度过滤策略后，我们需要在深度防护规则中引用使其生效,二、添加一条深度防护策略,入侵防护功能配置方法,44,至此，一条ips策略就建立好了，在实际使用中，我们可以根据用户的具体需求，定制多样化的策略,三、在深度防护规则中引用,入侵防护功能配置方法,45,四、一个简单的入侵防护测试方法,策略建立好后，我们可以使用如下方法进行简单测试 1）搭建http服务器或使用公网上的web服务器，客户端可过墙访问服务器。 2）在命令行下输入“telnet 服务器ip 80”命令访问服务器。 3）使用命令“get /cgicso”可以查看到攻击被拦截及日志。,入侵防护功能配置方法,46,五、入侵防护引擎全局设置,在全局设置中，只需勾选所需的抗攻击选项并点击确定，即可使抗攻击选项生效,入侵防护功能配置方法,47,五、入侵防护引擎自定义特征,在自定义特征中，点击添加按钮添加一个自定义特征,根据实际需求定义一个入侵防护特征,自定义特征可在入侵防护的特征检测设置中查看，其中的userdefine中即为刚才设置好的特征，同时，这里也可编辑对自定义特征采取的动作,配置、修改配置及删除配置后都要点击“应用”选项才可以正常的使用该自定义特征，否则，新的特征不会被启用。,入侵防护功能配置方法,48,1）使用syn flood攻击utm的网口，异常攻击检测无法起作用，此时会造成utm的状态表被占满，导致无法管理utm等多种问题，所以应尽量避免该测试环境。 2）关于异常检测的设定阀值说明： syn flood异常检测参数值的具体含义如下：个位数为保留数字，0-9分别代表抗攻击强度，从弱到强。设置数字的位数如果超过两位，则该数字减去个位的数字表示限制每秒通过的能够真正建立tcp连接的带有syn标志数据包的个数，此个数是真正可以建立tcp连接的数目。如果设置为0，表示每秒通过的带有syn标志的数据包大于90，才进行能否真正建立tcp连接；如果设置为1，表示每秒通过的带有syn标志的数据包大于80，才进行能否真正建立tcp连接；如果设置为9，表示通过的带有syn标志的数据包都经过了入侵防护系统的判断，确认是可以建立真正tcp连接的数据包。 udp flood异常检测参数值的含义是限制每秒通过的udp数据包的个数。 icmp flood异常检测参数值的含义是限制每秒通过的icmp数据包的个数。,六、入侵防护配置上的一些说明,入侵防护功能配置方法,49,四、病毒防护功能配制方法,50,类似于 ips，防病毒中的系统自带模版也是无法编辑的，我们这里新建一条。点击添加按钮,同样，点击编辑可按照实际需求对模版进行编辑,至此，一条防病毒策略就建立好了，防病毒这里的配置不多，主要就是选择需要开启防病毒功能的协议。,一、创建一个病毒防护模版,病毒防护功能配置方法,二、添加一条深度防护策略,51,与ips的添加方法基本一致，这里我们就不赘述了,病毒防护功能配置方法,52,三、在深度防护规则中引用,添加好防病毒深度过滤策略后，在深度防护规则处引用使其生效,至此，一条av策略就建立好了,病毒防护功能配置方法,53,这里仅为查看utm中的病毒库,三、病毒防护引擎基本病毒列表,病毒防护功能配置方法,54,三、病毒防护引擎自定义病毒特征,点击添加，添加一个自定义病毒特征,自定义病毒特征，其特征码分析复杂，一般应用中此功能用处很少,病毒防护功能配置方法,55,三、病毒防护引擎病毒检测服务端口设置,病毒检测服务端口设置，可改变检测的协议端口,病毒防护功能配置方法,56,目前utm只支持http、ftp、pop3、smtp及imap五种协议。默认情况下只支持标准端口的检测，可通过修改“病毒防护引擎病毒检测服务端口设置”中的默认值来实现对非标准端口的检测，需注意的是ftp协议最多支持一个端口的检测，而其余协议可实现最多5个端口的检测。,四、病毒服务检测端口配置说明,病毒防护功能配置方法,57,五、反