设备管理_安全设备规划与配置培训课件

第12章安全设备规划与配置 主讲人刘晓辉 本章内容 安全设备规划与配置 网络安全设计 配置安全设备 12 1安全设备规划与配置 13 1 1案例情景13 1 2项目需求13 1 3解决方案 网关安全 网络防火墙局部安全 IDS全网安全防护 IPS 12 2网络安全设计 12 2 1网络防火墙设计12 2 2入侵检测系统设计12 2 3入侵防御系统设计12 2 4综合安全设计 12 2 1网络防火墙设计 内部网络与Internet的连接之间连接局域网和广域网内部网络不同部门之间的连接用户与中心服务器之间的连接 内部网络与Internet的连接之间 连接局域网和广域网 存在边界路由器网络连接 连接局域网和广域网 无边界路由器的网络连接 DMZ区 内部网络 外部网络 内部网络不同部门之间的连接 用户与中心服务器之间的连接 每台服务器单独配置独立的防火墙配置虚拟网络防火墙 根据实施方式的不同分类 核心交换机防火墙模块 12 2 2入侵检测系统设计 IDS位置IDS与防火墙联动 IDS位置 IDS在交换式网络中一般选择如下位置 尽可能靠近攻击源 尽可能靠近受保护资源 这些位置通常在如下位置 服务器区域的交换机上 Internet接入路由器之后的第一台交换机上 重点保护网段的局域网交换机上 IDS与防火墙联动 IDS与防火墙联动 TCP重置的缺陷 只对TCP连接起作用 IDS向攻击者和受害者发送TCPReset命令 IDS必须在40亿字节的范围内猜测到达受害者时的序列号数 以关闭连接 这种方法在实际上是不可实现的 即使IDS最终猜测到了到达受害者的序列号 关闭了连接 攻击实际上已经对受害者产生了作用 IDS与防火墙联动 IDS与防火墙联动的缺点 使用和设置上复杂 影响FW的稳定性与性能 阻断来自源地址的流量 不能阻断连接或单个数据包 黑客盗用合法地址发起攻击 造成防火墙拒绝来自该地址的合法访问 可靠性差 实际环境中没有实用价值 12 2 3入侵防御系统设计 路由防护交换防护多链路防护混合防护 路由防护 交换防护 多链路防护 混合防护 12 2 4综合安全设计 知识链接 网络防火墙 CiscoPIX和ASAIDS与IPS比较 部署位置不同 检测方式不同 处理攻击的方式不同 12 3配置安全设备 12 3 1CiscoASA连接策略12 3 2CiscoASDM初始化12 3 3网络设备集成化管理12 3 4安全策略设置12 3 5配置DMZ12 3 6管理安全设备 12 3 1CiscoASA连接策略 安全Internet连接 CiscoASA 私有网络 路由器 Internet 12 3 1CiscoASA连接策略 虚拟网络防火墙 12 3 1CiscoASA连接策略 发布网络服务器 12 3 1CiscoASA连接策略 VPN远程安全访问 12 3 1CiscoASA连接策略 站点VPN 12 3 1CiscoASA连接策略 CiscoASA典型应用 12 3 2CiscoASDM初始化 安装前的准备第1步 获得一个DES许可证或3DES AES许可证 第2步 在Web浏览器启用JavaandJavascript 第3步 搜集下列信息 在网络中能够识别自适应安全设备的主机名 外部接口 内部接口和其他接口的IP地址信息 用于NAT或PAT配置的IP地址信息 DHCP服务器的IP地址范围 使用StartupWizard 12 3 3网络设备集成化管理 对于CiscoAIP SSM的全面管理服务虚拟化安全服务的世界级管理 12 3 4安全策略设置 在安全策略设置上 通常包括以下几种设置 内到外全部允许 外到内全部拒绝 内到外和外到内都要做ACL控制 映射 NAT 设置IPSec L2TP SSLVPN 12 3 5配置DMZ 运行ASDM为NAT创建IP地址池为外部端口指定IP地址池配置内部客户端访问DMZ区的Web服务器配置内部客户端访问Internet为Web服务器配置外部ID允许Internet用户访问DMZ的Web服务 12 3 5配置DMZ Web服务器连接至安全设备的DMZ接口 HTTP客户端位于私有网络 可以访问位于DMZ中的Web服务器 并且可以访问Internet中的设备 Internet中的HTTP客户端允许访问DMZ区的Web服务器 除此之外的其他所有的通信都被禁止 网络有2个可路由的IP地址可以被公开访问 安全设备外部端口的IP地址为209 165 200 225 DMZ中Web服务器的公开IP地址为209 165 200 226 运行ASDM 运行ASDM 为NAT创建IP地址池 为外部端口指定IP地址池 配置内部客户端访问DMZ区的Web服务器 配置内部客户端访问Internet 借助NAT规则 可以实现内部客户端对DMZ区中Web服务器的访问 当然 借助NAT规则也应当能够实现内部客户端对Internet的访问 不过 管理员无需再创建任何规则 因为IP地址池包括了2种需要转换的地址 即DMZ接口使用的IP地址 和外部接口使用的IP地址 为Web服务器配置外部ID 允许Internet用户访问DMZ的Web服务 12 3 6管理安全设备 监视安全设备运行状态查看和分析网络流量查看和分析系统日志安全监控工具 监视安全设备运行状态 查看和分析网络流量 查看和分析系统日志 安全监控工具 监控工具系统图连接图攻击保护系统图接口图VPN统计和连接图 习题 1 企业网络中常用的安全设备有哪些 主要应用在网络中的哪些位置 2 简述IPS的主要功能 3 简述CiscoASA些列产品有的功能特点 4 什么是DMZ 如何通过CiscoASA防火墙配置DMZ 实验 设计安全企业网络 实验目的掌握常用安全网络设备的部署与应用 实验内容设计一个简单的企业网络 分别将网络防火墙 IPS