网络管理与维护-第五版 课件 项目6 网络安全管理与维护

网络管理与维护课程导学-目录网络管理与维护项目教程3项目342项目2项目465项目5项目11项目6网络管理与维护基础传输链路管理与维护网络管理协议及实训环境搭建交换机管理与维护路由器管理与维护网络安全管理与维护项目6网络安全管理与维护6.1项目背景2017年6月1日起施行的《中华人民共和国网络安全法》明确规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。网络安全问题已经成为网络运营者必须要首先考虑的问题,针对诸多安全问题最为常用的安全防护设备就是防火墙,特别是下一代防火墙概念的提出、发展和推广应用,已经为各行各业筑起了坚固的安全堡垒,如何正确部署、使用、管理防火墙是新时期面对安全挑战中网络安全运维人员必备的技能之一。项目6网络安全管理与维护6.2项目知识准备6.2.1防火墙的分类1.包过滤防火墙如图6-1所示,包过滤防火墙按照报文的五元组(源IP地址、目的IP地址、协议号、源端口、目的端口)对每个需要转发的数据包进行逐一的安全检查。管理员通过预先在包过滤防火墙上地址号安全规则,待转发的报文依次匹配安全规则,根据匹配结果决定转发或者丢弃报文。图6-1包过滤防火墙匹配五元组项目6网络安全管理与维护6.2项目知识准备6.2.1防火墙的分类2.应用代理防火墙应用代理防火墙采用代理技术阻断内部网络与外部网络的直接连接,其基本安全规则不允许外部主机直接连接内部安全网络,只允许内部主机利用防火墙应用代理功能访问Internet服务,并且只有在防火墙应用代理中被配置为安全的应用服务才能通过防火墙。应用代理防火墙的缺点如下:(1)应用代理配置困难。由于内网用户每启用一种新的应用就需要单独在防火墙上配置相应的代理进程,这就要求网络管理人员能理解每项应用协议的原理、结构和安全弱点,并能合理配置安全策略,由于配置烦琐,难以理解,容易出现配置失误,最终影响内网部网络的安全防范能力。

(2)业务响应时间长。应用交互过程中内外网不直接建立网络连接,理论上可以使应用代理防火墙具有极高的安全性,但是实际应用中并不可行,因为对于内网的每个Web访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web服务噐、数据库服务器、文件服务器、邮件服务器及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求,因此导致应用代理的处理延迟会很大,用户访问不能及时得到响应。项目6网络安全管理与维护6.2项目知识准备6.2.1防火墙的分类3.状态检测防火墙状态检测防火墙不像包过滤防火墙进行逐个数据包的安全检测,而是以数据流为安全检查对象进行安全检查和转发。状态检测防火墙工作原理大致分为两个阶段,第一个阶段对数据流的首包进行包过滤安全检测,第二个阶段在首包检测基础上创建数据流会话表(也称为状态表),后续的数据流报文根据会话表进行转发,不再进行数据包检测。因此,状态检测防火墙安全检测效率和数据转发效率都要比包过滤防火墙有较大提升。如图6-2所示,PC源地址访问服务器,防火墙通过首包检测将IP报文中的五元组(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)记录下来,对匹配安全规则并允许通过的报文建立会话表,对后续报文不再进行包过滤检测,而依照会话表进行转发。图6-2状态检测防火墙会话建立项目6网络安全管理与维护6.2项目知识准备6.2.1防火墙的分类4.UTM防火墙UTM(UnifiedThreatManagement)是统一威胁管理的简称,UTM防火墙将网络入侵检测与防御功能、防病毒功能和VPN功能等与传统防火墙结合在一起,旨在构建一个一体化安全平台。UTM防火墙不仅能对三层网络数据包的头部进行安全规则的匹配过滤,而且还能够通过入侵检测和防御等技术对数据包内容进行安全检测,并且对匹配病毒库或规则库的数据包予以阻止和丢弃,能够阻止网络病毒的传播和蠕虫等威胁。但是UTM防火墙也有其不足之处,由于UTM防火墙把各种安全功能相对简单地结合在一起,在开启所有安全功能后,防火墙的处理性能会大大降低。同时也因为过度将安全功能集成,如果不增加额外投资,当UTM故障时网络边界整体安全防护将散失。UTM防火墙如图6-3所示。图6-3UTM防火墙项目6网络安全管理与维护6.2项目知识准备6.2.1防火墙的分类5.NGFW防火墙NGFW防火墙在功能上与UTM防火墙有异曲同工之妙,也将传统防火墙、IPS/IDS、DPI、AV、上网行为管理等功能集成于一体,但也针对UTM的不足做了改进和优化。UTM防火墙采用各个安全检测功能串行部署的方式,数据检测转发的效率较低,而NGFW防火墙采用并行部署,在安全引擎解码与识别后,并行发送至各个安全模块,各个安全模块配合采用ASIC加速检测,使得NGFW防火墙检测与转发效率得到提升。当前NGFW防火墙结合虚拟化与云技术向更加稳定可靠、更加高效、更加智能方向发展。Gartner认为,NGFW防火墙必须具备以下能力:(1)传统防火墙的功能。(2)IPS与防火墙的深度集成。(3)应用感知与全栈可视化。(4)利用防火墙以外的信息,增强管控能力。项目6网络安全管理与维护6.2项目知识准备6.2.1防火墙的分类华为的USG6000是目前中高档下一代防火墙的典型代表,源于其全面的安全特性和稳定出色的性能,被应用到各个业务场景。如图6-4所示为大中型企业边界防护场景。企业人员众多,业务复杂,流量构成丰富多样。对外提供网络服务,例如公司网站、邮件服务等。容易成为DDoS攻击的目标,而且一旦攻击成功,业务损失巨大。对设备可靠性要求较高,需要边界设备支持持续大流量运行,即使发生设备故障也不能影响网络运转。图6-4大中型企业边界防护场景项目6网络安全管理与维护6.2项目知识准备6.2.1防火墙的分类如图6-5所示为数据中心边界防护场景。数据中心(InternetDataCenter,IDC)是基于Internet网络提供的一整套设施与相关维护服务体系。它可以实现数据的集中式收集、存储、处理和发送。通常由大型网络服务器提供商建设,为中小型企业或个人客户提供服务器托管、虚拟域名空间等服务。图6-5数据中心边界防护场景项目6网络安全管理与维护6.2项目知识准备6.2.1防火墙的分类如图6-6所示为云计算网关场景。在这个场景中,USG6000担任的是云计算网关的角色。通过虚拟系统功能,可以将一台物理设备划分为多台相互独立的逻辑设备。每台逻辑设备都可以拥有自己的接口、系统资源以及配置文件,可以独立进行流量的转发和安全防护,所以被称为虚拟系统。虚拟系统从逻辑上相互隔离,所以从每一个云终端来看都拥有一个独享的防火墙设备。同时由于这些虚拟系统共用同一个物理实体,所以当需要虚拟系统之间进行流量转发时,转发效率非常高。所以USG6000在此场景中主要负责进行虚拟服务器之间的数据快速交换,以及在云终端接入云服务器的通信过程中进行网络安全的防护,为云计算方案提供增值的安全业务。图6-6云计算网关场景项目6网络安全管理与维护6.2项目知识准备6.2.2防火墙NAT管理与维护网络地址转换(NetworkAddressTranslation,NAT)对于每位网络管理员来说都不陌生,它是为了解决IPv4地址匮乏问题提出的一种技术措施,大量的内部IPv4私有地址通过重用少量的公网IPv4地址就能访问互联网资源。虽然目前IPv6网络得到大力推广,但是由于目前大部分网络设备及应用仍然基于IPv4,在IPv4向IPv6过渡期间NAT仍将发挥其重要的作用。NAT大致可以分为如下几类:1.静态NAT2.动态NAT3.NAPT4.NATServer项目6网络安全管理与维护6.2项目知识准备6.2.2防火墙NAT管理与维护如图6-7所示,动态NAT应用中,当PC1访问外网服务器时,出方向,源地址为,目的地址这,NAT网关FW收到PC1的报文,检查报文源地址是否匹配NAT规则,满足则R1从NAT公网地址池中随机选择一个公网地址如,将报文源地址转换成,经过NAT网关转换后报文源地址为,目的地址为,同时NAT网关创建出方向的NAT地址转换表项。在入方向,Server相应的报文源地址为,目的地址为,NAT网关收到Server响应报文查询NAT地址转换表,目的地址其转换前地址为,于是将报文目的地址转换为,转换后响应报文源地址为,目的地址为,NAT网关创建入方向地址转换表项,在NAT地址转换表老化之前,PC1与Server之间的通信将使用已经创建的NAT转换表实现通信。图6-7动态NAT映射项目6网络安全管理与维护6.2项目知识准备6.2.2防火墙NAT管理与维护如图6-8所示,内网PC1和PC2两台主机同时访问外网服务器,在出方向,NAT网关FW将PC1的源地址和源端口由:2000转换成了:20000,将PC2的源地址和源端口由:3000转换成了:30000,NAT网关同时为两台主机创建出方向的NAT转换表项。在入方向,NAT网关收到Server响应两台PC的报文并查询已有的NAT转换表项,将转发给PC1的响应报文目的IP地址和端口号由:20000转换为:2000,将转发给PC2的响应报文目的IP地址和端口号由:30000转换为:3000,同时为两台PC创建入方向的NAT转换表项,最终PC1和PC2复用同一个NAT公网地址池中的地址实现了同时访问Server的服务。NAPT技术可以用少量的公网地址支持内网大量主机并发大量的服务请求,大大减少了IPv4公网地址的使用。在IPv4过渡到IPv6的过程中,NAPT技术预计还将持续运用一段时间。图6-8NAPT映射项目6网络安全管理与维护6.2项目知识准备6.2.2防火墙NAT管理与维护日常维护中常常需要将某些服务对外网用户开放,如学校主页的WWW服务,这时需要采用NATServer技术。NATServer将内网中的服务器的私网IP地址和服务端口采用静态的方式映射到固定的公网地址和端口,如图6-9所示。内网WWW服务器内网私网地址和端口为:80,通过NATServer映射成:8080,外网用户主机PC1对2.2.2.1:8080发起http访问实际就是对:80发起访问,内部WWW服务器收到请求并作出应答,同时NATServer会在NAT网关上创建NAT出入方向的转换表项和会话表。图6-9NATServer示意图项目6网络安全管理与维护6.2项目知识准备6.2.2防火墙NAT管理与维护下面对NAT常用的应用场景和推荐使用的NAT技术做简要说明。1.内部主机访问互联网如图6-10所示为内部主机访问互联网,管理员需要在出口设备部署动态NAT或NAPT,建议采用NAPT技术,在小型网络可直接应用地址简单形式的NAPT,即EasyIP技术,直接使内部私有IP地址全部重用出口设备连接外部网络接口的IP地址。图6-10内部主机访问互联网项目6网络安全管理与维护6.2项目知识准备6.2.2防火墙NAT管理与维护2.互联网用户访问内部服务如图6-11所示为互联网用户访问内部服务,网络管理员需要利用NATServer技术在出口设备上手动配置内部Server私有IP地址+服务端口与公网IP+端口的映射关系。由于NAT只能转换报文头部的IP地址和端口,对于FTP,DNS,PPTP等荷载或信令中包含的IP地址或端口信息无法直接转换,通常还需要配合应用层网关(ApplicationLevelGateway,NATALG)技术共同部署。图6-10内部主机访问互联网项目6网络安全管理与维护6.2项目知识准备6.2.2防火墙NAT管理与维护如图6-11所示为互联网用户访问内部服务,网络管理员需要利用NATServer技术在出口设备上手动配置内部Server私有IP地址+服务端口与公网IP+端口的映射关系。由于NAT只能转换报文头部的IP地址和端口,对于FTP,DNS,PPTP等荷载或信令中包含的IP地址或端口信息无法直接转换,通常还需要配合应用层网关(ApplicationLevelGateway,NATALG)技术共同部署。图6-11互联网用户访问内部服务项目6网络安全管理与维护6.2项目知识准备6.2.2防火墙NAT管理与维护3.多出口对外提供服务如图6-12所示,各个出口配置相应NAPT,通过策略路由将指定用户流量重定向到相应的运营商出口,利用NAPT完成出口用户数据包地址转换;出口设备配置NATServer或静态NAT,配合NATALG等功能,实现内外网用户全部通过域名访问内部服务,屏蔽内部服务真实IP地址,提升服务安全性。图6-12多出口对外提供服务项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护为了防止信息泄露,企业网络之间通过租用ISP物理链路搭建一条物理专网连接,但其费用会非常昂贵。那么如何既安全又经济地利用互联网传输企业内部文件呢?虚拟专用网(VirtualPrivateNetwork,VPN),应运而生,VPN用于在公用网络上构建安全专用虚拟网络,并在此虚拟网络中传输私网流量。VPN把现有的物理网络分解成逻辑上隔离的网络,在不改变网络现状的情况下实现安全、可靠的连接。VPN具有以下两个基本特征:1.专用独享2.虚拟隔离项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护1.L2TPVPN

二层隧道协议(Layer2TunnelingProtocol,L2TP)允许用户通过不安全的互联网(Internet)建立分支与总部或个人与企业的点到点的L2TP隧道,运用该隧道承载点对点协议(Point-to-PointProtocol,PPP)数据帧,允许二层链路端点和PPP会话点驻留在不同设备上,将PPP会话点扩展到远端设备,这样使得分支或出差的个人用户利用PPP接入互联网后,能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源,从而为远端用户接入私有的企业网络提供了一种安全、经济且有效的方式。项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(1)L2TPVPN网络结构如图6-13所示,在L2TPVPN组网结构中一般包括三个主要部分:①LAC②LNS③用户或远端系统图6-13L2TPVPN网络结构项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(2)L2TPVPN典型应用场景①LAC接入PPPoE用户发起L2TP隧道连接如图6-14所示,通常分支机构的用户位于以太网络中,分支用户通过PPPoE(Point-to-PointProtocoloverEthernet)拨入LAC,触发LAC和LNS之间建立隧道。分支用户的拨号报文无法直接在以太网络中传输,需要使用PPPoE拨号软件部署为PPPoE客户端,而分支网关则作为PPPoE服务器和LAC,使分支用户的呼叫请求到达总部。接入用户(PC)通过PPPoE拨入LAC,由LAC通过Internet向LNS发起建立隧道连接请求。接入用户地址由LNS分配,对接入用户的认证可由LAC侧的代理完成,也可两侧都对接入用户做认证。当所有L2TP用户都下线时,隧道自动拆除以节省资源,直至再有用户接入时,重新建立隧道。图6-14LAC接入PPPoE用户发起L2TP隧道连接项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(2)L2TPVPN典型应用场景②多分支结构向同一LNS发起L2TP隧道连接如图6-15所示,企业内部多个分支由于业务需要频繁与企业总部不同的部门进行数据交互,为了区分不同分支的用户,将不同分支的用户划分到不同的认证域。当认证域的用户向LAC发起隧道连接时,LAC可以根据域名向对应的LNS设备或虚拟的LNS实例发起隧道请求。不同分支之间使用不同的L2TP隧道,获取不同网段的IP地址,分支用户发起到总部的连接时,因为源地址和目的地址都由总部分配,所以总部可以配置ACL实现对分支用户的访问权限的管理。图6-15多分支结构向同-LNS发起L2TP隧道连接项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(2)L2TPVPN典型应用场景③LAC自动拨号发起L2TP隧道连接如图6-16所示,分支机构员工频繁访问总部的情况下,建议在LAC与LNS之间建立一条永久性L2TP会话。用户通过配置触发建立LAC与LNS之间的永久性L2TP会话,LAC使用存储在本地的用户名和LNS建立一个永久存在的L2TP隧道,此时的L2TP隧道就相当于一个物理连接。用户与LAC之间的连接不受限于PPP连接,而只需IP连接,LAC即可将用户的IP报文转发到LNS。这种场景下分支机构员工感知不到隧道存在,不需要使用用户名接入,LAC为分支机构的多个用户提供L2TP服务,免去了每个用户使用L2TP都需要先拨号的麻烦。但是,LNS只对LAC进行认证,而不对接入的用户进行身份认证,为了提升用户访问的安全性和可控性,此时需在用户访问总部网的网络资源前对接入的用户进行补充认证。图6-16LAC自动拨号发起L2TP隧道连接项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(2)L2TPVPN典型应用场景④客户端自主发起L2TP隧道连接如图6-17所示,出差用户可以通过L2TP客户端直接向LNS发起隧道连接请求,在接入用户与LNS之间建立L2TP隧道,由LNS来完成接入用户地址的分配。其优点在于接入用户不受地域和终端等限制,出差员工使用PC、手机等移动设备接入总部服务器,实现移动办公。图6-17客户端自主发起L2TP隧道连接项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护2.IPSecVPNIPSec(InternetProtocolSecurity)VPN是指采用IPSec安全协议簇实现的一种VPN技术,IPSec本身是一组安全协议的集合,包括认证头(AuthenticationHeader,AH)和封装安全载荷协议(EncapsulatingSecurityPayload,ESP)、互联网密钥交换(InternetKeyExchange,IKE)协议以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(1)AH协议AH协议是一种基于IP的传输层协议,协议号为51。其工作原理是在每一个数据包的标准IP报头后面添加一个AH报文头,AH协议对数据包和认证密钥进行Hash计算,接收方收到带有计算结果的数据包后,执行同样的Hash计算并与原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验,AH协议的完整性验证范围为整个IP报文。AH协议报文头结构如图6-18所示。图6-18AH协议报文头结构项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护①下一头部，8比特，标识AH报文头后面的负载类型。传输模式下，是被保护的上层协议（TCP或UDP或ESP协议的编号；隧道模式下，是IP协议或ESP协议的编号。当AH与ESP协议同时使用时，AH报文头的下一头部为ESP报文头。②负载长度，8比特，单位是32比特，缺省为4。③SPI，32比特，IPSec安全参数索引，用于唯一标识IPSec安全联盟。④序列号，32比特是一个从1开始的单项递增的计数器，唯一地标识每一个数据包，用于防止重放攻击。⑤认证数据，一个变长字段，长度为32比特的整数倍，通常为96比特。该字段包含数据完整性校验值ICV（IntegrityCheckValue），用于接收方进行完整性校验。可选择的认证算法有MD5、SHA1、SHA2、SM3。MD5和SHA1验证算法存在安全隐患，建议优先使用SHA2或SM3算法。项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(2)ESP协议ESP协议是一种基于IP的传输层协议,协议号为50。其工作原理是在每一个数据包的标准IP报头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾(ESPTail和ESPAuthData),与AH协议不同的是,ESP协议将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP协议没有对IP报头的内容进行保护。ESP协议报文头结构如图6-19所示。图6-19ESP协议报文头结构项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护①SPI,32bit,IPSec安全参数索引,用于唯一标识IPSec安全联盟。②序列号,32bit,是一个从1开始的单项递增的计数器,唯一地标识每一个数据包,用于防止重放攻击。③荷载数据,包含由下一头部字段给出的变长数据。④填充字段,用于增加ESP报文头的位数。填充字段的长度与负载数据的长度和算法有关。当待加密报文的明文长度不是加密算法所要求的块长度时,需要进行填充补齐。⑤填充长度,8bit,给出前面填充字段的长度,置0时表示没有填充。⑥下一头部,8bit,标识ESP报文头后面的下一个负载类型。传输模式下,是被保护的上层协议(TCP或UDP)的编号;隧道模式下,是IP协议的编号。⑦认证数据,一个变长字段,长度为32bit的数倍,通常为96bit。该字段包含数据完整性校验值ICV,用于接收方进行完整性校验。可选择的认证算法与AH协议的相同。ESP协议的验证功能是可选的,如果启动了数据包验证,会在加密数据的尾部添加一个ICV数值。项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(3)安全联盟SA(SecurityAssociation)SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(SecurityParameterIndex)、目的IP地址和使用的安全协议号(AH或ESP)。SA是单向的逻辑连接,因此两个IPSec对等体之间的双向通信,最少需要建立两个SA来分别对两个方向的数据流进行安全保护。如图6-20所示,为了在对等体FWA和对等体FWB之间建立IPSec隧道,需要建立两个安全联盟,其中,SA1规定了从对等体FWA发送到对等体FWB的数据采取的保护方式,SA2规定了从对等体FWB发送到对等体FWA的数据采取的保护方式。图6-20IPSec安全联盟项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护有两种方式建立IPSec安全联盟:手工方式和IKE自动协商方式。二者的主要区别为:①密钥生成方式不同。手工方式下,建立SA所需的全部参数,包括加密、验证密钥,都需要用户手工配置,也只能手工刷新,在大中型网络中,这种方式的密钥管理成本很高;IKE自动协商方式下,建立SA需要的加密、验证密钥是通过DH算法生成的,可以动态刷新,因而密钥管理成本低,且安全性较高。②生存周期不同。手工方式建立的SA,一经建立永久存在;IKE自动协商方式建立的SA,其生存周期由双方配置的生存周期参数控制。因此,手工方式适用于对等体设备数量较少时,或是在小型网络中。对于大中型网络,推荐使用IKE自动协商方式建立SA。项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(4)IKE协议IKE协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(UserDatagramProtocol)的应用层协议。IKE协议具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPsecSA。IKE协商分为两个阶段:①阶段一:在网络上建立IKESA,为其他协议的协商(阶段二)提供保护和快速协商。通过协商创建一个通信信道,并对该信道进行认证,为双方进一步的IKE通信提供机密性、消息完整性以及消息源认证服务,是主模式;②阶段二:快速模式,在IKESA的保护下完成IPSec的协商。IKE协商过程中包含三对消息,第一对消息是SA交换,是协商确认有关安全策略的过程;第二对消息是密钥交换,交换Diffie-Hellman公共值和辅助数据(如随机数),加密物在这个阶段产生;最后一对消息是ID信息和验证数据交换,进行身份验证和对整个SA交换进行验证。项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(5)封装模式①传输模式在传输模式中,AH报文头或ESP报文头被插入到IP报文头与传输层协议头之间,保护TCP/UDP/ICMP负载。传输模式不改变报文头,故隧道的源地址和目的地址必须与IP报文头中的源地址和目的地址一致,所以只适合两台主机或一台主机和一台VPN网关之间通信。AH和ESP传输模式封装格式如图6-21和图6-22所示。图6-21AH传输模式封装图6-22ESP传输模式封装项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(5)封装模式②隧道模式在隧道模式下,AH报文头或ESP报文头被插到原始IP报文头之前,另外生成一个新的报文头放到AH报文头或ESP报文头之前,保护IP报文头和负载,如图6-23和图6-24所示。隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。图6-23AH隧道模式封装图6-24ESP隧道模式封装项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(6)IPSecVPN应用场景①点到点IPSecVPN如图6-25所示,点到点VPN也称为局域网到局域网VPN,网关到网关VPN,主要用于两个网关之间建立IPSec隧道,从而实现局域网之间的安全互访。点到点VPN两端网关必须提供固定的IP地址或固定的域名,通信双方都可以主动发起连接。图6-25点到点IPSecVPN项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(6)IPSecVPN应用场景②点到多点IPSecVPN如图6-26所示,总部的多个分支机构通过IPSecVPN连接至总部,总部的IP地址通常为固定公网IP地址或提供固定域名,分支的IP地址可以为静态公网IP地址,也可以为内网IP地址或动态公网IP地址。各分支机构之间不需要通信,此时只需要在总部和分支机构之间部署IPSecVPN;各分支机构之间需要通信,此时,若分支机构采用动态的公网地址接入Internet,部署传统的IPSecVPN将存在一个问题,即分支机构与分支间机构无法直接通信,所有分支机构与分支机构间的通信数据只能由总部中转。而总部在中转分支机构间的通信流量时会消耗FWB的CPU及内存资源,造成资源紧张;另外,总部要对分支机构间的流量进行封装和解封装,会引入额外的网络延时。图6-26点到多点IPSecVPN项目6网络安全管理与维护6.2项目知识准备6.2.3防火墙VPN管理与维护(6)IPSecVPN应用场景③移动用户IPSecVPN远程接入如图6-27所示,出差员工通过Windows自带拨号软件或其他拨号软件通过拨号接入企业网络。L2TP具有很好的用户认证功能,但没有加密功能,不够安全,因此,可部署L2TPoverIPSec,在企业网关FW和PC之间建立L2TPoverIPSec隧道,报文将先由L2TP封装再经IPSec加密后传输,保障了通信的安全性。图6-27移动用户IPSecVPN远程接入项目6网络安全管理与维护6.2项目知识准备6.2.4防火墙安全策略管理与维护1.防火墙安全策略的分类（应用安全策略和内容安全策略）(1)应用安全策略NGFW在传统包过滤防火墙规则的基础上建立基于服务和应用的安全策略,更好地适应当前互联网等领域新型应用和业务的安全控制。NGFW内置常用的应用和服务分类,在创建应用安全规则时不仅仅要定义数据流的源/目的安全区域,源/目的地址,源/目的端口,还可以精细化设置访问时间段、服务协议和应用,可以更加准确地控制上层服务和应用的数据转发。NGFW应用识别库如图6-28所示。图6-28NGFW应用特征识别库项目6网络安全管理与维护6.2项目知识准备6.2.4防火墙安全策略管理与维护(2)内容安全策略NGFW内容安全策略主要包括反病毒、入侵检测、URL过滤、文件过滤、内容过滤、邮件过滤等安全功能。①反病毒病毒可以感染或者隐藏在程序和文件中,并通过网络进行传播,病毒将有针对性地抢占主机资源、窃取用户数据、控制主机权限、甚至直接损毁主机,因此病毒对网络造成的危害极大。NGFW通过内嵌的智能感知引擎和完善的病毒特征库实现对进出网络的应用和数据进行病毒检测和防御。在诸如HTTP应用层协议之上可能承载着多种应用服务,因此对于通过NGFW的流量将进行严格的协议和应用的识别和检测。首先通过智能感知引擎进行应用协议的识别,对于允许通过的协议的数据流再进行病毒的检测,如果检测到病毒将执行管理员指定的动作(告警,阻断等)。项目6网络安全管理与维护6.2项目知识准备6.2.4防火墙安全策略管理与维护②入侵检测如图6-29所示,NGFW入侵防御机制首先将收到的数据包进行IP分片重组及TCP流重组,使得上层应用数据可以完整地通过NGFW检测;第二步,NGFW将接受到的数据流进行内容识别,深入提取报文应用特征;第三步,NGFW将报文特征与入侵检测特征签名库进行匹配;第四步,NGFW根据匹配结果对报文进行安全处理。图6-29入侵防御数据流处理过程项目6网络安全管理与维护6.2项目知识准备6.2.4防火墙安全策略管理与维护③URL过滤通过NGFW的URL过滤功能可以精确管理用户对网页资源的访问,在确保用户工作效率的同时,还可防护恶意或非法网站导致的病毒、木马和蠕虫等攻击。当用户访问URL或者域名时,NGFW会解析出用户报文中的URL信息,然后智能地进行一系列URL分类匹配。URL过滤处理流程如图6-30所示。图6-30URL过滤处理流程项目6网络安全管理与维护6.2项目知识准备6.2.4防火墙安全策略管理与维护2.安全策略配置与管理NGFW安全策略配置与管理的一般思路:(1)规划业务安全区域。确定各个接口加入到哪一个安全区域,确定业务安全级别和访问模型,建立基本网络安全访问控制模型。(2)对用户进行分组和授权。根据国家网络安全相关的法律法规,各个网络内部需要具备网络用户溯源的能力,通常内部网络会配套身份认证系统,在用户接入时完成实名认证和终端信息登记。目前NGFW基本都支持与第三方认证系统对接,将内部用户组和内部组织结构同步到NGFW,以便NGFW以用户组为对象配置安全策略和网络资源访问授权。项目6网络安全管理与维护6.2项目知识准备6.2.4防火墙安全策略管理与维护(3)内容安全策略的规划。管理员要规划针对哪些安全区域之间的流量进行内容安全的检测,针对何种协议或应用的内容进行检测,引用哪些内容检测的配置文件,如防病毒,入侵检测,URL防护,文件内容过滤等等。(4)用表格或者文档做好记录所有的安全策略以及相关的条件、参数,并按照精细化策略在前、宽泛化策略在后的顺序进行排列,在NGFW上按照同样的顺序依次进行配置和验证。图6-31安全策略配置流程项目6网络安全管理与维护6.2项目知识准备6.2.4防火墙安全策略管理与维护3.安全策略的优化(1)冗余安全策略的巡检在网络运维过程中,NGFW的管理员可能不只一个,安全策略的配置如果没有统一的规划和管理,很有可能会配置一些交叉或者冗余的策略;用户群组和业务类型也逐渐复杂,为了适应业务安全运营的需要,相应的安全策略也会不断增加,如果没有完善的业务模型,没有细致的安全策略分析和策略验证环节,NGFW上的安全策略难免会出现冗余,甚至出现管理目标不一致的策略。因此,安全策略的冗余巡检十分必要,通过冗余巡检可以高效地发现冗余的安全策略,协助管理员及时调整好策略,既能够有效提升防火墙工作效率,又有助于业务的安全运营。项目6网络安全管理与维护6.2项目知识准备6.2.4防火墙安全策略管理与维护(2)无效策略的清理NGFW一般会对安全策略匹配的情况进行统计,即至策略创建或者被修改以来命中了多少次,而随着安全策略的配置数量越来越大,内容越来越复杂,运营业务的调整,部分安全策略可能长时间没有被匹配命中,这时管理员需要不定期地对安全策略进行巡检,查看策略是否仍然有效,对于长期处于未命中的失效策略可以根据实际情况进行修改或删除。项目6网络安全管理与维护6.2项目知识准备6.2.5防火墙可靠性管理与维护1.防火墙双机热备

(1)双机热备概念防火墙的双机热备功能会提供一条专门的备份通道,用于两台防火墙之间协商主备状态,以及会话等状态信息和配置命令的备份。双机热备主要包括主备备份和负载分担两种方式。主备备份是指正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备发生接口、链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务。负载分担也可以称为“互为主备”,即两台设备同时处理业务。当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证原来需要通过故障设备转发的业务不中断。项目6网络安全管理与维护6.2项目知识准备6.2.5防火墙可靠性管理与维护2.双击热备应用场景(1)双机热备三层串联部署场景1FW双机热备三层串联部署上、下行连接二层设备。如图6-32所示,FW1和FW2的上、下行业务接口工作在三层,与二层交换机直连。FW1和FW2与交换机、路由器或者PC之间运行静态路由。此组网是FW推荐的典型双机热备组网,是已经应用得很成熟的组网方式,广泛适用于中小型网络或FW作网关的网络。图6-32FW双机热备三层串联部署上、下行连接二层设备项目6网络安全管理与维护6.2项目知识准备6.2.5防火墙可靠性管理与维护场景2FW双机热备三层串联部署上、下行连接三层设备。如图6-33所示,FW1和FW2的上、下行业务接口工作在三层,与路由器直连。FW1和FW2与上、下行路由器之间运行OSPF协议。此组网也是FW推荐的典型双机热备组网,是已经应用得很成熟的组网方式,广泛适用于大中型网络。此组网可以与业务接口工作在三层,上、下行连接二层设备的组网结合使用,即组成上行连二(三)层设备,下行连三(二)层设备的组网。图6-33FW双机热备三层串联部署上、下行连接三层设备项目6网络安全管理与维护6.2项目知识准备6.2.5防火墙可靠性管理与维护(2)双机热备二层串联部署场景1FW双机热备二层串联部署上、下行连接二层设备。如图6-34所示,FW1和FW2的上、下行业务接口工作在二层,与二层交换机直连。每台FW的上、下行业务接口加入到同一个VLAN。在此组网中,FW透明接入到原有交换机网络,不改变网络拓扑。由于FW的业务接口工作在二层,因此不能运行与IP地址相关的业务,例如VPN。图6-34FW双机热备二层串联部署上、下行连接二层设备项目6网络安全管理与维护6.2项目知识准备6.2.5防火墙可靠性管理与维护场景2FW双机热备二层串联部署上、下行连接三层设备。如图6-35所示,FW1和FW2的上、下行业务接口工作在二层,与路由器直连。上、下行路由器之间运行OSPF动态路由协议。每台FW的上、下行业务接口加入到同一个VLAN。在此组网中,两台FW共同处理业务,而且FW透明接入到原有路由器网络,不改变网络拓扑。由于FW的业务接口工作在二层,因此不能运行与IP地址相关的业务,例如VPN。图6-35FW双机热备二层串联部署上下行连接三层设备项目6网络安全管理与维护6.2项目知识准备6.2.5防火墙可靠性管理与维护(3)双机热备旁挂部署双机热备旁挂部署是指两台FW的业务接口工作在三层,并且旁挂在二层或三层设备上。FW的双机热备旁挂部署主要有两个优点,一是可以在不改变现有网络物理,如图6-36所示拓扑的情况下,将FW1和FW2部署到网络中。二是可以有选择地将通过被旁挂设备的流量引导到FW1和FW2上,即将需要进行安全检测的流量引导到FW上进行处理,将不需要进行安全检测的流量直接通过被旁挂设备转发。图6-36双机热备旁挂部署项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙如图6-37所示,为某校园网部分网络eSight监控管理网络的拓扑,其中FW1为出口防火墙,采用三层路由模式部署,FW1连接C1和C2接口规划到Trust域,连接外部互联网的接口规划到Untrust域;FW2为校园内部数据中心的边界防火墙,采用三层路由模式部署,FW2连接内部交换机SW3和SW4的接口规划至Trust域,连接R2的接口规划至Untrust域;在R1、R2、C1、C2和FW1之间运行OSPF动态路由协议,保障校园骨干网路由稳定可靠,eSight对网络拓扑中所有设备进行统一监控运维。图6-37eSight监控管理防火墙拓扑项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙部分网络参数规划见表6-1。表6-1校园网部分网络规划参数项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙部分网络参数规划见表6-1。表6-1校园网部分网络规划参数（续）项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙部分网络参数规划见表6-1。表6-1校园网部分网络规划参数（续）项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙1.配置FW基本网络参数并使能SNMP和HTTPS管理FWUSG6000v默认用户名为admin,密码为Admin@123,初次登录要求用户修改初始密码。FW1和FW2均采用带内管理方式,FW1带内管理口是GE0/0/1,FW2带内管理口是vlanif2。进入该接口视图,按照规划修改其IP地址,并配置使能管理服务HTTPS、PING和SNMP。以FW1配置命令为例:项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙2.配置防火墙路由，使得eSight平台三层可达FW带内管理口根据规划,FW1采用三层路由模式部署,需要启用OSPF路由,OSPF路由将FW1带内管理口等IP网段宣告进OSPF进程中,FW1的routerID为,FW1的下行接口以及C1和C2上行连接FW1的接口规划在Area1中,主要配置命令如下:项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙3.配置FW的SNMP服务根据规划FW采用SNMPv2c协议加入到eSight平台,以FW1为例,SNMP主要配置命令如下:snmp-agentsnmp-agentlocal-engineid800007DB0300E0FC7F50B4snmp-agentcommunitywritecipherhndd-testsnmp-agentcommunityreadcipherhndd-testsnmp-agentsys-infoversionv2cv3snmp-agenttarget-hosttrapaddressudp-domain1paramssecuritynamecipherFW1v2csnmp-agenttrapsourceGigabitEthernet1/0/0snmp-agenttrapenable项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙管理员也可以登录防火墙WEB页面配置SNMP,在一台与FW带内管理口路由可达的主机的浏览器上输入5:8443,打开防火墙登录页面,如图6-38所示。图6-38USG6000v登录界面项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙输入用户名和密码登录FW1,弹出“用户体验计划”对话框,如图6-39所示,按照提示,根据实际维护需要填写用户体验计划和隐私声明等,然后单击“确定”按钮,即可成功进入防火墙配置页面。图6-39FW登入后首页项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙选择“系统”→“配置”→“SNMP”,勾选SNMP“启用”复选框,填写SNMP配置信息,本任务中采用SNMPv2的方式将FW1加入eSight平台,值得注意的是SNMP读写团体名要和eSight平台保持一致,Trap接收主机请填写eSight平台安装主机IP地址,信息填写确认无误后单击“应用”按钮完成SNMP设置,FW1的SNMPv2配置页面如图6-40所示。图6-40FW1的SNMPv2配置页面项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙4.配置eSight平台监控管理FW1登录eSight平台,首先配置SNMPv2c协议模板,读、写团体名等信息与防火墙保持一致。选择“资源”→“资源添加”→“协议模板”→“SNMP协议模板”,单击“创建”按钮,如图6-41所示。图6-41eSight创建FW的SNMPv2c协议模板项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙选择“资源”→“资源添加”→“单个添加”,按照资源添加页面要求填写FW1管理地址、选择刚刚创建的SNMP协议模板等,完成FW1添加至eSight,如图6-42所示。图6-42eSight添加FW1项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙成功添加FW1后页面将直接跳转至资源页面,管理员可以看到FW1运行的状态,如图6-43所示。图6-43成功添加FW1项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙从设备资源页面可以查看设备的整机、机框、单板、子卡、端口等运行状态详情。采用同样的方式将FW2添加至eSight平台,如图6-44所示。图6-44FW1和FW2在eSight平台添加成功项目6网络安全管理与维护6.3项目实施任务6-1通过eSight监控管理防火墙如图6-45所示,保存FW1的配置后重启FW1模拟网元中断故障,查看eSight平台故障监控效果。FW1停机,导致FW1与C1、C2之间发生链路故障,因此eSight平台检测到故障后立即发出告警提醒,针对该故障出发了两条链路断开紧急告警和一条网管服务器与网元通信异常告警,如图6-46所示。图6-45FW1故障模拟图6-46FW1故障告警查看项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略1.配置FW2安全策略使eSight平台添加SW3和SW4如图6-37所示,SW3和SW4是数据中心两台CE6800接入交换机,为了使eSight平台能统一监控管理网络设备,eSight平台的SNMP流量需要穿过防火墙访问SW3和SW4,同时当有Trap告警信息需要上传时,SW3和SW4也需要将其上传至eSight,为此FW2需要配置安全策略放行上述流量。安全策略规划见表6-2。表6-2eSight监控管理SW3和SW4安全策略规划项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略在浏览器输入3:8443登录FW2,选择“对象”→“地址”→“地址列表”→“新建”,在地址列表中创建eSight平台地址对象和数据中心交换机地址对象(包括SW3和SW4上行接口地址),如图6-47和6-48所示。图6-47创建eSight平台地址对象项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-48创建数据中心交换机地址对象项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-49创建eSight平台访问数据中心交换机的安全策略选择“策略”→“安全策略”→“安全策略列表”→“新建安全策略”,新建一条由eSight平台访问数据中心交换机的安全策略,访问协议为SNMP,具体配置如图6-49所示。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-50创建数据中心交换机上报Trap告警的安全策略按照同样的方式创建数据中心交换机上报Trap告警的安全策略,如图6-50所示。登录eSight平台,手动添加SW3和SW4,如图6-51所示。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-51eSight平台添加SW3和SW4项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略2.部署管理数据中心应用安全策略如图6-37所示,数据中心有两台服务器,Server1为WEB服务器,Server2为FTP服务器,根据用户需求,允许用户PC1工作时间访问WEB服务器;PC2只有在晚上18:00至22:00可以访问WEB服务器,9:00至12:00不可以访问FTP服务器;允许PC3同时访问WEB服务器和FTP服务器,没有时间限制;只允许PC42020年2月21日上班时间访问WEB服务。为了满足上述安全要求,安全策略规划见表6-3。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略表6-3数据中心服务访问安全策略规划项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略(1)配置服务器步骤1双击打开Server1配置页面,在“基础配置”配置页配置Server1网络参数,如图6-52所示。图6-52Server1网络参数配置项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略(1)配置服务器步骤2进入Server1“服务器信息”配置页,配置WEB服务并启用,如图6-53所示。图6-53WEB服务配置项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略(1)配置服务器步骤3双击打开Server2配置页面,在“基础配置”配置页配置Server2网络参数,如图6-54所示。图6-54Server2网络参数配置项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略(1)配置服务器步骤4进入Server2“服务器信息”配置页,配置FTP服务并启用服务,如图6-55所示。图6-55FTP服务配置项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略(2)配置防火墙应用安全策略步骤1登录FW2的WEB管理页面,选择“对象”→“地址”→“地址列表”→“新建”,新建地址对象PC1、PC2、PC3、WEB服务器和FTP服务器,创建好的地址对象列表如图6-56所示。图6-56地址对象列表项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略(2)配置防火墙应用安全策略步骤2选择“对象”→“时间段”→“时间段列表”→“新建”,创建规划中的时间段列表。以创建18:00~22:00的时间段对象为例,如图6-57所示,所有创建好的时间段列表如6-58所示。图6-57创建18:00~22:00时间段对象项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-58创建好的时间段列表项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略步骤3选择“策略”→“安全策略”→“安全策略列表”→“新建安全策略”,创建规划的安全策略。安全策略创建时要注意一般规则,防火墙策略匹配一般采取从上至下顺序匹配,只要匹配到安全策略列表中的一个策略,就不再匹配后面的策略,因此,配置安全策略的一般原则为:条件严苛的策略放在安全策略列表前端(列表序号小),条件宽松的策略放置在安全策略列表后端(列表序号大),动作为不允许的策略一般放在安全策略前端,动作为允许的策略放置在安全策略后端。当然这只是安全策略配置的一般原则,实际进行策略配置时,需要根据业务实际情况进行灵活调整和模拟测试,直至配置的策略可以满足业务安全要求。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略下面以配置PC1上班时间访问WEB服务器为例进行配置,如图6-59所示,创建好的安全策略列表如图6-60所示,当配置的策略关联的时间段不在系统当前时间段内,策略将呈现灰色,表示策略此时不生效。图6-59PC1访问WEB服务器安全策略项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-60创建好的安全策略列表图6-60中最后一条名称为default的策略是防火墙预定义的默认策略,该策略默认拒绝所有访问,这条默认策略极为重要,当数据与管理员自定义的安全策略均未匹配时将匹配默认策略而被防火墙阻拦,此时可最大限度地保障内网的安全。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-61PC3成功访问WEB服务器(4)验证安全策略步骤1如图6-59所示,当前仅有PC3访问WEB和FTP服务器的策略在生效时间内。现在验证PC3访问WEB服务器,双击打开PC3配置页面,选择“客户端信息”配置页中选择HttpClient,在地址栏中填入WEB服务器的IP地址,单击“获取”,此时PC3可以成功访问WEB服务器,如图6-61所示。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-62安全策略生效命中步骤2在策略列表页面同时可以观察到PC3访问WEB和FTP服务器的策略命中次数为4;选择“监控”→“会话表”,查看当前防火墙会话表,可以看到PC3与WEB服务器之间建立的HTTP会话,如图6-62和图6-63所示。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-63防火墙监控会话表项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略步骤3在PC3的“客户端信息”配置中选择FTPClient,配置FTP服务器地址和端口号,单击“登录”按钮,服务器文件列表中显示FTP服务器配置目录中的文件,说明PC3能成功访问FTP服务器,如图6-64和6-65所示。图6-64PC3成功访问FTP服务器项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略图6-65PC3访问FTP服务器过程中生成的会话表项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略步骤4测试PC1访问WEB服务器,进行测试时间是2020年2月22日星期六,非工作时间,PC1访问WEB服务器,显示连接失败,如图6-66所示。由于当前时间不符合PC1访问WEB服务器的安全策略关联时间,策略将不被命中,转而匹配最后一条默认策略导致数据被防火墙丢弃。图6-66PC1访问WEB服务器失败项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略3.部署管理内容安全策略步骤1防护墙内容安全策略包括IDS、URL过滤、反病毒、APT防御等安全选项,是防火墙安全部署和运维过程中的重要环节,以配置USG6000v内容安全策略为例,讲解日常防火墙运维过程中内容安全策略的部署和运维管理。登录USG6000v,选择“对象”→“安全配置文件”→“内容安全配置向导”,在业务功能选择中勾选“全选”,如图6-67所示。图6-67内容安全配置业务功能选择项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略步骤2单击“下一步”按钮,选择“入侵检测”,单击“新建”按钮,弹出“新建入侵检测配置文件”页面,填写入侵检测配置文件名称;启用关联检测功能,可用于检测暴力破解类攻击;启用恶意域名查功能,设置动作为阻断;选择“签名过滤器”选项,单击“新建”按钮,弹出“新建签名过滤器”对话框,填写签名过滤器名称,管理员可以根据业务需要选择相应的检测对象、威胁严重性、操作系统类型、要过滤的应用程序、协议、威胁等,管理员需要根据运维的业务所涉及的应用、协议和常见威胁进行有针对性的选择,可以根据不同业务配置不同签名过滤器,当然也可以在一个入侵防御配置文件上创建多个过滤器,过滤器按照页面显示顺序对报文进行匹配。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略签名过滤器的安全属性配置与业务不匹配可能导致无法正常访问业务,这需要通过反测试验证才能不断优化过滤器的设置。另外关于签名过滤器的动作设置,建议选择采用签名的缺省动作,在业务运行测试过程中再逐步加以微调。入侵防御和签名过滤器创建如图6-68所示。图6-68入侵防御和签名过滤器设置项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略步骤3选择“URL过滤”,单击“新建”按钮,弹出“新建URL过滤配置文件”对话框,填写URL过滤配置文件名称,修改缺省工作为阻断,启用恶意URL检测;关于URL和Host黑、白名单的设置请根据实际业务需要进行配置,管理员应明确合法URL才可以设置为白名单,错误的设置可能会引入安全风险,如果一个URL被同时放入白名单和黑名单,由于白名单的优先级更高,故该URL将不被检测而放行;URL过滤规则一般选择中等过滤级别,对非法和成人网站进行控制。项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略URL过滤配置如图6-69所示。图6-69URL过滤配置项目6网络安全管理与维护6.3项目实施任务6-2管理与维护防火墙安全策略步骤4选择“DNS过滤”,单击“新建”按钮,弹出“新建DNS过滤配置文件”对话框,填写DNS配置文件名称,修改缺省动作为阻止,DNS过滤级别设置为中等,主要过滤成人和非法网站的DNS请求,DNS过滤配置如图6-67所示。DNS服务在网络中尤为重要,现在互联网服务访问都需要DNS的支撑,管理维护的网络如果有本地DNS,用户主机需要提交DN