1、防火墻、入侵檢測系統與整體安全策略防火墻、入侵檢測系統與整體安全策略防火墻的應用防火墻的應用Cisco防火墻簡介 硬件與軟件防火墻 軟件防火墻硬件防火墻ASA安全設備ASA 5500系列 常見型號：5505、5510、5520、5540、5550、5580 Cisco防火墻簡介 硬件與軟件防火墻 狀態(tài)化防火墻2-1狀態(tài)化防火墻維護一個關于用戶信息的連接表，稱為Conn表Conn表中的關鍵信息源IP地址目的IP地址IP協議（例如TCP或UDP）IP協議信息（例如TCP/UDP端口號，TCP序列號，TCP控制位）默認情況下，ASA對TCP和UDP協議提供狀態(tài)化連接，但ICMP協議是非狀態(tài)化的狀態(tài)化

2、防火墻2-1狀態(tài)化防火墻維護一個關于用戶信息的連接表，狀態(tài)化防火墻2-2狀態(tài)化防火墻進行狀態(tài)化處理的過程WebInsideOutsidePC Conn表Inside IP Address IP Protocol Inside Port Outside IP Address Outside Port TCP 12000 80 發(fā)起HTTP請求防火墻將連接信息添加到Conn表轉發(fā)HTTP請求服務器響應請求防火墻攔截該流量，并檢查其連接信息在Conn表中找到匹配信息，流量被允許在Conn表中未找到匹配信息，流量被丟棄狀態(tài)化防火墻2-2狀態(tài)化防火墻進行狀態(tài)化處理的過程WebIn安全算法的原理2-1AS

3、A使用安全算法執(zhí)行以下三項基本操作訪問控制列表基于特定的網絡、主機和服務（TCP/UDP端口號）控制網絡訪問連接表維護每個連接的狀態(tài)信息安全算法使用此信息在已建立的連接中有效轉發(fā)流量檢測引擎執(zhí)行狀態(tài)檢測和應用層檢測檢測規(guī)則集是預先定義的，來驗證應用是否遵從每個RFC和其他標準安全算法的原理2-1ASA使用安全算法執(zhí)行以下三項基本操作安全算法的原理2-2數據報文穿越ASA的過程XLATECONN檢測ACL15432876原始報文返回報文ASA對原始報文的處理：1. 一個新來的TCP SYN報文到達ASA，試圖建立一個新的連接2. ASA檢查訪問列表，確定是否允許連接3. ASA執(zhí)行路由查詢，如果

4、路由正確，ASA使用必要的會話信息在連接表（xlate和conn表）中創(chuàng)建一個新條目4. ASA在檢測引擎中檢查預定義的一套規(guī)則，如果是已知應用，則進一步執(zhí)行應用層檢測5. ASA根據檢測引擎確定是否轉發(fā)或丟棄報文。如果允許轉發(fā)，則將報文轉發(fā)到目的主機ASA對返回報文的處理：6. 目的主機響應該報文7. ASA接收返回報文并進行檢測，查詢連接確定會話信息與現有連接是否匹配8. ASA轉發(fā)屬于已建立的現有會話的報文安全算法的原理2-2數據報文穿越ASA的過程XLATE檢測AASA的基本配置-主機名和密碼配置主機名 配置密碼配置特權密碼配置遠程登錄密碼 ciscoasa(config)# host

5、name asaasa(config)# enable password asa802asa(config)# passwd ciscoASA的基本配置-主機名和密碼配置主機名ciscoasa(cASA的接口接口的名稱物理名稱邏輯名稱接口的安全級別用來描述安全區(qū)域，例如inside、 outside安全級別高安全級別低InternetInsideOutside不同安全級別的接口之間訪問時，遵從的默認規(guī)則允許出站（outbound）連接禁止入站（inbound）連接禁止相同安全級別的接口之間通信ASA的接口接口的名稱用來描述安全區(qū)域，例如inside、 ASA接口的配置配置接口的名稱 配置接口的

6、安全級別配置實例asa(config-if)# nameif nameasa(config-if)# security-level number范圍是0100InsideOutside/24/24R2E0/1E0/0R1asa(config-if)# nameif insideasa(config-if)# ip address 54 asa(config-if)#security-level 100asa(config-if)# nameif outsideasa(config-if)# ip address 54 asa(config-if)#security-level 0在R1上可以T

7、elnet到R2，但在R2上不能Telnet到R1asa# show conn detail.TCP outside:/23 inside:/44043 flags UIO在R1上是否能ping通 ，為什么？如果ASA的型號是5505，則不支持在物理接口上直接進行以上配置，必須通過VLAN虛接口來配置ASA接口的配置配置接口的名稱asa(config-if)#配置ACL配置ACL有兩個作用允許入站連接控制出站連接的流量 asa(config)# access-list acl_name extended permit | deny protocol src_ip_addr src_mask d

8、st_ip_addr dst_mask operator portasa(config)# access-list acl_name standrad permit | deny ip_addr mask使用正常的掩碼配置擴展ACL配置標準ACL將ACL應用到接口asa(config)# access-group acl_name in | out interface interface_ name配置ACL配置ACL有兩個作用asa(config)# ac配置ACL允許入站連接ASA的默認規(guī)則是禁止入站連接，如果要允許入站連接，就需要配置ACL asa(config)# access-lis

9、t out_to_in permit ip host host asa(config)# access-group out_to_in in int outsideInsideOutside/24/24R2E0/1E0/0R1如果要允許網絡/24的入站連接，應該如何配置？控制出站連接的流量如果inside區(qū)域有多個子網，要禁止子網/24的流量出站 asa(config)# access-list in_to_out deny ip anyasa(config)# access-list in_to_out permit ip any anyasa(config)# access-group i

10、n_to_out in int inside配置ACL允許入站連接asa(config)# access配置靜態(tài)路由ASA支持靜態(tài)和默認路由、動態(tài)路由配置靜態(tài)路由的命令asa(config)# route interface-name network mask next-hop-address1）在ASA上配置靜態(tài)路由asa(config)# route outside 2）在路由器RR上配置靜態(tài)路由需要指定接口InsideOutside/24/24R1R2E0/0E0/1RR/24asa# show routeS 1/0 via , outsideC is directly connecte

11、d, outsideC is directly connected, inside配置靜態(tài)路由ASA支持靜態(tài)和默認路由、動態(tài)路由asa(conASA的其他配置ICMP協議保存running config配置清除running config的所有配置清除running config中指定命令的配置刪除startup-config配置文件asa(config)# access-list 111 permit icmp any anyasa(config)# access-group 111 in int outside允許ICMP報文穿越ASAasa# write memory或asa# copy

12、 running-config startup-configasa(config)# clear config allasa(config)# clear config configcommand level2configcommandasa# write eraseASA的其他配置ICMP協議asa(config)# acc多安全區(qū)域DMZ區(qū)域的概念和作用DMZ（DeMilitarized Zone）稱為“隔離區(qū)”，也稱“非軍事化區(qū)” 位于企業(yè)內部網絡和外部網絡之間的一個網絡區(qū)域InsideOutsideInternetDMZ可以放置一些必須公開的服務器，例如Web服務器、FTP服務器和論壇

13、等多安全區(qū)域DMZ區(qū)域的概念和作用InsideOutsideI默認的訪問規(guī)則DMZ區(qū)的安全級別介于inside和outside之間 有六條默認的訪問規(guī)則在實際應用中，通常需要配置訪問規(guī)則和地址轉換允許outside訪問DMZInsideOutsideDMZ默認的訪問規(guī)則DMZ區(qū)的安全級別在實際應用中，通常需要配置訪DMZ區(qū)域的基本配置驗證默認規(guī)則在R1上可以Telnet到R2和R3在R3上可以Telnet到R2但不能Telnet到R1在R2上不能Telnet到R1和R3InsideOutside/24/24R1R2E0/0E0/1R3DMZE0/2/24安全級別0安全級別100asa(conf

14、ig-if)# nameif DMZasa(config-if)# ip address 54 asa(config-if)#security-level 50配置ACL實現R2能夠Telnet到R3使用“show conn detail”命令查看Conn表使用“show route”命令查看路由表DMZ區(qū)域的基本配置驗證默認規(guī)則InsideOutside1入侵檢測系統的配置入侵檢測系統的配置IDS/IPS概述入侵檢測系統（Intrusion Detection System，IDS） 對入侵行為發(fā)現（告警）但不進行相應的處理入侵防護系統（Intrusion Prevention System

15、，IPS）對入侵行為發(fā)現并進行相應的防御處理IDS/IPS概述入侵檢測系統（Intrusion DeteIDS工作原理使用一個或多個監(jiān)聽端口“嗅探” 不轉發(fā)任何流量IDS受保護的網絡對收集的報文，提取相應的流量統計特征值，并利用內置的特征庫，與這些流量特征進行分析、比較、匹配根據系統預設的閥值，匹配度較高的報文流量將被認為是攻擊，IDS將根據相應的配置進行報警或進行有限度的反擊IDS工作原理使用一個或多個監(jiān)聽端口“嗅探” IDS受保護的IDS工作流程信息收集信號分析實時記錄、報警或有限度反擊包括網絡流量的內容、用戶連接活動的狀態(tài)和行為3種技術手段：模式匹配統計分析完整性分析模式匹配是將收集到的

16、信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發(fā)現違背安全策略的行為。優(yōu)點：只需收集相關的數據集合，顯著減少系統 負擔。缺點：需要不斷的升級，不能檢測到從未出現過 的攻擊手段統計分析首先給信息對象（如用戶、連接等）創(chuàng)建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數等）。測量屬性的平均值將被用來與網絡行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發(fā)生。優(yōu)點：可檢測到未知的入侵和更為復雜的入侵缺點：誤報、漏報率高，且不適應用戶正常行為 的突然改變完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發(fā)現被更改的、被特洛伊木馬感染的應用程序方面特別有效。

17、優(yōu)點：只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發(fā)現缺點：不用于實時響應對入侵行為做出適當的反應，包括詳細日志記錄、實時報警和有限度的反擊攻擊源IDS工作流程信息收集信號分析實時記錄、報警包括網絡流量的內IPS工作原理提供主動性的防護，預先對入侵活動和攻擊性網絡流量進行攔截IPS受保護的網絡繼承和發(fā)展了IDS的深層分析技術采用了類似防火墻的在線部署方式來實現對攻擊行為的阻斷IPS工作原理提供主動性的防護，預先對入侵活動和攻擊性網絡流IPS工作流程嵌入模式的IPS直接獲取數據包，而旁路模式的IPS通過端口鏡像獲取獲取數據包匹配過濾器對數據包進行分類判斷數據包是否命中數據包的放行或阻

18、斷分類的目的是為了下一步提供合適的過濾器，分類的依據是數據包的報頭信息每個過濾器都包含一系列規(guī)則，負責分析對應的數據包所有過濾器都是并行工作，如果任何數據包符合匹配要求，該數據包將被標為命中如果判斷無攻擊跡象則放行數據包，如果發(fā)現攻擊，立即采取抵御措施：告警、丟棄數據包、切斷此次應用會話、切斷此次TCP連接IPS工作流程嵌入模式的IPS直接獲取數據包，而旁路模式的IIPS的分類基于主機的入侵防護（HIPS）通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統以及應用程序可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為基于網絡的入侵防護（NIP

19、S）通過檢測流經的網絡流量，提供對網絡系統的安全保護必須基于特定的硬件平臺，才能實現千兆級網絡流量的深度數據包檢測和阻斷功能IPS的分類基于主機的入侵防護（HIPS）Cisco IDS/IPS系統Cisco IDS/IPS產品線主要包含的設備類型設備傳感器產品：IPS 4200系列模塊化產品：ASA上的高級檢測和保護安全服務模塊（AIP-SSM）Catalyst 6500系列交換機和7600系列路由器上的安全模塊IDSM綜合業(yè)務路由器（ISR）上的IPS增強型集成模塊（IPS-AIM）集成式產品：路由器IOS集成IPS功能ASA/PIX集成IPS功能主機IDS/IPS產品: CSA（Cisco

20、 Security Agent，Cisco安全代理）Cisco IDS/IPS系統Cisco IDS/IPS產品IPS 4200系列傳感器2-1產品型號有4215、4240、4255、4260和4270產品功能細致檢查第2層到第7層的流量阻止惡意流量，包括網絡病毒、蠕蟲、間諜軟件、廣告軟件等可同時以混雜模式和內部模式運行支持多接口以監(jiān)控多個子網基于特征和基于異常的檢測功能豐富的傳輸級性能選擇，從65Mb/s到2Gb/s傳感器軟件內部集成基于Web的管理解決方案IPS 4200系列傳感器2-1產品型號有4215、4240IPS 4200系列傳感器2-2IPS 4200典型工作模式IPS模式可以在

21、線檢測攻擊并攔截攻擊IDS模式可以與網絡設備（路由器、交換機和防火墻）聯動IPS 4200的部署IPSInternetIDS受保護的網絡受保護的網絡其他網絡IDS可以部署在防火墻外可以部署在防火墻內IPS 4200系列傳感器2-2IPS 4200典型工作模式IPS 4200初始化配置進入CLI默認的用戶名是cisco，密碼是cisco第一次登錄時會被提示要求更改默認密碼運行setup命令主機名稱IP地址及掩碼默認網關Telnet服務器狀態(tài)（默認為禁用）Web服務器端口（默認為443）用戶角色是管理員新密碼至少8個字符sensor# setup- System Configuration Dia

22、log -At any point you may enter a question mark ? for help.User ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets .Current Configuration:service hostnetwork-settingshost-ip 01/24,host-name sensortelnet-option disabledftp-timeout 300no login-banner-textexittim

23、e-zone-settingsoffset 0standard-time-zone-name UTCexitsummertime-option disabledntp-option disabledexitservice web-serverport 443exitCurrent time: Wed May 5 10:25:35 2011Continue with configuration dialog?yes：輸入yes或直接回車，進入配置對話框IPS 4200初始化配置進入CLI用戶角色是管理員新密碼至設置主機名和管理IP地址配置完成后需要重啟IPS后主機名才生效sensor# conf

24、 terminalsensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# host-name ips sensor(config-hos-net)# host-ip 0/24,54 sensor(config-hos-net)# exitsensor(config-hos)# exitApply Changes:?yes: sensor(config)#進入主機配置模式網絡配置應用配置設置主機名和管理IP地址配置完成后需要重啟IPS后主機名才生配置信任主機配置信任主機，即

25、允許哪些網段或主機訪問IPS，訪問方式包括Telnet、FTP、SSH和HTTPsensor# conf terminalsensor(config)# service hostsensor(config-hos)# network-settingssensor(config-hos-net)# access-list /24 sensor(config-hos-net)# telnet-option enabled sensor(config-hos-net)# exitsensor(config-hos)# exitApply Changes:?yes: sensor(config)#允許

26、/24網段中的主機通過Telnet訪問IPS配置信任主機配置信任主機，即允許哪些網段或主機訪問IPS，訪配置IPS設備管理器（IDM）首先在管理主機上安裝Java虛擬機，然后啟用Java控制面板，配置Java Runtime參數設置內存為256M配置IPS設備管理器（IDM）首先在管理主機上安裝Java虛配置IPS設備管理器（IDM）然后在IE瀏覽器中輸入0，按提示輸入用戶名和密碼配置IPS設備管理器（IDM）然后在IE瀏覽器中輸入http配置IDM用戶IPS支持四種用戶角色，用戶角色決定用戶的權限級別管理員（Administrator）：該用戶角色擁有最高的權限等級，能執(zhí)行傳感器上的所有功能

27、操作員（Operator）：該用戶角色擁有第2高的權限等級，能執(zhí)行如修改密碼、更改特征庫、配置虛擬傳感器等有限功能觀察員（Viewer）：該用戶角色的權限等級最低，可以查看配置和事件，但是不能修改配置服務（Service）：該用戶角色屬于特殊賬號，主要用于技術支持和故障診斷配置IDM用戶IPS支持四種用戶角色，用戶角色決定用戶的權限配置傳感接口傳感接口也稱嗅探接口，是用于監(jiān)控和分析網絡流量的特定接口，該接口沒有IP地址傳感接口可以運行在混雜模式，也可以配置為在線模式混雜模式通常稱為IDS解決方案，傳感器只會分析鏡像備份過來的流量在線（Inline）模式接口可以配置為接口對模式或VLAN對模式配

28、置傳感接口傳感接口也稱嗅探接口，是用于監(jiān)控和分析網絡流量的接口對（Interface Pairs）模式流量通過傳感器的第1個接口對進入并從第2個接口對流出兩個接口必須分別屬于不同的VLAN，但屬于同一個IP子網VLAN 10VLAN 20G0/1G0/2同一個IP子網/24配置接口對接口對（Interface Pairs）模式流量通過傳感器的VLAN對（VLAN Pairs）模式創(chuàng)建子接口，流量進入到VLAN 10后被檢測，并在相同的物理接口將帶有VLAN 20標記的流量發(fā)送出去VLAN 10VLAN 20G0/1F0/1Trunk配置VLAN對VLAN對（VLAN Pairs）模式創(chuàng)建子接口

29、，流量進入到配置旁路（Bypass）模式IPS 的旁路模式只工作在Inline模式，該模式有三個選項：on、off和autoAuto：傳感器宕機時允許流量通過，傳感器正常工作時就要對流量進行審查和分析，這是默認的模式Off：禁止旁路模式，傳感器宕機時就將流量丟棄On：永遠不對流量進行審查和分析配置旁路（Bypass）模式IPS 的旁路模式只工作在Inl配置分析引擎將接口分配給分析引擎分析引擎從接口處獲取數據包并對其進行分析，然后與定義好的簽名進行比對，做出指定的動作將接口對分配給默認虛擬傳感器vs0配置分析引擎將接口分配給分析引擎將接口對分配給默認虛擬傳感器特征（Signature）特征庫和特

30、征引擎是IPS解決方案架構的基礎特征是對攻擊者進行基于網絡的攻擊時所呈現的網絡流量模式的描述當檢測到惡意行為時，IPS通過將流量與具體特征比對，監(jiān)控網絡流量并生成警報特征引擎是相似特征的集合的一個分組，每個分組檢測特定類型的行為IPS的特征引擎分為很多種類IPS的特征引擎特征（Signature）特征庫和特征引擎是IPS解決方案架事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，每個事件動作可由單獨的特征庫配置IPS的事件動作Deny attacker Inline:拒絕攻擊者的ip地址Deny attacker Service Pair inline:以攻擊者的地址和被攻擊者的服務

31、端口為拒絕對象Deny attacker Victim Pair inline: 以攻擊者和受害者地址為拒絕對象Deny connection inline: 拒絕這個TCP流量的現在和將來的包Deny packet inline:丟棄這個數據包事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，每個事件動作可由單獨的特征庫配置IPS的事件動作Log Attacker Packets: 記錄攻擊者地址Log Pair Packets: 記錄攻擊和受害者地址Log Victim Packets: 記錄受害者地址Produce A

32、lert: 生成報警Produce Verbose Alert: 詳細的報警事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，每個事件動作可由單獨的特征庫配置IPS的事件動作Request Block Connection: 對攻擊響應控制器（ARC）發(fā)送請求以切斷該連接Request Block Host: 對攻擊響應控制器（ARC）發(fā)送請求以阻斷該攻擊主機Request SNMP Trap: 發(fā)送SNMP trap到設置的管理主機，同時會自動產生AlertReset TCP connection: 重置 TCP 連接IPS的事件動作事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，配置IPS防御SYN Flood什么是SYN Flood攻擊？PC1PC21.發(fā)送SYN報文 偽造源IP地址2.發(fā)送SYNACK報文3. 發(fā)送ACK報文？如果短時間內接收到的SYN太多，半連接隊列就會溢出，則正常的客戶發(fā)送的SYN請求連接也會被服務器丟棄！配置IPS防御SYN Flood什么是SYN Flood攻擊配置IPS防御SYN FloodIPS配置為接口對模式，防御由PC機發(fā)起的SYN Flood攻擊RouterF0/1F0/11F0/2IPSV