1、第12章 安全設(shè)備規(guī)劃與配置,主講人 劉曉輝,本章內(nèi)容,安全設(shè)備規(guī)劃與配置,網(wǎng)絡(luò)安全設(shè)計,配置安全設(shè)備,12.1 安全設(shè)備規(guī)劃與配置,13.1.1 案例情景 13.1.2 項目需求 13.1.3 解決方案,網(wǎng)關(guān)安全網(wǎng)絡(luò)防火墻 局部安全I(xiàn)DS 全網(wǎng)安全防護(hù)IPS,12.2 網(wǎng)絡(luò)安全設(shè)計,12.2.1 網(wǎng)絡(luò)防火墻設(shè)計 12.2.2 入侵檢測系統(tǒng)設(shè)計 12.2.3 入侵防御系統(tǒng)設(shè)計 12.2.4 綜合安全設(shè)計,12.2.1 網(wǎng)絡(luò)防火墻設(shè)計,內(nèi)部網(wǎng)絡(luò)與Internet的連接之間 連接局域網(wǎng)和廣域網(wǎng) 內(nèi)部網(wǎng)絡(luò)不同部門之間的連接 用戶與中心服務(wù)器之間的連接,內(nèi)部網(wǎng)絡(luò)與Internet的連接之間,連接局域網(wǎng)

2、和廣域網(wǎng),存在邊界路由器網(wǎng)絡(luò)連接：,連接局域網(wǎng)和廣域網(wǎng),無邊界路由器的網(wǎng)絡(luò)連接：,DMZ區(qū),內(nèi)部網(wǎng)絡(luò),外部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)不同部門之間的連接,用戶與中心服務(wù)器之間的連接,每臺服務(wù)器單獨(dú)配置獨(dú)立的防火墻 配置虛擬網(wǎng)絡(luò)防火墻,根據(jù)實(shí)施方式的不同分類：,核心交換機(jī) 防火墻模塊,12.2.2 入侵檢測系統(tǒng)設(shè)計,IDS位置 IDS與防火墻聯(lián)動,IDS位置,IDS在交換式網(wǎng)絡(luò)中一般選擇如下位置： 盡可能靠近攻擊源； 盡可能靠近受保護(hù)資源。,這些位置通常在如下位置： 服務(wù)器區(qū)域的交換機(jī)上； Internet接入路由器之后的第一臺交換機(jī)上； 重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。,IDS與防火墻聯(lián)動,IDS與防火墻聯(lián)動

3、,TCP重置的缺陷： 只對TCP連接起作用。 IDS向攻擊者和受害者發(fā)送TCP Reset命令，IDS必須在40億字節(jié)的范圍內(nèi)猜測到達(dá)受害者時的序列號數(shù)，以關(guān)閉連接。這種方法在實(shí)際上是不可實(shí)現(xiàn)的。 即使IDS最終猜測到了到達(dá)受害者的序列號，關(guān)閉了連接，攻擊實(shí)際上已經(jīng)對受害者產(chǎn)生了作用。,IDS與防火墻聯(lián)動,IDS與防火墻聯(lián)動的缺點(diǎn)： 使用和設(shè)置上復(fù)雜，影響FW的穩(wěn)定性與性能。 阻斷來自源地址的流量，不能阻斷連接或單個數(shù)據(jù)包。 黑客盜用合法地址發(fā)起攻擊，造成防火墻拒絕來自該地址的合法訪問。 可靠性差，實(shí)際環(huán)境中沒有實(shí)用價值。,12.2.3 入侵防御系統(tǒng)設(shè)計,路由防護(hù) 交換防護(hù) 多鏈路防護(hù) 混合防

4、護(hù),路由防護(hù),交換防護(hù),多鏈路防護(hù),混合防護(hù),12.2.4 綜合安全設(shè)計,知識鏈接,網(wǎng)絡(luò)防火墻Cisco PIX和ASA IDS與IPS比較,部署位置不同。 檢測方式不同。 處理攻擊的方式不同。,12.3 配置安全設(shè)備,12.3.1 Cisco ASA連接策略 12.3.2 Cisco ASDM初始化 12.3.3 網(wǎng)絡(luò)設(shè)備集成化管理 12.3.4 安全策略設(shè)置 12.3.5 配置DMZ 12.3.6 管理安全設(shè)備,12.3.1 Cisco ASA連接策略,安全I(xiàn)nternet連接：,Cisco ASA,私有網(wǎng)絡(luò),路由器,Internet,12.3.1 Cisco ASA連接策略,虛擬網(wǎng)絡(luò)防火

5、墻：,12.3.1 Cisco ASA連接策略,發(fā)布網(wǎng)絡(luò)服務(wù)器：,12.3.1 Cisco ASA連接策略,VPN遠(yuǎn)程安全訪問：,12.3.1 Cisco ASA連接策略,站點(diǎn)VPN：,12.3.1 Cisco ASA連接策略,Cisco ASA典型應(yīng)用：,12.3.2 Cisco ASDM初始化,安裝前的準(zhǔn)備 第1步，獲得一個DES許可證或3DES-AES許可證。 第2步，在Web瀏覽器啟用Java and Javascript。 第3步，搜集下列信息：,在網(wǎng)絡(luò)中能夠識別自適應(yīng)安全設(shè)備的主機(jī)名。 外部接口、內(nèi)部接口和其他接口的IP地址信息。 用于NAT或PAT配置的IP地址信息。 DHCP服

6、務(wù)器的IP地址范圍。 使用Startup Wizard,12.3.3 網(wǎng)絡(luò)設(shè)備集成化管理,對于Cisco AIP-SSM的全面管理服務(wù) 虛擬化安全服務(wù)的世界級管理,12.3.4 安全策略設(shè)置,在安全策略設(shè)置上，通常包括以下幾種設(shè)置：,內(nèi)到外全部允許，外到內(nèi)全部拒絕。 內(nèi)到外和外到內(nèi)都要做ACL控制、映射、NAT。 設(shè)置IPSec、L2TP、SSL VPN。,12.3.5 配置DMZ,運(yùn)行ASDM 為NAT創(chuàng)建IP地址池 為外部端口指定IP地址池 配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器 配置內(nèi)部客戶端訪問Internet 為Web服務(wù)器配置外部ID 允許Internet用戶訪問DMZ的Web服

7、務(wù),12.3.5 配置DMZ,Web服務(wù)器連接至安全設(shè)備的DMZ接口。 HTTP客戶端位于私有網(wǎng)絡(luò)，可以訪問位于DMZ中的Web服務(wù)器，并且可以訪問Internet中的設(shè)備。,Internet中的HTTP客戶端允許訪問DMZ區(qū)的Web服務(wù)器，除此之外的其他所有的通信都被禁止。 網(wǎng)絡(luò)有2個可路由的IP地址可以被公開訪問：安全設(shè)備外部端口的IP地址為25，DMZ中Web服務(wù)器的公開IP地址為26。,運(yùn)行ASDM,運(yùn)行ASDM,為NAT創(chuàng)建IP地址池,為外部端口指定IP地址池,配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器,配置內(nèi)部客戶端訪問Intern

8、et,借助NAT規(guī)則，可以實(shí)現(xiàn)內(nèi)部客戶端對DMZ區(qū)中Web服務(wù)器的訪問。當(dāng)然，借助NAT規(guī)則也應(yīng)當(dāng)能夠?qū)崿F(xiàn)內(nèi)部客戶端對Internet的訪問。不過，管理員無需再創(chuàng)建任何規(guī)則，因為IP地址池包括了2種需要轉(zhuǎn)換的地址，即DMZ接口使用的IP地址，和外部接口使用的IP地址。,為Web服務(wù)器配置外部ID,允許Internet用戶訪問DMZ的Web服務(wù),12.3.6 管理安全設(shè)備,監(jiān)視安全設(shè)備運(yùn)行狀態(tài) 查看和分析網(wǎng)絡(luò)流量 查看和分析系統(tǒng)日志 安全監(jiān)控工具,監(jiān)視安全設(shè)備運(yùn)行狀態(tài),查看和分析網(wǎng)絡(luò)流量,查看和分析系統(tǒng)日志,安全監(jiān)控工具,監(jiān)控工具 系統(tǒng)圖 連接圖 攻擊保護(hù)系統(tǒng)圖 接口圖 VPN統(tǒng)計和連接圖,習(xí)題,1. 企業(yè)網(wǎng)絡(luò)中常用的安全設(shè)備有哪些？主要應(yīng)用在網(wǎng)絡(luò)中的哪些位置？ 2. 簡述IPS的主要功能。 3. 簡述Cisco ASA些列產(chǎn)品有的功能特點(diǎn)。 4. 什么是DMZ，如何通過Cisco ASA防火墻配置DMZ？,實(shí)驗：設(shè)計安全企業(yè)網(wǎng)絡(luò),實(shí)驗?zāi)康?掌握常用安全網(wǎng)絡(luò)設(shè)備的部署與應(yīng)用。 實(shí)驗內(nèi)容 設(shè)計一個簡單的企業(yè)網(wǎng)絡(luò)，分別將網(wǎng)絡(luò)防火墻、IPS、IDS