安全设备规划与配置ppt课件

安全设备规划与配置,本章内容,安全设备规划与配置,网络安全设计,配置安全设备,12.1 安全设备规划与配置,13.1.1 案例情景 13.1.2 项目需求 13.1.3 解决方案,网关安全网络防火墙 局部安全IDS 全网安全防护IPS,12.2 网络安全设计,12.2.1 网络防火墙设计 12.2.2 入侵检测系统设计 12.2.3 入侵防御系统设计 12.2.4 综合安全设计,12.2.1 网络防火墙设计,内部网络与Internet的连接之间 连接局域网和广域网 内部网络不同部门之间的连接 用户与中心服务器之间的连接,内部网络与Internet的连接之间,连接局域网和广域网,存在边界路由器网络连接：,连接局域网和广域网,无边界路由器的网络连接：,DMZ区,内部网络,外部网络,内部网络不同部门之间的连接,用户与中心服务器之间的连接,每台服务器单独配置独立的防火墙 配置虚拟网络防火墙,根据实施方式的不同分类：,核心交换机 防火墙模块,12.2.2 入侵检测系统设计,IDS位置 IDS与防火墙联动,IDS位置,IDS在交换式网络中一般选择如下位置： 尽可能靠近攻击源； 尽可能靠近受保护资源。,这些位置通常在如下位置： 服务器区域的交换机上； Internet接入路由器之后的第一台交换机上； 重点保护网段的局域网交换机上。,IDS与防火墙联动,IDS与防火墙联动,TCP重置的缺陷： 只对TCP连接起作用。 IDS向攻击者和受害者发送TCP Reset命令，IDS必须在40亿字节的范围内猜测到达受害者时的序列号数，以关闭连接。这种方法在实际上是不可实现的。 即使IDS最终猜测到了到达受害者的序列号，关闭了连接，攻击实际上已经对受害者产生了作用。,IDS与防火墙联动,IDS与防火墙联动的缺点： 使用和设置上复杂，影响FW的稳定性与性能。 阻断来自源地址的流量，不能阻断连接或单个数据包。 黑客盗用合法地址发起攻击，造成防火墙拒绝来自该地址的合法访问。 可靠性差，实际环境中没有实用价值。,12.2.3 入侵防御系统设计,路由防护 交换防护 多链路防护 混合防护,路由防护,交换防护,多链路防护,混合防护,12.2.4 综合安全设计,知识链接,网络防火墙Cisco PIX和ASA IDS与IPS比较,部署位置不同。 检测方式不同。 处理攻击的方式不同。,12.3 配置安全设备,12.3.1 Cisco ASA连接策略 12.3.2 Cisco ASDM初始化 12.3.3 网络设备集成化管理 12.3.4 安全策略设置 12.3.5 配置DMZ 12.3.6 管理安全设备,12.3.1 Cisco ASA连接策略,安全Internet连接：,Cisco ASA,私有网络,路由器,Internet,12.3.1 Cisco ASA连接策略,虚拟网络防火墙：,12.3.1 Cisco ASA连接策略,发布网络服务器：,12.3.1 Cisco ASA连接策略,VPN远程安全访问：,12.3.1 Cisco ASA连接策略,站点VPN：,12.3.1 Cisco ASA连接策略,Cisco ASA典型应用：,12.3.2 Cisco ASDM初始化,安装前的准备 第1步，获得一个DES许可证或3DES-AES许可证。 第2步，在Web浏览器启用Java and Javascript。 第3步，搜集下列信息：, 在网络中能够识别自适应安全设备的主机名。 外部接口、内部接口和其他接口的IP地址信息。 用于NAT或PAT配置的IP地址信息。 DHCP服务器的IP地址范围。 使用Startup Wizard,12.3.3 网络设备集成化管理,对于Cisco AIP-SSM的全面管理服务 虚拟化安全服务的世界级管理,12.3.4 安全策略设置,在安全策略设置上，通常包括以下几种设置：,内到外全部允许，外到内全部拒绝。 内到外和外到内都要做ACL控制、映射、NAT。 设置IPSec、L2TP、SSL VPN。,12.3.5 配置DMZ,运行ASDM 为NAT创建IP地址池 为外部端口指定IP地址池 配置内部客户端访问DMZ区的Web服务器 配置内部客户端访问Internet 为Web服务器配置外部ID 允许Internet用户访问DMZ的Web服务,12.3.5 配置DMZ,Web服务器连接至安全设备的DMZ接口。 HTTP客户端位于私有网络，可以访问位于DMZ中的Web服务器，并且可以访问Internet中的设备。,Internet中的HTTP客户端允许访问DMZ区的Web服务器，除此之外的其他所有的通信都被禁止。 网络有2个可路由的IP地址可以被公开访问：安全设备外部端口的IP地址为25，DMZ中Web服务器的公开IP地址为26。,运行ASDM,运行ASDM,为NAT创建IP地址池,为外部端口指定IP地址池,配置内部客户端访问DMZ区的Web服务器,配置内部客户端访问Internet,借助NAT规则，可以实现内部客户端对DMZ区中Web服务器的访问。当然，借助NAT规则也应当能够实现内部客户端对Internet的访问。不过，管理员无需再创建任何规则，因为IP地址池包括了2种需要转换的地址，即DMZ接口使用的IP地址，和外部接口使用的IP地址。,为Web服务器配置外部ID,允许Internet用户访问DMZ的Web服务,12.3.6 管理安全设备,监视安全设备运行状态 查看和分析网络流量 查看和分析系统日志 安全监控工具,监视安全设备运行状态,查看和分析网络流量,查看和分析系统日志,安全监控工具,监控工具 系统图 连接图 攻击保护系统图 接口图 VPN统计和连接图,习题,1. 企业网络中常用的安全设备有哪些？主要应用在网络中的哪些位置？ 2. 简述IPS的主要功能。 3. 简述Cisco ASA些列产品有的功能特点。 4. 什么是DMZ，如何通过Cisco ASA防火墙配置DMZ？,实验：设计安全企业网络,实验目的 掌握常用安全网络设备的部署与应用。 实验内容 设计一个简单的企业网络，分别将网络防火墙、IPS、IDS等设