1、安全设备规划与配置,本章内容,安全设备规划与配置,网络安全设计,配置安全设备,12.1 安全设备规划与配置,13.1.1 案例情景 13.1.2 项目需求 13.1.3 解决方案,网关安全网络防火墙 局部安全IDS 全网安全防护IPS,12.2 网络安全设计,12.2.1 网络防火墙设计 12.2.2 入侵检测系统设计 12.2.3 入侵防御系统设计 12.2.4 综合安全设计,12.2.1 网络防火墙设计,内部网络与Internet的连接之间 连接局域网和广域网 内部网络不同部门之间的连接 用户与中心服务器之间的连接,内部网络与Internet的连接之间,连接局域网和广域网,存在边界路由器网
2、络连接:,连接局域网和广域网,无边界路由器的网络连接:,DMZ区,内部网络,外部网络,内部网络不同部门之间的连接,用户与中心服务器之间的连接,每台服务器单独配置独立的防火墙 配置虚拟网络防火墙,根据实施方式的不同分类:,核心交换机 防火墙模块,12.2.2 入侵检测系统设计,IDS位置 IDS与防火墙联动,IDS位置,IDS在交换式网络中一般选择如下位置:尽可能靠近攻击源; 尽可能靠近受保护资源。,这些位置通常在如下位置:服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。,IDS与防火墙联动,IDS与防火墙联动,TCP重置的缺陷:只对TCP
3、连接起作用。 IDS向攻击者和受害者发送TCP Reset命令,IDS必须在40亿字节的范围内猜测到达受害者时的序列号数,以关闭连接。这种方法在实际上是不可实现的。 即使IDS最终猜测到了到达受害者的序列号,关闭了连接,攻击实际上已经对受害者产生了作用。,IDS与防火墙联动,IDS与防火墙联动的缺点:使用和设置上复杂,影响FW的稳定性与性能。 阻断来自源地址的流量,不能阻断连接或单个数据包。 黑客盗用合法地址发起攻击,造成防火墙拒绝来自该地址的合法访问。 可靠性差,实际环境中没有实用价值。,12.2.3 入侵防御系统设计,路由防护 交换防护 多链路防护 混合防护,路由防护,交换防护,多链路防护
4、,混合防护,12.2.4 综合安全设计,知识链接,网络防火墙Cisco PIX和ASAIDS与IPS比较,部署位置不同。 检测方式不同。 处理攻击的方式不同。,12.3 配置安全设备,12.3.1 Cisco ASA连接策略 12.3.2 Cisco ASDM初始化 12.3.3 网络设备集成化管理 12.3.4 安全策略设置 12.3.5 配置DMZ 12.3.6 管理安全设备,12.3.1 Cisco ASA连接策略,安全Internet连接:,Cisco ASA,私有网络,路由器,Internet,12.3.1 Cisco ASA连接策略,虚拟网络防火墙:,12.3.1 Cisco AS
5、A连接策略,发布网络服务器:,12.3.1 Cisco ASA连接策略,VPN远程安全访问:,12.3.1 Cisco ASA连接策略,站点VPN:,12.3.1 Cisco ASA连接策略,Cisco ASA典型应用:,12.3.2 Cisco ASDM初始化,安装前的准备第1步,获得一个DES许可证或3DES-AES许可证。第2步,在Web浏览器启用Java and Javascript。第3步,搜集下列信息:, 在网络中能够识别自适应安全设备的主机名。 外部接口、内部接口和其他接口的IP地址信息。 用于NAT或PAT配置的IP地址信息。 DHCP服务器的IP地址范围。 使用Startup
6、 Wizard,12.3.3 网络设备集成化管理,对于Cisco AIP-SSM的全面管理服务虚拟化安全服务的世界级管理,12.3.4 安全策略设置,在安全策略设置上,通常包括以下几种设置:,内到外全部允许,外到内全部拒绝。 内到外和外到内都要做ACL控制、映射、NAT。 设置IPSec、L2TP、SSL VPN。,12.3.5 配置DMZ,运行ASDM 为NAT创建IP地址池 为外部端口指定IP地址池 配置内部客户端访问DMZ区的Web服务器 配置内部客户端访问Internet 为Web服务器配置外部ID 允许Internet用户访问DMZ的Web服务,12.3.5 配置DMZ,Web服务器
7、连接至安全设备的DMZ接口。 HTTP客户端位于私有网络,可以访问位于DMZ中的Web服务器,并且可以访问Internet中的设备。,Internet中的HTTP客户端允许访问DMZ区的Web服务器,除此之外的其他所有的通信都被禁止。 网络有2个可路由的IP地址可以被公开访问:安全设备外部端口的IP地址为209.165.200.225,DMZ中Web服务器的公开IP地址为209.165.200.226。,运行ASDM,运行ASDM,为NAT创建IP地址池,为外部端口指定IP地址池,配置内部客户端访问DMZ区的Web服务器,配置内部客户端访问Internet,借助NAT规则,可以实现内部客户端对
8、DMZ区中Web服务器的访问。当然,借助NAT规则也应当能够实现内部客户端对Internet的访问。不过,管理员无需再创建任何规则,因为IP地址池包括了2种需要转换的地址,即DMZ接口使用的IP地址,和外部接口使用的IP地址。,为Web服务器配置外部ID,允许Internet用户访问DMZ的Web服务,12.3.6 管理安全设备,监视安全设备运行状态 查看和分析网络流量 查看和分析系统日志 安全监控工具,监视安全设备运行状态,查看和分析网络流量,查看和分析系统日志,安全监控工具,监控工具 系统图 连接图 攻击保护系统图 接口图 VPN统计和连接图,习题,1. 企业网络中常用的安全设备有哪些?主要应用在网络中的哪些位置? 2. 简述IPS的主要功能。 3. 简述Cisco ASA些列产品有的功能特点。 4. 什么是DMZ,如何通过Cisco ASA防火墙配置DMZ?,实验:设计安全企业网络,实验目的掌握常用安全网络设备的部署与应用。 实验内容设计一个简单的企业网络,分别将网络防火墙、IPS、IDS等设 备应用到网络中的不同位置。 实验步骤1. 设计网络环境,绘制简单的网络拓扑图。2. 按照网络拓扑图连接网络设备。3. 为网络设备分配IP地址,并通过客户端测试彼此之间的连通 性。4. 通过客户端观察网络设备的运行状态。5. 调阅网络设备运行日志并进行分析。,
