1、M14-1 提高园区网络行为控制与防御1.1 场景描述1.1.1 学习目的学生通过该能力模块的学习,能够独立完成整个园区网的行为控制内容和基本的防御能力。1.1.2 学习要求掌握:配置防火墙设备。掌握:配置 IDS 设备。理解:安全设备在网络中的角色。1.1.3 学习重点和难点1.学习重点配置防火墙设备:重点讲解防火墙的工作原理和种类。防火墙操作时候与路由器的区别。配置 IDS 设备:帮助学生理解 IDS 的工作原理。以及配置方法。2.学习难点防火墙与路由器的区别:学生往往很难理解两者从工作原理上的区别。1.2 知识准备1.2.1 防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和
2、外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立起一个安全网关(Security Gateway) ,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成,1.2.2 防火墙功能防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互
3、联网( 一个没有信任的区域 ) 和一个内部网络( 一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防
4、火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。1.2.3 IDSIDS 是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统” 。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,
5、以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。1.3 注意事项1、IDS 只能检测攻击,不能处理攻击;1.4 操作步骤1.4.1 配置防火墙设备第一步:配置防火墙基本参数如图 14-1 所示,配置各接口 IP 地址。图 14-1 接口配置配置好后的地址如图 14-2 所示:图 14-2 各接口 ip第二步:配置访问控制点击【安全策略】-【安全规则 】- 【添加】 。如图所示添加针对于经理和员工不同的访问规则。允许经理在任意时间访
6、问互联网和服务器。不允许员工在工作时间访问服务器上的其他资源。但是可以访问服务器的 web 和 ftp 资源。首先添加允许经理访问任意地点。图 14-3 允许经理访问任意地点接着添加只允许员工访问服务器的 web 服务。图 14-4 允许员工访问 web 服务添加允许员工访问 ftp 服务。图 14-5 允许员工访问 ftp 服务添加禁止员工访问服务器的其他资源。这里选择所有即可。因为防火墙是按照列表顺序进行应用的。所以这条会在上面两条之后应用。图 14-6 禁止访问其他服务最后再添加一条允许员工访问互联网的条目。图 14-7 允许访问互联网添加禁止其他任何访问。虽然这条理论上不添加也可以。但
7、是为了统计方便在这里还是添上。图 14-8 拒绝所有全部添加完成后的结果如图 14-9 所示:图 14-9 访问规则汇总第三步:配置防火墙 URL 过滤首先添加一条访问互联网的默认路由。点击【网络配置】-【策略路由】- 【添加】如图所示添加默认路由图 14-10 添加默认路由创建对于经理的 NAT 规则。图 14-11 创建经理 NAT配置需要过滤的 URL 列表。用于禁止员工在工作时间上娱乐网站。点击【对象定义】-【URL 列表】 点击添加。如图 14-12 所示添加要过滤的网站列表。图 14-12 创建过滤列表创建对于员工的 NAT 列表,并应用上面创建的 URL 过滤列表。图 14-13
8、 应用过滤列表至此完整的配置结果如图 14-14 所示:图 14-14 应用后结果第四步:配置防火墙主机保护修改员工与经理的访问规则,添加上保护主机功能和保护服务功能,用来保护内网服务器。图 14-15 配置主机保护所有针对服务器的访问规则都打开保护主机服务与保护服务功能后,结果如图 14-16 所示:图 14-16 配置主机保护后1.4.2 配置 IDS 设备第一步:配置传感器连接到 IDS Sensor 的串口,输入管理员密码后进入到管理菜单,选择【Configure networking】:图 14-17 IDS Sensor查看管理接口地址是否为 192.168.0.254,管理地址是
9、否为 192.168.0.253。如果不是则改正。如果是,则退出登录。第二步:派生策略在 IDS 控制台界面中,点击【 策略】按钮,然后右键单击名为“Engine_Inside_Firewall”的策略,然后选择【编辑锁定 】:图 14-18 编辑策略再次右键单击名为“Engine_Inside_Firewall”的策略,然后选择【派生策略】:图 14-19 派生策略输入策略的名称,这里我们使用“IDS_Sensor”:图 14-20 策略命名对派生的策略进行编辑,我们启用【tcp】的所有签名,然后单击页面中的 【保存策略】按钮:图 14-21 编辑策略单击界面中的【组件】按钮,然后右键单击
10、IDS Sensor 组件,选择【应用策略】:图 14-22 应用策略选择刚刚创建的策略【IDS_Sensor】 ,然后单击【应用】按钮:图 14-23 应用策略应用策略后,界面会显示正在将策略发送到 IDS Sensor:图 14-24 应用过程此处要注意的是,这里应用了所有的可捕获的策略。目的是为了方便查看网络中存在的威胁。如果只想 IDS 集中精力检测某些特定威胁的话。只需要在派生策略时使用相应的策略即可。另外,注意还要在交换机上进行端口镜像的操作。将可能带来威胁流量的端口都镜像到 IDS 的连接口 MON 口上。1.5 拓展知识1.5.1 防火墙发展史第一代防火墙 第一代防火墙技术几乎
11、与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。第二、三代防火墙 1989 年,贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙应用层防火墙(代理防火墙)的初步结构。 第四代防火墙 1992 年,USC 信息科学院的 BobBraden 开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994 年,以色列的 CheckPoint 公司开发出了
12、第一个采用这种技术的商业化的产品。第五代防火墙 1998 年,NAI 公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品 Gauntlet Firewall for NT 中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。 一体化安全网关 UTM随着万兆 UTM 的出现,UTM 代替防火墙的趋势不可避免。在国际上,飞塔公司高性能的UTM 占据了一定的市场份额,国内,启明星辰的高性能 UTM 则一直领跑国内市场。1.5.2 防火墙工作原理防火墙就是一种过滤塞(目前你这么理解不算错) ,你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界
13、里,要由防火墙过滤的就是承载通信数据的通信包。 防火墙至少都会说两个词:Yes 或者 No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的 TCP/IP 协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如 SMTP 或者 HTTP 协议等) 。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙
14、的数据包,决定放行还是把他们扔到一边。1.5.3 入侵检测的原理入侵检测可分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,他们根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。1.6 课后实训和练习1如果你是某企业的网络管理员,企业新购进了一些网络安全设备。像防火墙、IDS。要求你将它们放在相应的网络位置,以提高网络的整体安全性。你该怎么做?
