第12章安全设备规划与配置

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第12章安全设备规划与配置主讲人刘晓辉本章内容31安全设备规划与配置3233网络安全设计配置安全设备12.1安全设备规划与配置13.1.1案例情景13.1.2项目需求13.1.3解决方案网关安全——网络防火墙局部安全——IDS全网安全防护——IPS12.2网络安全设计12.2.1网络防火墙设计12.2.2入侵检测系统设计12.2.3入侵防御系统设计12.2.4综合安全设计12.2.1网络防火墙设计内部网络与Internet的连接之间连接局域网和广域网内部网络不同部门之间的连接用户与中心服务器之间的连接内部网络与Internet的连接之间DMZ区域外部区域内部区域连接局域网和广域网DMZ区内部网络外部网络存在边界路由器网络连接:连接局域网和广域网无边界路由器的网络连接:DMZ区内部网络外部网络内部网络不同部门之间的连接被保护网络用户与中心服务器之间的连接每台服务器单独配置独立的防火墙配置虚拟网络防火墙根据实施方式的不同分类:核心交换机防火墙模块12.2.2入侵检测系统设计IDS位置IDS与防火墙联动IDS位置IDS在交换式网络中一般选择如下位置:尽可能靠近攻击源;尽可能靠近受保护资源。这些位置通常在如下位置:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。核心交换机IDS服务器IDS与防火墙联动核心交换机IDS服务器防火墙IDS与防火墙联动TCP重置的缺陷:只对TCP连接起作用。IDS向攻击者和受害者发送TCPReset命令,IDS必须在40亿字节的范围内猜测到达受害者时的序列号数,以关闭连接。这种方法在实际上是不可实现的。即使IDS最终猜测到了到达受害者的序列号,关闭了连接,攻击实际上已经对受害者产生了作用。IDS与防火墙联动IDS与防火墙联动的缺点:使用和设置上复杂,影响FW的稳定性与性能。阻断来自源地址的流量,不能阻断连接或单个数据包。黑客盗用合法地址发起攻击,造成防火墙拒绝来自该地址的合法访问。可靠性差,实际环境中没有实用价值。12.2.3入侵防御系统设计路由防护交换防护多链路防护混合防护路由防护交换防护多链路防护混合防护12.2.4综合安全设计知识链接网络防火墙——CiscoPIX和ASAIDS与IPS比较部署位置不同。检测方式不同。处理攻击的方式不同。12.3配置安全设备12.3.1CiscoASA连接策略12.3.2CiscoASDM初始化12.3.3网络设备集成化管理12.3.4安全策略设置12.3.5配置DMZ12.3.6管理安全设备12.3.1CiscoASA连接策略安全Internet连接:CiscoASA私有网络路由器Internet12.3.1CiscoASA连接策略虚拟网络防火墙:12.3.1CiscoASA连接策略发布网络服务器:12.3.1CiscoASA连接策略VPN远程安全访问:12.3.1CiscoASA连接策略站点VPN:12.3.1CiscoASA连接策略CiscoASA典型应用:12.3.2CiscoASDM初始化安装前的准备第1步,获得一个DES许可证或3DES-AES许可证。第2步,在Web浏览器启用JavaandJavascript。第3步,搜集下列信息:在网络中能够识别自适应安全设备的主机名。外部接口、内部接口和其他接口的IP地址信息。用于NAT或PAT配置的IP地址信息。DHCP服务器的IP地址范围。使用StartupWizard12.3.3网络设备集成化管理对于CiscoAIP-SSM的全面管理服务虚拟化安全服务的世界级管理12.3.4安全策略设置在安全策略设置上,通常包括以下几种设置:内到外全部允许,外到内全部拒绝。内到外和外到内都要做ACL控制、映射、NAT。设置IPSec、L2TP、SSLVPN。12.3.5配置DMZ运行ASDM为NAT创建IP地址池为外部端口指定IP地址池配置内部客户端访问DMZ区的Web服务器配置内部客户端访问Internet为Web服务器配置外部ID允许Internet用户访问DMZ的Web服务12.3.5配置DMZWeb服务器连接至安全设备的DMZ接口。HTTP客户端位于私有网络,可以访问位于DMZ中的Web服务器,并且可以访问Internet中的设备。Internet中的HTTP客户端允许访问DMZ区的Web服务器,除此之外的其他所有的通信都被禁止。网络有2个可路由的IP地址可以被公开访问:安全设备外部端口的IP地址为209.165.200.225,DMZ中Web服务器的公开IP地址为209.165.200.226。运行ASDM运行ASDM为NAT创建IP地址池为外部端口指定IP地址池配置内部客户端访问DMZ区的Web服务器配置内部客户端访问Internet借助NAT规则,可以实现内部客户端对DMZ区中Web服务器的访问。当然,借助NAT规则也应当能够实现内部客户端对Internet的访问。不过,管理员无需再创建任何规则,因为IP地址池包括了2种需要转换的地址,即DMZ接口使用的IP地址,和外部接口使用的IP地址。为Web服务器配置外部ID允许Internet用户访问DMZ的Web服务12.3.6管理安全设备监视安全设备运行状态查看和分析网络流量查看和分析系统日志安全监控工具监视安全设备运行状态查看和分析网络流量查看和分析系统日志安全监控工具监控工具系统图连接图攻击保护系统图接口图VPN统计和连接图习题1.企业网络中常用的安全设备有哪些?主要应用在网络中的哪些位置?2.简述IPS的主要功能。3.简述CiscoASA些列产品有的功能特点。4.什么是DMZ,如何通过CiscoASA防火墙配置DMZ?实验:设计安全企业网络实验目的掌握常用安全网络设备的部署与应用。实验内容设计一个简单的企业网络,分别将网络防火墙、IPS、IDS等设备应用到网络中的不同位置。实验步骤1.设计网络环境,绘制简单的网络拓扑图。2.按照网络拓扑图连接网络设备。3.为网络设备分配IP地址,并通过客户端测试彼此之间的连通性。4.通过客户端观察网络设备的运行状态。5.调阅网络设备运行日志并进行分析。

1 / 49
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功