HCNP 第十一章 防火墙UTM技术V2.0

••Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.第十一章防火墙UTM技术Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page2目标学完本课程后，您将能够:了解防火墙UTM技术产生的背景；理解防火墙UTM特性；掌握防火墙UTM特性配置。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3目录1.防火墙UTM技术产生背景2.防火墙UTM特性介绍3.防火墙UTM特性配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4网络威胁的现状现在大多数病毒等网络威胁不再单纯地攻击电脑系统，而是被黑客攻击和不法分子利用，成为他们获取利益的工具。因此，传统的电脑病毒等网络威胁，正在向由利益驱动的、全面的网络威胁发展变化。网络安全威胁分析黑客入侵拒绝服务攻击病毒及恶意软件个人安全意识薄弱Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page5网络黑客、企业内部恶意员工利用系统及软件的漏洞，入侵服务器，严重威胁企业关键业务数据的安全。黑客入侵核心交换机邮件服务器数据服务器Web服务器路由器黑客恶意员工蠕虫蠕虫入侵Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page6拒绝服务攻击威胁总部机构僵尸网络SMURF…正常网络用户SYNFloodUDPFlood僵尸网络僵尸网络ICMPFloodCC攻击僵尸网络僵尸网络Internet以经济利益为目的的DDOS攻击不断威胁着企业正常运营，且攻击造成的危害越来越严重。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7随着企业业务拓展，更多业务应用依赖于IT信息系统来完成。在业务运行过程中，不断面临着病毒、木马、间谍软件等的严重威胁。病毒及恶意软件安全威胁核心交换机邮件服务器数据服务器Web服务器路由器间谍软件木马病毒病毒Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page8个人安全意识薄弱带来的威胁暴力网站P2P合法网站色情网站InternetIMIMIMP2P访问网站IMP2P企业内网P2P、IM滥用、访问非法网站等行为给企业带宽、运营效率带来严重影响。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page9安全威胁正由单纯的网络威胁向应用与数据安全威胁演进安全问题带来的影响随着应用的推广变得更加广泛和难以控制网络安全发展趋势融合一体化交换路由防火墙物理层应用层数据/业务传输层网络层链路层会话/表示层2000200419962009DoSDDoS网络蠕虫冲击波文件病毒BotNet钓鱼网络病毒VPNIPSAVCopyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page10实现内容安全“全面保护”网络攻击、DoS攻击→←网络攻击、DoS攻击对外威胁蠕虫、病毒、攻击→病毒、木马、间谍→非法网站、钓鱼、P2P→UTM对内威胁←IM、P2P←病毒、木马←蠕虫、病毒Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page11目录1.防火墙UTM技术产生背景2.防火墙UTM特性介绍2.1入侵检测与防御技术2.2网关防病毒技术3.防火墙UTM特性配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12什么是入侵？入侵是指未经授权而尝试访问信息系统资源、窜改信息系统中的数据，使信息系统不可靠或不能使用的行为；入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。问题1:病毒是入侵行为么？问题2:网络钓鱼是入侵行为么？Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page13入侵检测及入侵检测系统入侵检测（ID，IntrusionDetection）通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，它是一种积极的和动态的安全防御技术；入侵检测的内容涵盖了授权的和非授权的各种入侵行为。入侵检测系统（IDS，IntrusionDetectionSystem）用于入侵检测的所有软硬件系统；发现有违反安全策略的行为或系统存在被攻击的痕迹，立即启动有关安全机制进行应对。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page14入侵检测系统在安全体系中的位置监视器入侵检测系统保安员扫描器、漏洞查找安全传输加密、VPN门禁系统身份认证、访问控制监控室安全管理中心加固的房间系统加固、免疫门防火墙Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page15入侵防御系统入侵防御系统（IPS，IntrusionPreventionSystem）发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一IPS在网络中一般有两种部署方式Inline:串接在网络边界，在线部署，在线阻断。直路SPAN:接在交换机上，通过交换机做端口镜像。TAP:通过专用的流量镜像设备，部署在网络边界。旁路Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page16入侵防御系统技术特点IntrusionPreventionSystem在线模式深度报文检测DPI自定义规则自学习及自适应16实时阻断Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page17目录1.防火墙UTM技术产生背景2.防火墙UTM特性介绍2.1入侵检测与防御技术2.2网关防病毒技术3.防火墙UTM特性配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page18计算机病毒基本概念计算机病毒编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（ComputerVirus）。恶意代码一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page19病毒、蠕虫和木马项目病毒蠕虫木马存在形式寄生独立个体有寄生性复制机制插入宿主程序中自身拷贝不自我复制传染性宿主程序运行系统存在漏洞依据载体或功能传染目标主要是针对本地文件针对网络上其它计算机肉机或僵尸触发机制计算机使用者程序自身远程控制影响重点文件系统网络性能、系统性能信息窃取或拒绝服务防治措施从宿主程序中摘除为系统打补丁(Patch)防止木马植入Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page20网关防病毒主要实现方式代理扫描方式将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测。流扫描方式依赖于状态检测技术以及协议解析技术，简单的提取文件的特征与本地签名库进行匹配。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page21网关防病毒典型技术文件识别技术脱壳技术解压技术静态识别技术动态虚拟机技术ScansfilesCopyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page22目录1.防火墙UTM技术产生背景2.防火墙UTM特性介绍3.防火墙UTM特性配置3.1UTM基础配置3.2入侵检测与防御配置3.3网关防病毒配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page23UTM基础配置在使用防火墙UTM功能前，需要首先完成以下基础配置：申请并激活license升级知识库、病毒库启用UTM功能Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page24License申请流程Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page25激活license操作进入“系统维护License管理”，激活License。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page26通过安全服务中心在线升级通过内网升级服务器在线升级升级方式选择——在线升级内部网络防火墙UTM安全服务中心DMZ内部升级服务器②①①②④③Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page27升级方式选择——本地升级Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page281.选择“UTM基本配置基本配置”。2.选中“启用”前的复选框，启用UTM功能3.单击“应用”。4.选择“保存配置并重启”或“直接重启”，单击“确定”。注意：启用/禁用UTM需要重启设备，所以请选择在业务量较低的时间进行操作。启动UTM功能Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page29目录1.防火墙UTM技术产生背景2.防火墙UTM特性介绍3.防火墙UTM特性配置3.1UTM基础配置3.2入侵检测与防御配置3.3网关防病毒配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page30入侵防御配置思路配置IPS全局参数新建IPS策略配置IPS签名集应用IPS策略Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page31IPS全局设置全局启用UTM功能全局启用IPS功能Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page32创建IPS策略新建IPS策略命名IPS策略，可以凸显策略的特点点击应用，使名称生效，并继续后续配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page33创建签名集点击创建签名集以进行签名的筛选Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page34签名集详细配置配置