欢迎来到天天文库
浏览记录
ID:42716959
大小:5.12 MB
页数:49页
时间:2019-09-21
《第12章 安全设备规》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第12章安全设备规划与配置主讲人刘晓辉本章内容31安全设备规划与配置3233网络安全设计配置安全设备12.1安全设备规划与配置13.1.1案例情景13.1.2项目需求13.1.3解决方案网关安全——网络防火墙局部安全——IDS全网安全防护——IPS12.2网络安全设计12.2.1网络防火墙设计12.2.2入侵检测系统设计12.2.3入侵防御系统设计12.2.4综合安全设计12.2.1网络防火墙设计内部网络与Internet的连接之间连接局域网和广域网内部网络不同部门之间的连接用户与中心服务器之间的连接内部网络与Inte
2、rnet的连接之间DMZ区域外部区域内部区域连接局域网和广域网DMZ区内部网络外部网络存在边界路由器网络连接:连接局域网和广域网无边界路由器的网络连接:DMZ区内部网络外部网络内部网络不同部门之间的连接被保护网络用户与中心服务器之间的连接每台服务器单独配置独立的防火墙配置虚拟网络防火墙根据实施方式的不同分类:核心交换机防火墙模块12.2.2入侵检测系统设计IDS位置IDS与防火墙联动IDS位置IDS在交换式网络中一般选择如下位置:尽可能靠近攻击源;尽可能靠近受保护资源。这些位置通常在如下位置:服务器区域的交换机上;In
3、ternet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。核心交换机IDS服务器IDS与防火墙联动核心交换机IDS服务器防火墙IDS与防火墙联动TCP重置的缺陷:只对TCP连接起作用。IDS向攻击者和受害者发送TCPReset命令,IDS必须在40亿字节的范围内猜测到达受害者时的序列号数,以关闭连接。这种方法在实际上是不可实现的。即使IDS最终猜测到了到达受害者的序列号,关闭了连接,攻击实际上已经对受害者产生了作用。IDS与防火墙联动IDS与防火墙联动的缺点:使用和设置上复杂,影响FW的稳定性与性能。阻
4、断来自源地址的流量,不能阻断连接或单个数据包。黑客盗用合法地址发起攻击,造成防火墙拒绝来自该地址的合法访问。可靠性差,实际环境中没有实用价值。12.2.3入侵防御系统设计路由防护交换防护多链路防护混合防护路由防护交换防护多链路防护混合防护12.2.4综合安全设计知识链接网络防火墙——CiscoPIX和ASAIDS与IPS比较部署位置不同。检测方式不同。处理攻击的方式不同。12.3配置安全设备12.3.1CiscoASA连接策略12.3.2CiscoASDM初始化12.3.3网络设备集成化管理12.3.4安全策略设置12
5、.3.5配置DMZ12.3.6管理安全设备12.3.1CiscoASA连接策略安全Internet连接:CiscoASA私有网络路由器Internet12.3.1CiscoASA连接策略虚拟网络防火墙:12.3.1CiscoASA连接策略发布网络服务器:12.3.1CiscoASA连接策略VPN远程安全访问:12.3.1CiscoASA连接策略站点VPN:12.3.1CiscoASA连接策略CiscoASA典型应用:12.3.2CiscoASDM初始化安装前的准备第1步,获得一个DES许可证或3DES-AES许可证。第
6、2步,在Web浏览器启用JavaandJavascript。第3步,搜集下列信息:在网络中能够识别自适应安全设备的主机名。外部接口、内部接口和其他接口的IP地址信息。用于NAT或PAT配置的IP地址信息。DHCP服务器的IP地址范围。使用StartupWizard12.3.3网络设备集成化管理对于CiscoAIP-SSM的全面管理服务虚拟化安全服务的世界级管理12.3.4安全策略设置在安全策略设置上,通常包括以下几种设置:内到外全部允许,外到内全部拒绝。内到外和外到内都要做ACL控制、映射、NAT。设置IPS
7、ec、L2TP、SSLVPN。12.3.5配置DMZ运行ASDM为NAT创建IP地址池为外部端口指定IP地址池配置内部客户端访问DMZ区的Web服务器配置内部客户端访问Internet为Web服务器配置外部ID允许Internet用户访问DMZ的Web服务12.3.5配置DMZWeb服务器连接至安全设备的DMZ接口。HTTP客户端位于私有网络,可以访问位于DMZ中的Web服务器,并且可以访问Internet中的设备。Internet中的HTTP客户端允许访问DMZ区的Web服务器,除此之外的其他所有的通信都被禁止。网络
8、有2个可路由的IP地址可以被公开访问:安全设备外部端口的IP地址为209.165.200.225,DMZ中Web服务器的公开IP地址为209.165.200.226。运行ASDM运行ASDM为NAT创建IP地址池为外部端口指定IP地址池配置内部客户端访问DMZ区的Web服务器配置内部客户端访问Internet借助NAT规则,可以实
此文档下载收益归作者所有