本章内容
31 安全设备规划与配置
32
33
网络安全设计
配置安全设备
安全设备规划与配
置
案例情景
项目需求
解决方案
网网关关安全安全————网网络络防火防火墙墙
局部安全局部安全——IDS——IDS
全网安全防全网安全防护护——IPS——IPS
网络安全设计
网络防火墙
设计
入侵检测系
统设计
入侵防御系
统设计
综合安全设
计
网络防火墙设计
内部网络与Internet的
连接之间
连接局域网和广域网
内部网络不同部门之
间的连接
用户与中心服务器之
间的连接
内部网络与Internet的连
接之间
DMZ区域
外部区域
内部区域
连接局域网和广域网
DMZ区
内部网络
外部网络
存在边界路由器网络连接:
连接局域网和广域网
无边界路由器的网络连接:
DMZ区
内部网络
外部网络
内部网络不同部门之间
的连接
被保护网络
用户与中心服务器之间
的连接
每台服务器单独配置独立的防火墙
配置虚拟网络防火墙
根据实施方式的不同分类:
核心交换机
防火墙模块
入侵检测系统设
计
IDS位置
IDS与防火墙联动
IDS位置
IDSIDS在交换式网络中一般选择如下位置:在交换式网络中一般选择如下位置:
尽可能靠近攻击源;尽可能靠近攻击源;
尽可能靠近受保护资源。尽可能靠近受保护资源。
这些位置通常在如下位置:这些位置通常在如下位置:
服务器区域的交换机上;服务器区域的交换机上;
InternetInternet接入路由器之后的第接入路由器之后的第
一台交换机上;一台交换机上;
重点保护网段的局域网交换机重点保护网段的局域网交换机
上。上。
核心交换机
IDS
服务器
IDS与防火墙联动
核心交换机
IDS
服务器
防火墙
IDS与防火墙联动
TCP重置的缺陷:
只对TCP连接起作用。
IDS向攻击者和受害者发送TCP Reset命令,IDS必须在40亿字
节的范围内猜测到达受害者时的序列号数,以关闭连接。这
种方法在实际上是不可实现的。
即使IDS最终猜测到了到达受害者的序列号,关闭了连接,攻
击实际上已经对受害者产生了作用。
IDS与防火墙联动
IDS与防火墙联动的缺点:
使用和设置上复杂,影响FW的稳定性与性能。
阻断来自源地址的流量,不能阻断连接或单个数据包。
黑客盗用合法地址发起攻击,造成防火墙拒绝来自该地址的合
法访问。
可靠性差,实际环境中没有实用价值。
入侵防御系统设
计
路由防护
交换防护
多链路防护
混合防护
路由防护
交换防护
多链路防护
混合防护
综合安全设计
知识链接
网络防火墙——Cisco
PIX和ASA
IDS与IPS比较
部署位置不同。
检测方式不同。
处理攻击的方式不同。
配置安全设备
Cisco Cisco ASA连连接策略接策略
Cisco Cisco ASDM初始化初始化
网网络设备络设备集成化管理集成化管理
安全策略安全策略设设置置
配置配置DMZDMZ
管理安全管理安全设备设备
Cisco ASA连接策
略
安全Internet连接:
Cisco ASA
私有网络
路由器
Internet
Cisco ASA连接策
略
虚拟网络防火墙:
Cisco ASA连接策
略
发布网络服务器:
Cisco ASA连接策
略
VPN远程安全访问:
Cisco ASA连接策
略
站点VPN:
Cisco ASA连接策
略
Cisco ASA典型应用:
Cisco ASDM初始
化
安装前的准备
第第11步,获得一个步,获得一个DESDES许可证或许可证或3DES-AES3DES-AES许许
可证。可证。
第第22步,在步,在WebWeb浏览器启用浏览器启用Java and JavascriptJava and Javascript。。
第第33步,搜集下列信息:步,搜集下列信息:
在网络中能够识别自适应安全设备的主机名。在网络中能够识别自适应安全设备的主机名。
外部接口、内部接口和其他接口的外部接口、内部接口和其他接口的IPIP地址信息。地址信息。
用于用于NATNAT或或PATPAT配置的配置的IPIP地址信息地址信息。。
DHCPDHCP服务器的服务器的IPIP地址范围。地址范围。
使用使用Startup WizardStartup Wizard
网络设备集成化
管理
对于Cisco AIP-SSM的全面管理服务
虚拟化安全服务的世界级管理
安全策略设置
在安全策略设置上,通常包括以下几种设置:
内到外全部允许,外到内全部拒绝。
内到外和外到内都要做ACL控制、映射、NAT。
设置IPSec、L2TP、SSL VPN。
配置DMZ
运行运行ASDMASDM
为为NATNAT创建创建IPIP地址池地址池
为外部端口指定为外部端口指定IPIP地址池地址池
配置内部客户端访问配置内部客户端访问DMZDMZ区的区的WebWeb服务服务
器器
配置内部客户端访问配置内部客户端访问InternetInternet
为为WebWeb服务器配置外部服务器配置外部IDID
允许允许InternetInternet用户访问用户访问DMZDMZ的的WebWeb服务服务
配置DMZ
WebWeb服务器连接至安全设备的服务器连接至安全设备的DMZDMZ接口。接口。
HTTPHTTP客户端位于私有网络,可以访问位于客户端位于私有网络,可以访问位于DMZDMZ
中的中的WebWeb服务器,并且可以访问服务器,并且可以访问InternetInternet中的设备。中的设备。
InternetInternet中的中的HTTPHTTP客户端客户端
允许访问允许访问DMZDMZ区的区的WebWeb
服务器,除此之外的其他服务器,除此之外的其他
所有的通信都被禁止。所有的通信都被禁止。
网络有网络有22个可路由的个可路由的IPIP地地
址可以被公开访问:安全址可以被公开访问:安全
设备外部端口的设备外部端口的IPIP地址为地址为
,,DMZDMZ中中
WebWeb服务器的公开服务器的公开IPIP地址地址
为为。。
运行ASDM
运行ASDM
为NAT创建IP地址池
为外部端口指定IP地址
池
配置内部客户端访问配置内部客户端访问DMZDMZ区的区的WebWeb服务器服务器
配置内部客户端访问
Internet
借助NAT规则,可以实现内部客户端对DMZ
区中Web服务器的访问。当然,借助NAT规则也应当
能够实现内部客户端对Internet的访问。不过,管理员
无需再创建任何规则,因为IP地址池包括了2种需要转
换的地址,即DMZ接口使用的IP地址,和外部接口使
用的IP地址。
为Web服务器配置外部
ID
允许允许InternetInternet用户访问用户访问DMZDMZ的的WebWeb服务服务
管理安全设备
监视安全设备运行状
态
查看和分析网络流量
查看和分析系统日志
安全监控工具
监视安全设备运行状态
查看和分析网络流量
查看和分析系统日志
安全监控工具
监控工具
系统图
连接图
攻击保护系统图
接口图
VPN统计和连接图
习题
1. 企业网络中常用的安全设备有哪些?主要应用在网络
中的哪些位置?
2. 简述IPS的主要功能。
3. 简述Cisco ASA些列产品有的功能特点。
4. 什么是DMZ,如何通过Cisco ASA防火墙配置DMZ?