項目六-虛擬防火墻配置課件

1、虛擬防火墻配置（課時數(shù)：8課時）云安全防護技術(shù)主 要 內(nèi) 容1 任務(wù)1 虛擬防火墻安裝2 任務(wù)2 在虛擬防火墻上配置SNAT、DNAT策略3任務(wù)3 配置IPSec VPN4任務(wù)4 配置IPS入侵防御 5任務(wù)5 在公有云上部署虛擬防火墻任務(wù)1 虛擬防火墻安裝 【學(xué)習(xí)目標】【任務(wù)導(dǎo)入】【知識準備】【任務(wù)實施】一、【學(xué)習(xí)目標】 知識目標了解虛擬防火墻的作用理解虛擬防火墻的工作原理技能目標掌握虛擬防火墻的安裝二、【任務(wù)導(dǎo)入】 云計算為信息安全領(lǐng)域帶來了巨大的沖擊： （1） 在云平臺中運行的各類云應(yīng)用沒有固定不變的基礎(chǔ)設(shè)施,沒有固定不變的安全邊界,難以實現(xiàn)用戶數(shù)據(jù)安全與隱私保護； （2）云服務(wù)所涉及的資

2、源由多個管理者所有,存在利益沖突,無法統(tǒng)一規(guī)劃部署安全防護措施； （3）云平臺中數(shù)據(jù)與計算高度集中,安全措施必須滿足海量信息處理需求。二、【任務(wù)導(dǎo)入】 山石網(wǎng)科公司推出云界虛擬防火墻產(chǎn)品，它是基于下一代防火墻技術(shù)虛擬化產(chǎn)品：部署于租戶邊界或網(wǎng)絡(luò)邊界，關(guān)鍵業(yè)務(wù)或應(yīng)用前端，提供網(wǎng)絡(luò)邊界安全服務(wù)，解決不同完全域之間的訪問控制，以及網(wǎng)絡(luò)攻擊和入侵防御；不僅提供了傳統(tǒng)安全控制功能，還為虛擬專用云（VPC）租戶提供了更全面，更可靠的安全服務(wù)。三、【知識準備】-山石云界介紹 山石云界SG-6000-VM系列是專門為虛擬化環(huán)境設(shè)計的虛擬化網(wǎng)絡(luò)安全產(chǎn)品，以純軟件形態(tài)部署，適用于虛擬化云平臺，為用戶提供不同安全等

3、級應(yīng)用之間的安全隔離和安全防護。 其主要特性有： （1） 基于軟件、適合于虛擬化環(huán)境部署； （2） 擁有專業(yè) NGFW（下一代防火墻）安全防護功能； （3）結(jié)合云平臺的安全可視化管理； （4）提供公有云和私有云高性價比部署方案。四、【任務(wù)實施】 實訓(xùn)任務(wù)： 在VMware ESXi上安裝vFW虛擬機。四、【任務(wù)實施】 實訓(xùn)環(huán)境： 四、【任務(wù)實施】 實訓(xùn)步驟： 步驟1:新建虛擬機vFW步驟2:安裝云界虛擬防火墻任務(wù)2 在虛擬防火墻上配置SNAT、DNAT策略 【學(xué)習(xí)目標】【任務(wù)導(dǎo)入】【知識準備】【任務(wù)實施】一、【學(xué)習(xí)目標】 知識目標理解虛擬防火墻的工作原理了解組成虛擬防火墻的基本元素了解安全策略

4、規(guī)則了解虛擬防火墻的工作模式了解SNAT和DNAT的工作原理技能目標掌握虛擬防火墻的安裝技能目標掌握SNAT策略允許內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)的配置掌握DNAT策略允許互聯(lián)網(wǎng)用戶訪問內(nèi)部服務(wù)器的配置二、【任務(wù)導(dǎo)入】 網(wǎng)絡(luò)安全的建設(shè)目標包含以下內(nèi)容： （1） 保障內(nèi)部辦公網(wǎng)用戶安全便捷的訪問互聯(lián)網(wǎng)； （2）保障內(nèi)部辦公網(wǎng)絡(luò)資源受控合法的使用。三、【知識準備】-（一）網(wǎng)絡(luò)防火墻工作原理 防火墻作為一種網(wǎng)絡(luò)安全產(chǎn)品，通過控制進出網(wǎng)絡(luò)的流量，保護網(wǎng)絡(luò)的安全。防火墻的基本原理是通過分析數(shù)據(jù)包，根據(jù)已有的策略規(guī)則，允許或阻斷數(shù)據(jù)流量。除此之外，防火墻也具有連通網(wǎng)絡(luò)的功能，實現(xiàn)安全可信區(qū)域（內(nèi)部網(wǎng)絡(luò)）和不信任區(qū)域（

5、外部網(wǎng)絡(luò)）之間的橋接。 三、【知識準備】-（一）網(wǎng)絡(luò)防火墻工作原理 防火墻的基本功能:作為一個中心“遏制點”，將內(nèi)部網(wǎng)安全管理集中起來，所有的通信都經(jīng)過防火墻；只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量，屏蔽非法請求，防止越權(quán)訪問,并產(chǎn)生安全報警；能經(jīng)受得起對其自身的攻擊。 三、【知識準備】-（一）網(wǎng)絡(luò)防火墻工作原理 防火墻分類方法:根據(jù)采用的技術(shù)不同，可分為包過濾防火墻和代理服務(wù)防火墻；按照應(yīng)用對象的不同，可分為企業(yè)級防火墻與個人防火墻；依據(jù)實現(xiàn)的方法不同，又可分為軟件防火墻、硬件防火墻和專用防火墻。三、【知識準備】-（二）組成虛擬防火墻的基本元素 安全域；接口；虛擬交換機虛擬路由器策略虛擬防火墻各個元素之間

6、的綁定關(guān)系三、【知識準備】-（三）安全策略規(guī)則 屬于同一個安全域的兩個接口實現(xiàn)互訪；兩個二層接口所在的安全域?qū)儆谕籚Switch，實現(xiàn)接口互訪；兩個二層接口所在的安全域?qū)儆诓煌腣Swtich的，實現(xiàn)接口互訪；兩個三層接口所在的安全域?qū)儆谕籚Router，實現(xiàn)接口互訪；兩個三層接口所在的安全域從屬于不同的VRouter的，實現(xiàn)接口互訪；同一VRouter下的二層接口和三層接口，實現(xiàn)互訪。三、【知識準備】-（四）虛擬防火墻的工作模式 1.透明模式2.路由模式3.混合模式三、【知識準備】-（五）云界虛擬防火墻基本功能 配置安全域配置路由四、【任務(wù)實施】 實訓(xùn)任務(wù)： 1. 配置SNAT策略允許內(nèi)

7、網(wǎng)用戶訪問互聯(lián)網(wǎng) 2. 配置DNAT策略允許互聯(lián)網(wǎng)用戶訪問內(nèi)部服務(wù)器。四、【任務(wù)實施】 實訓(xùn)環(huán)境： 四、【任務(wù)實施】 實訓(xùn)步驟： 步驟1：在vFW-1云界虛擬防火墻中配置SNAT策略允許內(nèi)網(wǎng)用戶 訪問互聯(lián)網(wǎng)步驟2：在vFW-2虛擬防火墻中配置DNAT策略允許互聯(lián)網(wǎng)用戶 訪問內(nèi)部服務(wù)器任務(wù)3 配置IPSec VPN 【學(xué)習(xí)目標】【任務(wù)導(dǎo)入】【知識準備】【任務(wù)實施】一、【學(xué)習(xí)目標】 知識目標了解VPN基本概念理解IPSec VPN的工作原理技能目標 掌握虛擬防火墻IPSec VPN的配置二、【任務(wù)導(dǎo)入】 一般VPN所具備的優(yōu)點有以下幾點： （1）最小成本：無須購買軟件和專用線路覆蓋所有遠程用戶；（

8、2）責(zé)任共享：通過購買公用網(wǎng)的資源，部分維護責(zé)任遷移至更專業(yè)和有經(jīng)驗的服務(wù)提供商，從而降低維護成本；（3）安全性。這是VPN最基本的功能；（4）網(wǎng)絡(luò)服務(wù)質(zhì)量保障（QoS）；（5）可靠性：如果一個VPN節(jié)點壞了，不影響其它分點的VPN連接；（6）可擴展性：可以通過從互聯(lián)網(wǎng)申請更多的資源達到非常容易的擴展VPN,或者協(xié)商重構(gòu)VPN。 云界虛擬防火墻支持以下VPN功能：IPSec VPN、SSL VPN、L2TP VPN。本節(jié)重點介紹IPSEC VPN基本原理和配置。三、【知識準備】-（一）VPN（虛擬專用網(wǎng)）技術(shù) VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是

9、一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 目前VPN最常用到的協(xié)議有PPTP，L2TP和IPSec。三、【知識準備】-（二）IPSec VPN基礎(chǔ)概念 IPSec是為實現(xiàn)VPN功能而使用的協(xié)議。IPSec給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。該體系結(jié)構(gòu)包括認證頭協(xié)議（Authentication Header，簡稱為AH）、封裝安全負載協(xié)議（Encapsulating Security Payload，簡稱為ESP）、密鑰管理協(xié)議（Int

10、ernet Key Exchange，簡稱為IKE）和用于網(wǎng)絡(luò)認證及加密的一些算法等。 IPSec VPN基礎(chǔ)概念（1）安全聯(lián)盟（2）封裝方式（3）協(xié)商方式（4）引用IPSec VPN（5）配置IKE VPN四、【任務(wù)實施】 實訓(xùn)任務(wù)： 在vFW-1和vFW-2虛擬防火墻之間建立一個IPSec VPN。四、【任務(wù)實施】 實訓(xùn)環(huán)境： 四、【任務(wù)實施】 實訓(xùn)步驟： 步驟1：在vFW-1虛擬防火墻中配置IPSec VPN步驟2:在vFW-2虛擬防火墻中配置IPSec VPN任務(wù)4 配置IPS入侵防御 【學(xué)習(xí)目標】【任務(wù)導(dǎo)入】【知識準備】【任務(wù)實施】一、【學(xué)習(xí)目標】 知識目標了解入侵防御系統(tǒng)工作原理了

11、解入侵防御特征庫技能目標掌握入侵防御系統(tǒng)配置二、【任務(wù)導(dǎo)入】 入侵防御系統(tǒng)（Intrusion Prevention System）簡稱IPS，能夠?qū)崟r監(jiān)控多種網(wǎng)絡(luò)攻擊并根據(jù)配置對網(wǎng)絡(luò)攻擊進行阻斷等操作, 對那些被明確判斷為攻擊行為，會對網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進行檢測和防御，降低或是減免使用者對異常狀況的處理資源開銷，是一種側(cè)重于風(fēng)險控制的安全產(chǎn)品。應(yīng)用入侵防御系統(tǒng)的目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預(yù)防措施，先期阻止入侵，防患于未然。三、【知識準備】-（一）入侵防御系統(tǒng)工作原理 入侵防御系統(tǒng)（簡稱IPS）實現(xiàn)實時檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能

12、夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer 2(介質(zhì)訪問控制層)至Layer 7(應(yīng)用層)的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。三、【知識準備】-（二）入侵防御特征庫 入侵防御特征庫包含多種攻擊特征，當(dāng)前版本的特征庫包含的特征約有3000多條。特征根據(jù)協(xié)議進行分類，以特征ID作為特征的唯一標識。特征ID由兩部分構(gòu)成，分別為協(xié)議ID（第1位或者第1和第2位）和攻擊特征ID（后5位），例如ID“605001”中，“6”表示Telnet協(xié)議，“0500

13、1”表示攻擊特征ID。攻擊特征ID的第1位是“6”的為協(xié)議異常特征，其余為攻擊特征。協(xié)議ID協(xié)議協(xié)議ID協(xié)議協(xié)議ID協(xié)議協(xié)議ID協(xié)議1DNS7Other-TCP13TFTP19NetBIOS2FTP8Other-UDP14SNMP20DHCP3HTTP9IMAP15MySQL21LDAP4POP310Finger16MSSQL22VoIP5SMTP11SUNRPC17Oracle-6Telnet12NNTP18MSRPC-協(xié)議ID與協(xié)議的對應(yīng)關(guān)系四、【任務(wù)實施】 實訓(xùn)任務(wù)： 在vFW-1防火墻中配置入侵防御系統(tǒng)。四、【任務(wù)實施】 實訓(xùn)環(huán)境： 四、【任務(wù)實施】 實訓(xùn)步驟： 步驟1:IPS特征庫升

14、級步驟2:IPS配置步驟3:基于安全域綁定步驟4:基于策略綁定IPS任務(wù)5 在公有云上部署虛擬防火墻 【學(xué)習(xí)目標】【任務(wù)導(dǎo)入】【知識準備】【任務(wù)實施】一、【學(xué)習(xí)目標】 知識目標了解企業(yè)公有云的應(yīng)用理解虛擬專有云技能目標掌握虛擬防火墻在公有云上的部署二、【任務(wù)導(dǎo)入】 企業(yè)應(yīng)用公有云的優(yōu)勢：（1）企業(yè)可以按需從公有云租用和獲得相應(yīng)的計算資源與應(yīng)用服務(wù)；（2）企業(yè)通過互聯(lián)網(wǎng)方便快捷訪問公有云服務(wù)，不受地域限制；（3）資源快速部署，實現(xiàn)業(yè)務(wù)快速上線；（4）企業(yè)可根據(jù)業(yè)務(wù)規(guī)模，動態(tài)調(diào)整公有云租用資源規(guī)模；（5）按時長收費，節(jié)省成本。 二、【任務(wù)導(dǎo)入】 山石云界是基于下一代防火墻技術(shù)虛擬化產(chǎn)品:提供網(wǎng)絡(luò)邊界安全服務(wù)，解決不同完全域之間的訪問控制，以及網(wǎng)絡(luò)攻擊和入侵防御，提供租戶級的南北向安全防護?？蛇\行于EXSi, KVM, OpenStack, AWS,阿里云之上，部署于租戶邊界或網(wǎng)絡(luò)邊界，關(guān)鍵業(yè)務(wù)/應(yīng)用前端，適合公有云和企業(yè)虛擬化場景部署。三、【知識準備】-（一）阿里虛擬專有云介紹 阿里公有云平臺，主要為租戶提供了VPC （Virtual Private Cloud）環(huán)境。租戶可自定義的建立虛擬網(wǎng)絡(luò)服務(wù)，利用公有云平臺的計算資源搭建自己的網(wǎng)絡(luò)及安全環(huán)境。 其主要功能： （1） 網(wǎng)段劃分； （2