技術(shù)培訓(xùn)資料2

1、技術(shù)培訓(xùn)next generation technology appliance 基礎(chǔ)部分Chan Chee Yen, Head of Technical1產(chǎn)品介紹 2Products下一代 技術(shù)裝置虛擬裝置 VPN 客戶端3ProductsListing in the Magic Quadrant for UTM-Firewall-Appliances SMB Market“管理界面獨(dú)一無(wú)二的方式簡(jiǎn)化了管理任務(wù)” Frost & Sullivan Excellence Award, September 2011“ eGUI是目前市場(chǎng)上最直觀和有效的可視化UTM管理界面” 國(guó)際咨詢機(jī)構(gòu)評(píng)價(jià)4P

2、roducts主要特性 5ProductseGUI使用 “面向過(guò)程” (而不是“面向功能”) 的方式達(dá)到了 ISO Norm 9241 認(rèn)證標(biāo)準(zhǔn)的要求6Products8層技術(shù) 從2層-8層的所有服務(wù)都將獲得基于身份策略的高安全性和高效率支持7可以掃描HTTPS加密連接的含有病毒或其他惡意軟件的 數(shù)據(jù)流, 在這個(gè)過(guò)程中 ，數(shù)據(jù)流在UTM首先被解密,然后進(jìn)行分析,如果沒(méi)有病毒,再重新加密并發(fā)送出去ProductsHTTPS掃描8市場(chǎng)上最全面的策略之一,該項(xiàng)技術(shù)可以為每一個(gè)終端（用戶、計(jì)算機(jī)和組等）來(lái)指定帶寬的最大和最小值,在此基礎(chǔ)上可以對(duì)每一項(xiàng)服務(wù)來(lái)調(diào)整帶寬,對(duì)于帶寬的調(diào)整可以精確到各種級(jí)別Pr

3、oducts全面的流量調(diào)整和QOS9Products反病毒W(wǎng)eb內(nèi)容過(guò)濾 & 實(shí)時(shí)反垃圾郵件過(guò)濾入侵防御系統(tǒng)(IPS) 應(yīng)用過(guò)濾 (V9.2, currently L7-filter)OEM 合作伙伴10自有的VPN客戶端用來(lái)連接移動(dòng)終端設(shè)備和家庭工作站,此客戶端同時(shí)支持IPSec和VPN-over-SSL.優(yōu)勢(shì)：在VPN-over-SSL上采用高安全標(biāo)準(zhǔn)的X.509認(rèn)證在IPSec 和VPN-over-SSL上的高兼容性通過(guò)VPN-over-SSL隧道的所有服務(wù)可用性通過(guò)單擊-連接實(shí)現(xiàn)便捷的安裝ProductsVPN 客戶端11ProductsUsersPerformance / Throu

4、ghput (Mbps) 10 25 50 100 2505001.0005.000 10.0002005008001.0002.0005.00010.000Small & Remote officesTT-S2Small enterprisesTT-M1Medium enterpriseTT-M2 TT-M3EnterpriseTT-E1VPN 加速12性能對(duì)照13性能對(duì)照* Highly dependent on actual traffic14性能對(duì)照與競(jìng)品對(duì)照15Main USP獨(dú)有賣(mài)點(diǎn)16Main USPeGUI 管理界面直觀及可視化的設(shè)置操作清晰的功能方便的服務(wù)閱覽快速閱覽整體網(wǎng)絡(luò)

5、結(jié)構(gòu)最高支持達(dá)10,000用戶的圖層和縮放功能17Main USP18潛在的錯(cuò)誤以指數(shù)級(jí)別增加基于規(guī)則的防火墻98%認(rèn)為錯(cuò)誤2%技術(shù)錯(cuò)誤Main USP產(chǎn)生安全問(wèn)題的原因19Reduction of timethrough reduction of rulesReduction of error ratethrough visualizationReduction of coststhrough active managementMain USP優(yōu)勢(shì)eGUI技術(shù)以立體方式同時(shí)達(dá)到節(jié)省時(shí)間、降低錯(cuò)誤率和降低成本的目的節(jié)省時(shí)間:-通過(guò)規(guī)則數(shù)量的減少降低錯(cuò)誤率:-通過(guò)網(wǎng)絡(luò)的可視化降低成本:通過(guò)主動(dòng)管

6、理降低80%的運(yùn)營(yíng)成本20Main USP21培訓(xùn)設(shè)置Training Setup22TRAINING SETUP23 安裝INSTALLATION24UTM (實(shí)際裝置 或 虛擬的)管理客戶端(eGUI) ，用于操作UTM身份認(rèn)證客戶端（Authentication Client）VPN 客戶端Installation組件25INSTALLATION固件（Firmware）26Firmware最新版本 V9.1 (V9.2 Aug 2012)格式ISO: 用于安裝虛擬裝置USB: 用于安裝實(shí)體裝置可以選擇備份27Firmware最低硬件配置HDD: 22GBRAM: 215 (512MB)步

7、驟裝載ISO as CD啟動(dòng)VM 并 按照屏幕提示操作 (如果需要可選擇備份的文件)等待安裝完成卸載CD 并重啟ISO28FirmwareU盤(pán)至少1GB容量U盤(pán)中的數(shù)據(jù)會(huì)被抹去（創(chuàng)建啟動(dòng)U盤(pán)時(shí)）步驟下載 USB installer執(zhí)行并創(chuàng)建啟動(dòng)U盤(pán) (如果需要可選擇備份的文件)連接串口Speed: 9600Data bits: 8Parity: NoneStop bits: 1Flow control: None將U盤(pán)接在UTM并重啟按照屏幕提示操作等待安裝完成取下U盤(pán)并重啟USB29eGUI 登錄Login: adminPassword: adminInterface IPeth0: 54/

8、24eth1: 54/24eth2: 54/24And so onInstallation默認(rèn)參數(shù)30立即更改 eGUI的默認(rèn)密碼 在安裝過(guò)程中你輸入的root密碼將會(huì)被重新編碼成一個(gè)新的root密碼- 這意味著，你輸入的密碼不能用來(lái)CLI的登錄將你的原始密碼發(fā)郵件到 support 獲取新密碼使用以下的對(duì)應(yīng)表INPUT=0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz”CRYPT=91926347508BCEGHNIJDKALMPROFSTUQWXYZVbceghnijdkalmprofstuqwxyzvInstal

9、lation重要注意事項(xiàng)31動(dòng)手實(shí)驗(yàn)VMRAM: 512MBHD: 30GBNIC: 3Eth0: bridge 10.0.0./24Eth1: bridge 10.50.0./24Eth2: host 192.168.254/24 - 10 = team 1, 20 = team 2, etcRoot password: aaaaaaInstallation安裝虛擬裝置32INSTALLATIONeGUI33CD (ISO)USB stickOnlineInstallationeGUI34動(dòng)手實(shí)驗(yàn)ClientgateProtect Administration Client.exeInsta

10、llationInstall eGUI35Management管理36CLI (Putty): 進(jìn)一步排錯(cuò)SerialSSHWe will look at this latereGUI: 配置及日常管理初次配置動(dòng)手實(shí)驗(yàn)Management37菜單配置桌面Overview of networkToolbarActive ServicesFurther InformationZoomLayerSearchStatus barDenied accesses報(bào)告統(tǒng)計(jì)監(jiān)控Management程序界面38ManagementLicense許可39默認(rèn)45天試用期試用期期間，不能創(chuàng)建eGUI的備份Licen

11、se file: .gplfManagementLicense40當(dāng)期滿時(shí)試用版不能更改配置HTTP 攔截商業(yè)版AV, IDS, IPS 不能再更新內(nèi)容過(guò)濾和反垃圾郵件停止工作對(duì)于虛擬裝置，當(dāng)IP數(shù)量超過(guò)時(shí)，它們是不受保護(hù)的ManagementLicense41設(shè)置Management42備份與還原SSH 密碼不能恢復(fù)試用期間不能備份 *SetupManagement43設(shè)置登錄UTM的訪問(wèn)控制 設(shè)置日期/時(shí)間SetupManagement - Firewall44管理eGUI管理員、權(quán)限和 PPTP 用戶SetupManagement User Management45管理補(bǔ)丁 和補(bǔ)丁記錄S

12、etupManagement Updates46設(shè)置接口47SetupInterfaces48SetupInterfaces橋接讓UTM看起來(lái)像網(wǎng)橋/switch一樣工作, 但它只能檢查到7層的數(shù)據(jù)包網(wǎng)橋的IP地址是需要的，例如 代理需要用到49SetupInterfaces動(dòng)手實(shí)驗(yàn)配置Eth0 (Internet): 10.0.0./24, GW: Eth1 (DMZ): 10.50.0./24Eth2 (LAN): 192.168.254/24注意: 你不能改變當(dāng)前應(yīng)用于eGUI的接口50設(shè)置DHCP51SetupDHCP服務(wù)器或中繼52SetupDHCP動(dòng)手實(shí)驗(yàn)在eth2上配置DHCP5

13、3設(shè)置Internet54SetupInternet55SetupInternet動(dòng)手實(shí)驗(yàn)配置 eth0 ，使用 作為路由器地址56設(shè)置規(guī)則57SetupRule58SetupRule規(guī)則中包含端口/服務(wù)動(dòng)態(tài)/方向時(shí)間表日志代理NATDMZApplication Level59SetupRule優(yōu)先級(jí)包過(guò)濾單個(gè) IP / 用戶完整的子網(wǎng)(子網(wǎng)越小, 優(yōu)先級(jí)越高)IP 范圍60SetupRule動(dòng)手實(shí)驗(yàn)允許LAN 訪問(wèn)Web 網(wǎng)址PingDNSHTTPHTTPS建立一個(gè)DMZ 郵件服務(wù)器 61設(shè)置代理62SetupProxy支持的代理外出HTTP(S)FTPPOP3VOIP: SIP進(jìn)入SMTP

14、63SetupProxyHTTP 代理基于Squid (開(kāi)源)在內(nèi)容過(guò)濾、AV, Caching and Web統(tǒng)計(jì)上需要透明模式 (全部) 或非透明模式 (普通代理)64SetupProxyHTTPS 代理透明模式“中間人”到新HTTPS web的請(qǐng)求將被拒絕并且必須被核準(zhǔn)瀏覽器訪問(wèn)新的HTTPS 站點(diǎn)顯示為空白頁(yè)請(qǐng)求被發(fā)送到eGUI管理員批準(zhǔn)或阻止這個(gè)頁(yè)面瀏覽器再次訪問(wèn)這個(gè)HTTPS 站點(diǎn)如果已經(jīng)被批準(zhǔn)，將會(huì)收到一個(gè) “forged” 證書(shū), 否則將被攔截65SetupProxyFTP 代理基于Frox (開(kāi)源)AV（防病毒）需要SMTP and POP3 代理基于Pimp (私有的)AV

15、（防病毒）和反垃圾郵件需要66SetupProxy Application Level基于7層過(guò)濾鑒定如下協(xié)議（不受端口限制）HTTPFTPPOP3SMTPDNS67SetupProxy68SetupProxy動(dòng)手實(shí)驗(yàn)開(kāi)啟 HTTP 和HTTPS 代理 在透明模式為 DMZ開(kāi)啟SMTP 69設(shè)置簡(jiǎn)單的用戶認(rèn)證70SetupSimple User Authentication支持的認(rèn)證后端LocalActive DirectoryOpenLDAPSSO with Kerberos如何認(rèn)證Windows Authentication ClientWeb Authentication (Landin

16、g page)71SetupSimple User Authentication72SetupSimple User Authentication動(dòng)手實(shí)驗(yàn)本地用戶數(shù)據(jù)庫(kù)創(chuàng)建用戶啟用認(rèn)證啟用登錄頁(yè)面73設(shè)置流量調(diào)整74SetupTraffic Shaping為特定用戶、電腦或服務(wù)保留或限制帶寬75SetupTraffic Shaping動(dòng)手實(shí)驗(yàn)下載 限制 192.168.0/24 到 50kbps限制 192.168.0/24 到 10kbps76設(shè)置LAN Accounting77SetupLAN Accounting為用戶申請(qǐng)時(shí)間和大小配額78SetupLAN Accounting動(dòng)手實(shí)驗(yàn)為

17、用戶申請(qǐng)每天 1MB 配額為用戶申請(qǐng) 每天1hour配額79設(shè)置反垃圾郵件80SetupAnti-SpamMailfilter 郵件過(guò)濾器隨“SMTP 代理 - 進(jìn)入”使用通過(guò)接收地址過(guò)濾郵件允許用通配符 (*, ?)81SetupAnti-SpamAnti-Spam 反垃圾郵件云端掃描生成郵件散列值散列值被發(fā)送到CommTouch分析內(nèi)容和頻率返回結(jié)果82SetupAnti-SpamAnti-Spam 反垃圾郵件云端掃描生成郵件散列值散列值被發(fā)送到CommTouch分析內(nèi)容和頻率返回結(jié)果行動(dòng)附件主題標(biāo)題* NO Quarantine 不隔離83SetupAnti-Spam動(dòng)手實(shí)驗(yàn)到DMZ m

18、ail server測(cè)試?yán)]件和病毒84設(shè)置IDS / IPS85SetupIDS / IPS檢測(cè)和預(yù)防攻擊基于Snort資源集中, 只有 Internet 接口允許- 各自允許 才會(huì)產(chǎn)生一個(gè) Snort 過(guò)程不要使用FULL 模式86SetupIDS / IPS動(dòng)手實(shí)驗(yàn)在Internet連接上允許IPS在Internet連接上允許IDS, 設(shè)置最高的安全性, 并且允許端口掃描檢測(cè)檢查來(lái)自培訓(xùn)者的攻擊報(bào)告87REPORTS報(bào)告88SetupREPORTS報(bào)告 - 即 log 文件顯示以下logs IDSUTM/var/log/messages/var/log/dmesg/var/log/fi

19、rewall.log/var/log/ipsec.log89STATISTICS統(tǒng)計(jì)90SetupSTATISTICS統(tǒng)計(jì) - 即報(bào)表查看eGUI (管理客戶端): 一個(gè)例子專(zhuān)門(mén)的統(tǒng)計(jì)客戶端: 多重例子91MONITORING監(jiān)控92SetupMONITORING硬件及系統(tǒng)信息93MORE ON CLI94SetupMORE ON CLIWinSCP: 通過(guò)SSH端口上傳及下載文件，例如下載squid log 文件95SetupMORE ON CLI動(dòng)手實(shí)驗(yàn)下載并查看 /var/log/messages log 文件96SetupMORE ON CLIPutty: 訪問(wèn)UTM的Console口

20、，運(yùn)行Linux 命令. 對(duì)診斷問(wèn)題是必要的。97SetupMORE ON CLItcpdump: 數(shù)據(jù)包嗅探器例: 抓取所有通過(guò)eth0接口的HTTP流量tcpdump n i eth0 port 8098SetupMORE ON CLIWireShark: 網(wǎng)絡(luò)協(xié)議分析器99SetupMORE ON CLI動(dòng)手實(shí)驗(yàn)抓取通過(guò)eth0的所有流量并用WireShark分析tcpdump nl i eth0 s 65000 -X w utm.capUse WinSCP to copy utm.cap to PCRun WireShark on PC and open utm.cap100Setup

21、MORE ON CLI基本的Linux命令ls: Lists files and directoriescd: Change directoryrm: Delete filemkdir: Make directorypstree: Show running processes in a tree viewpsall: Show running processes individuallydf: Information about free disk spaceroute n (ip r): Show routing tabletop: Show CPU and memory utilizati

22、oniptables L nv: Show firewall and NAT rulesreboot: Reboot the UTMiptraf: Show traffic on all connectionswget:Download a filetelnet : Test for serviceskillall : Terminate a process its nameifconfigmoregrepvi / nano101ROADMAP路線圖102Version 9.1LAN-AccountingNew VPNQ2/2012Version 9.0 IPS- New HA-System-

23、 Kaspersky Engine (New)- Patch ManagementQ4/2011Version 9.2Application Filter (Vineyard)Q3/2012Q4/2012Version 10- Re-write - WEB eGUI IPv6 Web proxy + Application filter Firewall Auditing (ISO) Live Monitoring Roadmap 2012103Thank you104技術(shù)培訓(xùn)next generation technology appliance AdvancedChan Chee Yen,

24、 Head of Technical105EXAMPLE例子106EXAMPLEHTTP 代理的橋接 (iptables rule and no authentication)iptables -I INPUT -s -p tcp -m tcp -dport 1813 -j ACCEPT -m comment -comment Allow block message -m state -state ESTABLISHED,NEW,RELATED/opt/gateprotect/etc/bootup.sh107EXAMPLEeGUI: 另外的管理員登錄killall gpServer108EXAMPLE試用期的備份tar -czpvhf backup.gp /opt/gateprotect/etc/109EXAMPLE檢查log 文件/var/logtailtail f打開(kāi)除錯(cuò)模式日志“touch /opt/gateprotect/. “ 空格killall gp