技術(shù)培訓(xùn)資料2

1、技術(shù)培訓(xùn)next generation technology appliance 基礎(chǔ)部分Chan Chee Yen, Head of Technical1產(chǎn)品介紹 2Products下一代 技術(shù)裝置虛擬裝置 VPN 客戶端3ProductsListing in the Magic Quadrant for UTM-Firewall-Appliances SMB Market“管理界面獨一無二的方式簡化了管理任務(wù)” Frost & Sullivan Excellence Award, September 2011“ eGUI是目前市場上最直觀和有效的可視化UTM管理界面” 國際咨詢機構(gòu)評價4P

2、roducts主要特性 5ProductseGUI使用 “面向過程” (而不是“面向功能”) 的方式達到了 ISO Norm 9241 認證標(biāo)準的要求6Products8層技術(shù) 從2層-8層的所有服務(wù)都將獲得基于身份策略的高安全性和高效率支持7可以掃描HTTPS加密連接的含有病毒或其他惡意軟件的 數(shù)據(jù)流, 在這個過程中 ，數(shù)據(jù)流在UTM首先被解密,然后進行分析,如果沒有病毒,再重新加密并發(fā)送出去ProductsHTTPS掃描8市場上最全面的策略之一,該項技術(shù)可以為每一個終端（用戶、計算機和組等）來指定帶寬的最大和最小值,在此基礎(chǔ)上可以對每一項服務(wù)來調(diào)整帶寬,對于帶寬的調(diào)整可以精確到各種級別Pr

3、oducts全面的流量調(diào)整和QOS9Products反病毒W(wǎng)eb內(nèi)容過濾 & 實時反垃圾郵件過濾入侵防御系統(tǒng)(IPS) 應(yīng)用過濾 (V9.2, currently L7-filter)OEM 合作伙伴10自有的VPN客戶端用來連接移動終端設(shè)備和家庭工作站,此客戶端同時支持IPSec和VPN-over-SSL.優(yōu)勢：在VPN-over-SSL上采用高安全標(biāo)準的X.509認證在IPSec 和VPN-over-SSL上的高兼容性通過VPN-over-SSL隧道的所有服務(wù)可用性通過單擊-連接實現(xiàn)便捷的安裝ProductsVPN 客戶端11ProductsUsersPerformance / Throu

4、ghput (Mbps) 10 25 50 100 2505001.0005.000 10.0002005008001.0002.0005.00010.000Small & Remote officesTT-S2Small enterprisesTT-M1Medium enterpriseTT-M2 TT-M3EnterpriseTT-E1VPN 加速12性能對照13性能對照* Highly dependent on actual traffic14性能對照與競品對照15Main USP獨有賣點16Main USPeGUI 管理界面直觀及可視化的設(shè)置操作清晰的功能方便的服務(wù)閱覽快速閱覽整體網(wǎng)絡(luò)

5、結(jié)構(gòu)最高支持達10,000用戶的圖層和縮放功能17Main USP18潛在的錯誤以指數(shù)級別增加基于規(guī)則的防火墻98%認為錯誤2%技術(shù)錯誤Main USP產(chǎn)生安全問題的原因19Reduction of timethrough reduction of rulesReduction of error ratethrough visualizationReduction of coststhrough active managementMain USP優(yōu)勢eGUI技術(shù)以立體方式同時達到節(jié)省時間、降低錯誤率和降低成本的目的節(jié)省時間:-通過規(guī)則數(shù)量的減少降低錯誤率:-通過網(wǎng)絡(luò)的可視化降低成本:通過主動管

6、理降低80%的運營成本20Main USP21培訓(xùn)設(shè)置Training Setup22TRAINING SETUP23 安裝INSTALLATION24UTM (實際裝置 或 虛擬的)管理客戶端(eGUI) ，用于操作UTM身份認證客戶端（Authentication Client）VPN 客戶端Installation組件25INSTALLATION固件（Firmware）26Firmware最新版本 V9.1 (V9.2 Aug 2012)格式ISO: 用于安裝虛擬裝置USB: 用于安裝實體裝置可以選擇備份27Firmware最低硬件配置HDD: 22GBRAM: 215 (512MB)步

7、驟裝載ISO as CD啟動VM 并 按照屏幕提示操作 (如果需要可選擇備份的文件)等待安裝完成卸載CD 并重啟ISO28FirmwareU盤至少1GB容量U盤中的數(shù)據(jù)會被抹去（創(chuàng)建啟動U盤時）步驟下載 USB installer執(zhí)行并創(chuàng)建啟動U盤 (如果需要可選擇備份的文件)連接串口Speed: 9600Data bits: 8Parity: NoneStop bits: 1Flow control: None將U盤接在UTM并重啟按照屏幕提示操作等待安裝完成取下U盤并重啟USB29eGUI 登錄Login: adminPassword: adminInterface IPeth0: 54/

8、24eth1: 54/24eth2: 54/24And so onInstallation默認參數(shù)30立即更改 eGUI的默認密碼 在安裝過程中你輸入的root密碼將會被重新編碼成一個新的root密碼- 這意味著，你輸入的密碼不能用來CLI的登錄將你的原始密碼發(fā)郵件到 support 獲取新密碼使用以下的對應(yīng)表INPUT=0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz”CRYPT=91926347508BCEGHNIJDKALMPROFSTUQWXYZVbceghnijdkalmprofstuqwxyzvInstal

9、lation重要注意事項31動手實驗VMRAM: 512MBHD: 30GBNIC: 3Eth0: bridge 10.0.0./24Eth1: bridge 10.50.0./24Eth2: host 192.168.254/24 - 10 = team 1, 20 = team 2, etcRoot password: aaaaaaInstallation安裝虛擬裝置32INSTALLATIONeGUI33CD (ISO)USB stickOnlineInstallationeGUI34動手實驗ClientgateProtect Administration Client.exeInsta

10、llationInstall eGUI35Management管理36CLI (Putty): 進一步排錯SerialSSHWe will look at this latereGUI: 配置及日常管理初次配置動手實驗Management37菜單配置桌面Overview of networkToolbarActive ServicesFurther InformationZoomLayerSearchStatus barDenied accesses報告統(tǒng)計監(jiān)控Management程序界面38ManagementLicense許可39默認45天試用期試用期期間，不能創(chuàng)建eGUI的備份Licen

11、se file: .gplfManagementLicense40當(dāng)期滿時試用版不能更改配置HTTP 攔截商業(yè)版AV, IDS, IPS 不能再更新內(nèi)容過濾和反垃圾郵件停止工作對于虛擬裝置，當(dāng)IP數(shù)量超過時，它們是不受保護的ManagementLicense41設(shè)置Management42備份與還原SSH 密碼不能恢復(fù)試用期間不能備份 *SetupManagement43設(shè)置登錄UTM的訪問控制 設(shè)置日期/時間SetupManagement - Firewall44管理eGUI管理員、權(quán)限和 PPTP 用戶SetupManagement User Management45管理補丁 和補丁記錄S

12、etupManagement Updates46設(shè)置接口47SetupInterfaces48SetupInterfaces橋接讓UTM看起來像網(wǎng)橋/switch一樣工作, 但它只能檢查到7層的數(shù)據(jù)包網(wǎng)橋的IP地址是需要的，例如 代理需要用到49SetupInterfaces動手實驗配置Eth0 (Internet): 10.0.0./24, GW: Eth1 (DMZ): 10.50.0./24Eth2 (LAN): 192.168.254/24注意: 你不能改變當(dāng)前應(yīng)用于eGUI的接口50設(shè)置DHCP51SetupDHCP服務(wù)器或中繼52SetupDHCP動手實驗在eth2上配置DHCP5

13、3設(shè)置Internet54SetupInternet55SetupInternet動手實驗配置 eth0 ，使用 作為路由器地址56設(shè)置規(guī)則57SetupRule58SetupRule規(guī)則中包含端口/服務(wù)動態(tài)/方向時間表日志代理NATDMZApplication Level59SetupRule優(yōu)先級包過濾單個 IP / 用戶完整的子網(wǎng)(子網(wǎng)越小, 優(yōu)先級越高)IP 范圍60SetupRule動手實驗允許LAN 訪問Web 網(wǎng)址PingDNSHTTPHTTPS建立一個DMZ 郵件服務(wù)器 61設(shè)置代理62SetupProxy支持的代理外出HTTP(S)FTPPOP3VOIP: SIP進入SMTP

14、63SetupProxyHTTP 代理基于Squid (開源)在內(nèi)容過濾、AV, Caching and Web統(tǒng)計上需要透明模式 (全部) 或非透明模式 (普通代理)64SetupProxyHTTPS 代理透明模式“中間人”到新HTTPS web的請求將被拒絕并且必須被核準瀏覽器訪問新的HTTPS 站點顯示為空白頁請求被發(fā)送到eGUI管理員批準或阻止這個頁面瀏覽器再次訪問這個HTTPS 站點如果已經(jīng)被批準，將會收到一個 “forged” 證書, 否則將被攔截65SetupProxyFTP 代理基于Frox (開源)AV（防病毒）需要SMTP and POP3 代理基于Pimp (私有的)AV

15、（防病毒）和反垃圾郵件需要66SetupProxy Application Level基于7層過濾鑒定如下協(xié)議（不受端口限制）HTTPFTPPOP3SMTPDNS67SetupProxy68SetupProxy動手實驗開啟 HTTP 和HTTPS 代理 在透明模式為 DMZ開啟SMTP 69設(shè)置簡單的用戶認證70SetupSimple User Authentication支持的認證后端LocalActive DirectoryOpenLDAPSSO with Kerberos如何認證Windows Authentication ClientWeb Authentication (Landin

16、g page)71SetupSimple User Authentication72SetupSimple User Authentication動手實驗本地用戶數(shù)據(jù)庫創(chuàng)建用戶啟用認證啟用登錄頁面73設(shè)置流量調(diào)整74SetupTraffic Shaping為特定用戶、電腦或服務(wù)保留或限制帶寬75SetupTraffic Shaping動手實驗下載 限制 192.168.0/24 到 50kbps限制 192.168.0/24 到 10kbps76設(shè)置LAN Accounting77SetupLAN Accounting為用戶申請時間和大小配額78SetupLAN Accounting動手實驗為

17、用戶申請每天 1MB 配額為用戶申請 每天1hour配額79設(shè)置反垃圾郵件80SetupAnti-SpamMailfilter 郵件過濾器隨“SMTP 代理 - 進入”使用通過接收地址過濾郵件允許用通配符 (*, ?)81SetupAnti-SpamAnti-Spam 反垃圾郵件云端掃描生成郵件散列值散列值被發(fā)送到CommTouch分析內(nèi)容和頻率返回結(jié)果82SetupAnti-SpamAnti-Spam 反垃圾郵件云端掃描生成郵件散列值散列值被發(fā)送到CommTouch分析內(nèi)容和頻率返回結(jié)果行動附件主題標(biāo)題* NO Quarantine 不隔離83SetupAnti-Spam動手實驗到DMZ m

18、ail server測試垃圾郵件和病毒84設(shè)置IDS / IPS85SetupIDS / IPS檢測和預(yù)防攻擊基于Snort資源集中, 只有 Internet 接口允許- 各自允許 才會產(chǎn)生一個 Snort 過程不要使用FULL 模式86SetupIDS / IPS動手實驗在Internet連接上允許IPS在Internet連接上允許IDS, 設(shè)置最高的安全性, 并且允許端口掃描檢測檢查來自培訓(xùn)者的攻擊報告87REPORTS報告88SetupREPORTS報告 - 即 log 文件顯示以下logs IDSUTM/var/log/messages/var/log/dmesg/var/log/fi

19、rewall.log/var/log/ipsec.log89STATISTICS統(tǒng)計90SetupSTATISTICS統(tǒng)計 - 即報表查看eGUI (管理客戶端): 一個例子專門的統(tǒng)計客戶端: 多重例子91MONITORING監(jiān)控92SetupMONITORING硬件及系統(tǒng)信息93MORE ON CLI94SetupMORE ON CLIWinSCP: 通過SSH端口上傳及下載文件，例如下載squid log 文件95SetupMORE ON CLI動手實驗下載并查看 /var/log/messages log 文件96SetupMORE ON CLIPutty: 訪問UTM的Console口

20、，運行Linux 命令. 對診斷問題是必要的。97SetupMORE ON CLItcpdump: 數(shù)據(jù)包嗅探器例: 抓取所有通過eth0接口的HTTP流量tcpdump n i eth0 port 8098SetupMORE ON CLIWireShark: 網(wǎng)絡(luò)協(xié)議分析器99SetupMORE ON CLI動手實驗抓取通過eth0的所有流量并用WireShark分析tcpdump nl i eth0 s 65000 -X w utm.capUse WinSCP to copy utm.cap to PCRun WireShark on PC and open utm.cap100Setup

21、MORE ON CLI基本的Linux命令ls: Lists files and directoriescd: Change directoryrm: Delete filemkdir: Make directorypstree: Show running processes in a tree viewpsall: Show running processes individuallydf: Information about free disk spaceroute n (ip r): Show routing tabletop: Show CPU and memory utilizati

22、oniptables L nv: Show firewall and NAT rulesreboot: Reboot the UTMiptraf: Show traffic on all connectionswget:Download a filetelnet : Test for serviceskillall : Terminate a process its nameifconfigmoregrepvi / nano101ROADMAP路線圖102Version 9.1LAN-AccountingNew VPNQ2/2012Version 9.0 IPS- New HA-System-

23、 Kaspersky Engine (New)- Patch ManagementQ4/2011Version 9.2Application Filter (Vineyard)Q3/2012Q4/2012Version 10- Re-write - WEB eGUI IPv6 Web proxy + Application filter Firewall Auditing (ISO) Live Monitoring Roadmap 2012103Thank you104技術(shù)培訓(xùn)next generation technology appliance AdvancedChan Chee Yen,

24、 Head of Technical105EXAMPLE例子106EXAMPLEHTTP 代理的橋接 (iptables rule and no authentication)iptables -I INPUT -s -p tcp -m tcp -dport 1813 -j ACCEPT -m comment -comment Allow block message -m state -state ESTABLISHED,NEW,RELATED/opt/gateprotect/etc/bootup.sh107EXAMPLEeGUI: 另外的管理員登錄killall gpServer108EXAMPLE試用期的備份tar -czpvhf backup.gp /opt/gateprotect/etc/109EXAMPLE檢查log 文件/var/logtailtail f打開除錯模式日志“touch /opt/gateprotect/. “ 空格killall gp