信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項目9 防火墻用戶管理與入侵檢測

教案 《信息安全技術(shù)》第頁ADDINCNKISM.UserStyle授課周次與課時：第9周第33-36課時累計36課時課程名稱：信息安全技術(shù)授課課題：防火墻用戶管理與入侵防御教學(xué)目標(biāo)：了解AAA技術(shù)掌握用戶認(rèn)證技術(shù)掌握用戶認(rèn)證管理配置了解入侵防御的種類掌握網(wǎng)絡(luò)反病毒策略配置理教學(xué)要點：1.教學(xué)重點：用戶認(rèn)證管理配置2.教學(xué)難點：網(wǎng)絡(luò)反病毒策略配置理思政目標(biāo)：加強學(xué)生對網(wǎng)絡(luò)輿論的理解，營造清朗的網(wǎng)絡(luò)空間；時代楷模：通過對張桂梅優(yōu)秀事跡的講解，讓學(xué)生樹立為人民服務(wù)的精神；立德樹人，通過對張桂梅優(yōu)秀事件的學(xué)習(xí)，增強學(xué)生愛國主義精神和奉獻精神的理解；課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】堅持正確輿論導(dǎo)向，高度重視傳播手段建設(shè)和創(chuàng)新，提高新聞輿論傳播力、引導(dǎo)力、影響力、公信力。加強互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營造清朗的網(wǎng)絡(luò)空間。思政主題：時代楷模、立德樹人、教書育人張桂梅是云南省麗江市華坪女子高級中學(xué)黨支部書記、校長。張桂梅老師扎根邊疆教育一線40余年，默默耕耘、無私奉獻，為了改變貧困地區(qū)女孩失學(xué)輟學(xué)現(xiàn)狀，在黨和政府以及社會各界的幫助下，推動創(chuàng)建了一所免費招收貧困女生的高中，2008年建校以來已幫助1800多位女孩走出大山走進大學(xué)，用知識改變貧困山區(qū)女孩命運，用教育阻斷貧困代際傳遞；她教書育人、立德樹人，引導(dǎo)學(xué)生從小樹立遠大志向，倡導(dǎo)女性自尊自信自立自強，注重言傳身教，傳承紅色基因，讓“感黨恩、聽黨話、跟黨走”成為廣大學(xué)生自覺追求；她堅韌純粹、甘當(dāng)人梯，用愛心和智慧點亮萬千鄉(xiāng)村女孩的人生夢想，展現(xiàn)了當(dāng)代人民教師的高尚師德和責(zé)任擔(dān)當(dāng)，被孩子們親切地稱為“張媽媽”。她曾當(dāng)選黨的十七大代表，榮獲“全國三八紅旗手標(biāo)兵”“全國優(yōu)秀教師”“全國教書育人楷?！薄叭珖逡粍趧营?wù)隆钡葮s譽稱號2020年12月11日，中央宣傳部向全社會宣傳發(fā)布張桂梅同志的先進事跡，授予她“時代楷模”稱號。本章學(xué)習(xí)內(nèi)容是防火墻用戶管理，張桂梅老師說，“我的學(xué)生一個都不能少，當(dāng)然了我們云南省的我們的父老鄉(xiāng)親也一個不能少。”在網(wǎng)絡(luò)安全管理中，用戶的管理是基礎(chǔ)，是我們網(wǎng)絡(luò)安全的出發(fā)點，任何一個用戶管理的缺失都可能導(dǎo)致網(wǎng)絡(luò)安全問題的出現(xiàn)，加強防火墻用戶管理，要從小入手，樹立良好的網(wǎng)絡(luò)安全意識，積極開展定期檢查，不斷強化網(wǎng)絡(luò)安全管理?！拘抡n講授】一、用戶認(rèn)證和AAA技術(shù)原理1、用戶認(rèn)證的背景當(dāng)前網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全的威脅更多的來源于應(yīng)用層，這也使得企業(yè)對于網(wǎng)絡(luò)訪問控制提出更高的要求。如何精確的識別出用戶，保證用戶的合法應(yīng)用正常進行，阻斷用戶有安全隱患的應(yīng)用等問題，已成為現(xiàn)階段企業(yè)對網(wǎng)絡(luò)安全關(guān)注的焦點。但IP不等于用戶、端口不等于應(yīng)用，傳統(tǒng)防火墻基于IP/端口的五元組訪問控制策略已不能有效地應(yīng)對現(xiàn)階段網(wǎng)絡(luò)環(huán)境的巨大變化。2、什么是AAA所謂的AAA，其實是Authentication認(rèn)證、Authorization授權(quán)、Accounting計費的三個單詞首字母的組合。當(dāng)用戶希望訪問Internet訪問資源。首先使用Authentication認(rèn)證技術(shù)，用戶輸入用戶名密碼。當(dāng)通過認(rèn)證后，通過Authorization授權(quán)，授權(quán)不同用戶訪問的資源，可以訪問百度，或者Google。在客戶訪問期間，通過Accounting計費，記錄所做的操作和時長。Authentication認(rèn)證認(rèn)證是指通過一定的手段，完成對用戶身份的確認(rèn)。你所知道的信息、你所擁有的東西、獨一無二的身體特征等Authorization授權(quán)用戶能訪問的資源、用戶能使用的命令、授權(quán)用戶可以使用哪些業(yè)務(wù)，公共業(yè)務(wù)，還是敏感業(yè)務(wù)。Accounting計費計費主要的含義有三個：用戶用多長時間、用戶花了多少錢、用戶做了哪些操作。AAA認(rèn)證的幾種方式不認(rèn)證：對用戶非常信任，不對其進行合法檢查，一般情況下不采用這種方式。本地認(rèn)證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在網(wǎng)絡(luò)接入服務(wù)器上。本地認(rèn)證的優(yōu)點是速度快，可以為運營降低成本；缺點是存儲信息量受設(shè)備硬件條件限制。服務(wù)器認(rèn)證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在認(rèn)證服務(wù)器上。AAA支持通過RADIUS（RemoteAuthenticationDialInUserService）協(xié)議或HWTACACS（HuaWeiTerminalAccessControllerAccessControlSystem）協(xié)議進行遠端認(rèn)證。3、RADIUS協(xié)議AAA可以用多種協(xié)議來實現(xiàn)，最常用的是RADIUS協(xié)議。RADIUS廣泛應(yīng)用于網(wǎng)絡(luò)接入服務(wù)器NAS（NetworkAccessServer）系統(tǒng)。NAS負(fù)責(zé)把用戶的認(rèn)證和計費信息傳遞給RADIUS服務(wù)器。RADIUS協(xié)議規(guī)定了NAS與RADIUS服務(wù)器之間如何傳遞用戶信息和計費信息以及認(rèn)證和計費結(jié)果，RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請求，完成認(rèn)證，并把結(jié)果返回給NAS。RADIUS使用UDP（UserDatagramProtocol）作為傳輸協(xié)議，具有良好的實時性；同時也支持重傳機制和備用服務(wù)器機制，從而具有較好的可靠性。RADIUS客戶端與服務(wù)器間的消息流程用戶登錄USG或接入服務(wù)器等網(wǎng)絡(luò)設(shè)備時，會將用戶名和密碼發(fā)送給該網(wǎng)絡(luò)接入服務(wù)器；該網(wǎng)絡(luò)設(shè)備中的RADIUS客戶端（網(wǎng)絡(luò)接入服務(wù)器）接收用戶名和密碼，并向RADIUS服務(wù)器發(fā)送認(rèn)證請求；RADIUS服務(wù)器接收到合法的請求后，完成認(rèn)證，并把所需的用戶授權(quán)信息返回給客戶端；對于非法的請求，RADIUS服務(wù)器返回認(rèn)證失敗的信息給客戶端；RADIUS服務(wù)器通過建立一個唯一的用戶數(shù)據(jù)庫，存儲用戶名、密碼來對用戶進行驗證。RADIUS的報文結(jié)構(gòu)RADIUS報文交互流程Code：包類型。包類型占1個字節(jié)，定義如下：Access-Request——請求認(rèn)證過程Access-Accept——認(rèn)證響應(yīng)過程Access-Reject——認(rèn)證拒絕過程Accounting-Request——請求計費過程Accounting-Response——計費響應(yīng)過程Access-Challenge——訪問質(zhì)詢4、HWTACACS協(xié)議HWTACACS（HuaweiTerminalAccessControllerAccessControlSystem，華為終端訪問控制器控制系統(tǒng)）是在TACACS協(xié)議的基礎(chǔ)上進行了功能增強的安全協(xié)議。該協(xié)議與RADIUS協(xié)議的功能類似，采用客戶端/服務(wù)器模式實現(xiàn)NAS與TACACS+服務(wù)器之間的通信。5、LDAP協(xié)議LDAP（LightweightDirectoryAccessProtocol，輕量級目錄訪問協(xié)議）是從X.500目錄訪問協(xié)議的基礎(chǔ)上發(fā)展過來的，X.500是層次型的，所有對象被組織成樹形結(jié)構(gòu)。X.500目錄服務(wù)實現(xiàn)身份認(rèn)證、訪問控制。LDAP就是簡化X.500目錄的復(fù)雜度，同時適應(yīng)Internet的需要。目錄服務(wù)就是由目錄數(shù)據(jù)庫和一套訪問協(xié)議組成的系統(tǒng)。類似以下的信息適合儲存在目錄中：企業(yè)員工信息，如姓名、郵箱、手機號碼等；公司設(shè)備的物理信息，如IP地址、放置位置、廠商、購買時間等；公用證書和安全密鑰；6、用戶認(rèn)證分類AAA技術(shù)為用戶認(rèn)證提供手段，用戶認(rèn)證分類有：本地認(rèn)證訪問者通過Portal認(rèn)證頁面將標(biāo)識其身份的用戶名和密碼發(fā)送給FW，F(xiàn)W上存儲了密碼，驗證過程在FW上進行，該方式稱為本地認(rèn)證。服務(wù)器認(rèn)證訪問者通過Portal認(rèn)證頁面將標(biāo)識其身份的用戶名和密碼發(fā)送給FW，F(xiàn)W上沒有存儲密碼，F(xiàn)W將用戶名和密碼發(fā)送至第三方認(rèn)證服務(wù)器，驗證過程在認(rèn)證服務(wù)器上進行，該方式稱為服務(wù)器認(rèn)證。單點登錄訪問者將標(biāo)識其身份的用戶名和密碼發(fā)送給第三方認(rèn)證服務(wù)器，認(rèn)證通過后，第三方認(rèn)證服務(wù)器將訪問者的身份信息發(fā)送給FW。FW只記錄訪問者的身份信息不參與認(rèn)證過程，該方式稱為單點登錄（SingleSign-On）。短信認(rèn)證訪問者通過Portal認(rèn)證頁面獲取短信驗證碼，然后輸入短信驗證碼即通過認(rèn)證。FW通過校驗短信驗證碼認(rèn)證訪問者。二、用戶認(rèn)證管理及應(yīng)用1、用戶組織架構(gòu)及分類用戶管理的背景用戶管理將分為不同的用戶組，通過對用戶認(rèn)證，將用戶打上標(biāo)簽，并且為用戶組賦予不同的權(quán)限和應(yīng)用，從而實現(xiàn)安全的目標(biāo)。將公司員工（用戶）加入用戶組，然后針對用戶或用戶組進行網(wǎng)絡(luò)行為控制和審計，根據(jù)用戶或用戶組進行策略的可視化制定，提高策略制定的易用性，報表中體現(xiàn)用戶信息，對用戶進行上網(wǎng)行為分析，以達到對用戶（而非單純的IP地址）行為的追蹤審計，解決現(xiàn)網(wǎng)應(yīng)用中同一用戶對應(yīng)IP經(jīng)常變化帶來的應(yīng)用行為策略控制難題。用戶組織架構(gòu)用戶組織架構(gòu)中涉及如下三個概念：認(rèn)證域用戶組/用戶安全組當(dāng)企業(yè)通過第三方認(rèn)證服務(wù)器存儲組織結(jié)構(gòu)時，服務(wù)器上也存在類似的橫向群組，為了基于這些群組配置策略，F(xiàn)W上需要創(chuàng)建安全組與服務(wù)器上的組織結(jié)構(gòu)保持一致。組織結(jié)構(gòu)管理系統(tǒng)默認(rèn)有一個缺省認(rèn)證域，每個用戶組可以包括多個用戶和用戶組。認(rèn)證域的主要特點如下：認(rèn)證域是認(rèn)證流程中的重要環(huán)節(jié)，認(rèn)證域上的配置決定了對用戶的認(rèn)證方式以及用戶的組織結(jié)構(gòu)。對于不同認(rèn)證方式的用戶，認(rèn)證域的作用不盡相同。FW通過識別用戶名中包含的認(rèn)證域，將所有待認(rèn)證的用戶“分流”到對應(yīng)的認(rèn)證域中，根據(jù)認(rèn)證域上的配置來對用戶進行認(rèn)證。用戶分類管理員用戶上網(wǎng)用戶接入用戶2、管理員認(rèn)證流程和配置管理員登錄方式管理員主要為了實現(xiàn)對設(shè)備的管理、配置和維護，登錄方式可以分為：ConsoleWebTelnetFTPSSHConsole/telnet/Ftp設(shè)備管理類型配置Web方式打開瀏覽器，登陸設(shè)備，在“系統(tǒng)>管理員>管理員>新建”，新建管理員Client01，并設(shè)置設(shè)備管理類型Console,Telnet,FTPSSH設(shè)備管理類型界面中創(chuàng)建管理員Client01，并設(shè)置設(shè)備管理類型為SSH。Web設(shè)備管理員配置Web方式界面中創(chuàng)建管理員webuser，并設(shè)置用戶級別。在“系統(tǒng)>管理員>設(shè)置”設(shè)置HTTPS/HTTP服務(wù)端口,當(dāng)使用HTTP登錄設(shè)備后，不可以關(guān)閉HTTP服務(wù)，同時不能修改HTTP服務(wù)端口；當(dāng)使用HTTPS登錄設(shè)備后，不可以關(guān)閉HTTPS服務(wù)，同時不能修改HTTPS服務(wù)端口。3、上網(wǎng)用戶及接入用戶認(rèn)證流程單點登錄場景可以分為以下三種：AD單點登錄：用戶登錄AD域，由AD服務(wù)器進行認(rèn)證。AgileController單點登錄：用戶由華為公司的AgileController系統(tǒng)（PolicyCenter或AgileController）進行認(rèn)證。RADIUS單點登錄：用戶接入NAS設(shè)備，NAS設(shè)備轉(zhuǎn)發(fā)認(rèn)證請求到RADIUS服務(wù)器進行認(rèn)證。4、其他認(rèn)證上網(wǎng)用戶Portal認(rèn)證Portal認(rèn)證是指由防火墻或第三方服務(wù)器提供Portal認(rèn)證頁面對用戶進行認(rèn)證。防火墻內(nèi)置Portal認(rèn)證的觸發(fā)方式包括如下兩種。會話認(rèn)證事前認(rèn)證接入用戶認(rèn)證接入用戶認(rèn)證指的是對各類VPN接入用戶進行認(rèn)證，觸發(fā)認(rèn)證的方式由接入方式?jīng)Q定，包括如下三種。SSLVPN接入用戶L2TPVPN接入用戶IPSecVPN接入用戶三、入侵概述1、入侵初印象入侵都有一些相似點，比如說相似的目的，入侵他方的領(lǐng)域獲取利益，而受害方在發(fā)現(xiàn)入侵的時候及時反擊，“保衛(wèi)地球”，當(dāng)然最好的就是在入侵之前加固防御，保護自身領(lǐng)土不受入侵。那么網(wǎng)絡(luò)中的入侵和防御又是怎么一回事呢？2、網(wǎng)絡(luò)威脅現(xiàn)狀現(xiàn)在大多數(shù)病毒等網(wǎng)絡(luò)威脅不再單純地攻擊電腦系統(tǒng)，而是被黑客攻擊和不法分子利用，成為他們獲取利益的工具。因此，傳統(tǒng)的電腦病毒等網(wǎng)絡(luò)威脅，正在向由利益驅(qū)動的、全面的網(wǎng)絡(luò)威脅發(fā)展變化。在目前出現(xiàn)的各種安全威脅當(dāng)中，惡意程序（病毒與蠕蟲、Bot、Rootkit、特洛依木馬與后門程序、弱點攻擊程序以及行動裝置惡意程序）類別占有很高的比例，灰色軟件（間諜/廣告軟件）的影響也逐漸擴大，而與犯罪程序有關(guān)的安全威脅已經(jīng)成為威脅網(wǎng)絡(luò)安全的重要因素。3、黑客入侵漏洞給企業(yè)造成嚴(yán)重的安全威脅：企業(yè)內(nèi)網(wǎng)中許多應(yīng)用軟件可能存在漏洞；互聯(lián)網(wǎng)使應(yīng)用軟件的漏洞迅速傳播；蠕蟲利用應(yīng)用軟件漏洞大肆傳播，消耗網(wǎng)絡(luò)帶寬，破壞重要數(shù)據(jù)；黑客、惡意員工利用漏洞攻擊或入侵企業(yè)服務(wù)器，業(yè)務(wù)機密被篡改、破壞和偷竊。4、拒絕服務(wù)攻擊威脅DDOS攻擊威脅：以經(jīng)濟利益為目標(biāo)的全球黑色產(chǎn)業(yè)鏈的形成，網(wǎng)絡(luò)上存在大量僵尸網(wǎng)絡(luò)；不法分子的敲詐勒索，同行的惡意競爭等都有可能導(dǎo)致企業(yè)遭受DDoS攻擊；遭受DDoS攻擊時，網(wǎng)絡(luò)帶寬被大量占用，網(wǎng)絡(luò)陷于癱瘓；受攻擊服務(wù)器資源被耗盡無法響應(yīng)正常用戶請求，嚴(yán)重時會造成系統(tǒng)死機，企業(yè)業(yè)務(wù)無法正常運行。5、病毒及惡意軟件安全威脅病毒及惡意軟件安全威脅：瀏覽網(wǎng)頁、郵件傳輸是病毒、木馬、間諜軟件進入內(nèi)網(wǎng)的主要途徑；病毒能夠破壞計算機系統(tǒng)，篡改、損壞業(yè)務(wù)數(shù)據(jù)；木馬使黑客不僅可以竊取計算機上的重要信息，還可以對內(nèi)網(wǎng)計算機破壞；間諜軟件搜集、使用，并散播企業(yè)員工的敏感信息，嚴(yán)重干擾企業(yè)的正常業(yè)務(wù)；桌面型反病毒軟件難于從全局上防止病毒泛濫。6、什么是入侵？入侵是指未經(jīng)授權(quán)而嘗試訪問信息系統(tǒng)資源、篡改信息系統(tǒng)中的數(shù)據(jù)，使信息系統(tǒng)不可靠或不能使用的行為；入侵企圖破壞信息系統(tǒng)的完整性、機密性、可用性以及可控性。典型的入侵行為：篡改Web網(wǎng)頁；破解系統(tǒng)密碼；復(fù)制/查看敏感數(shù)據(jù)；使用網(wǎng)絡(luò)嗅探工具獲取用戶密碼；訪問未經(jīng)允許的服務(wù)器；其他特殊硬件獲得原始網(wǎng)絡(luò)包；向主機植入特洛伊木馬程序。四、入侵防御系統(tǒng)簡介1、安全設(shè)備在安全體系中的位置在信息安全建設(shè)中，入侵檢測系統(tǒng)扮演著監(jiān)視器的角色，通過監(jiān)控信息系統(tǒng)關(guān)鍵節(jié)點的流量，對其進行深入分析，發(fā)掘正在發(fā)生的安全事件。一個形象的比喻就是：IDS就像安全監(jiān)控體系中的攝像頭，通過IDS，系統(tǒng)管理員能夠捕獲關(guān)鍵節(jié)點的流量并做智能的分析，從中發(fā)現(xiàn)異常、可疑的網(wǎng)絡(luò)行為，并向管理員報告。2、入侵防御系統(tǒng)入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）是一種智能化的入侵檢測和防御產(chǎn)品，它不但能檢測入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實時地中止入侵行為的發(fā)生和發(fā)展，實時地保護信息系統(tǒng)不受實質(zhì)性的攻擊。3、查看入侵及防御行為入侵日志信息：虛擬系統(tǒng)/命中的安全策略/源目地址/源目端口/源目安全域/用戶/協(xié)議/應(yīng)用/命中的入侵安全配置文件/簽名名稱/簽名序號/事件計數(shù)/入侵目標(biāo)/入侵嚴(yán)重性/操作系統(tǒng)/簽名分類/簽名動作，其中重點關(guān)注信息如下：配置文件：命中的入侵安全配置文件。威脅名稱：入侵防御簽名用來描述網(wǎng)絡(luò)中存在的攻擊行為的特征，通過將數(shù)據(jù)流和入侵防御簽名進行比較來檢測和防范攻擊。事件計數(shù)：日志歸并引入字段，是否歸并需根據(jù)歸并頻率及日志歸并條件來確定，不發(fā)生歸并則為1。入侵目標(biāo)：簽名所檢測的報文所攻擊對象。入侵嚴(yán)重性：簽名所檢測的報文所造成攻擊的嚴(yán)重性。操作系統(tǒng)：簽名所檢測的報文所攻擊的操作系統(tǒng)。簽名分類：簽名檢測到的報文攻擊特征所屬的威脅分類。簽名動作：簽名動作。五、 網(wǎng)絡(luò)防病毒簡介1、計算機病毒基本概念計算機病毒：編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼被稱為計算機病毒（ComputerVirus）。惡意代碼：一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。2、病毒、蠕蟲和木馬病毒是一段寄生在正常程序中的惡意代碼，當(dāng)用戶啟用這段正常程序時，病毒也會被啟動，從而對系統(tǒng)的文件系統(tǒng)造成破壞。蠕蟲是病毒的變種，是一個獨立的個體，不需要寄生，其能進行自我拷貝，利用網(wǎng)絡(luò)上的系統(tǒng)漏洞或認(rèn)為意識漏洞進行傳播，影響更為惡劣，主要影響整個網(wǎng)絡(luò)的性能和計算機的系統(tǒng)性能。木馬也是一種具有寄生性的惡意代碼，它極具隱蔽性，黑客往往通過木馬能夠控制一臺主機，使其成為“肉雞”，此外，木馬也可以用于監(jiān)控獲取受害人關(guān)鍵信息，如銀行密碼等。3、反病毒技術(shù)反病毒技術(shù)根據(jù)防護對象劃分單機反病毒：單機反病毒可以通過安裝殺毒軟件實現(xiàn)，也可以通過專業(yè)的防病毒工具實現(xiàn)。病毒檢測工具用于檢測病毒、木馬、蠕蟲等惡意代碼，有些檢測工具同時提供修復(fù)的功能。常見的反病毒軟件有賽門鐵克等，專業(yè)防病毒工具有ProcessExplorer（如圖所示）等。網(wǎng)絡(luò)反病毒：網(wǎng)絡(luò)防病毒技術(shù)則指在安全網(wǎng)關(guān)上進行反病毒策略部署。反病毒技術(shù)應(yīng)用場景在以下場合中，通常利用反病毒特性來保證網(wǎng)絡(luò)安全：內(nèi)網(wǎng)用戶可以訪問外網(wǎng)，且經(jīng)常需要從外網(wǎng)下載文件；內(nèi)網(wǎng)部署的服務(wù)器經(jīng)常接收外網(wǎng)用戶上傳的文件。如圖所示，NIP作為網(wǎng)關(guān)設(shè)備隔離內(nèi)、外網(wǎng)，內(nèi)網(wǎng)包括用戶PC和服務(wù)器。內(nèi)網(wǎng)用戶可以從外網(wǎng)下載文件，外網(wǎng)用戶可以上傳文件到內(nèi)網(wǎng)服務(wù)器。為了保證內(nèi)網(wǎng)用戶和服務(wù)器接收文件的安全，需要在NIP上配置反病毒功能。在NIP上配置反病毒功能后，正常文件可以順利進入內(nèi)部網(wǎng)絡(luò)，包含病毒的文件則會被檢測出來，并被采取阻斷或告警等手段進行干預(yù)。網(wǎng)關(guān)防病毒主要實現(xiàn)方式目前設(shè)備廠商（包括UTM、AVG）的AV掃描方式，分為兩種：流掃描方式和代理掃描方式。代理掃描方式將所有經(jīng)過網(wǎng)關(guān)的需要進行病毒檢測的數(shù)據(jù)報文透明的轉(zhuǎn)交給網(wǎng)關(guān)自身的協(xié)議棧，通過網(wǎng)關(guān)自身的協(xié)議棧將文件全部緩存下來后，再送入病毒檢測引擎進行病毒檢測。基于代理的反病毒網(wǎng)關(guān)可以進行更多如解壓，脫殼等高級操作，檢測率高，但是，由于進行了文件全緩存，其性能、系統(tǒng)開銷將會比較大。流掃描方式依賴于狀態(tài)檢測技術(shù)以及協(xié)議解析技術(shù)，簡單的提取文件的特征與本地簽名庫進行匹配?；诹鲯呙璧姆床《揪W(wǎng)關(guān)性能高，開銷小，但該方式檢測率有限，無法應(yīng)對加殼、壓縮等方式處理過的文件。4、防火墻反病毒工作原理網(wǎng)絡(luò)流量進入智能感知引擎后，首先智能感知引擎對流量進行深層分析，識別出流量對應(yīng)的協(xié)議類型和文件傳輸?shù)姆较?。判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測判斷是否命中白名單病毒檢測當(dāng)FW檢測出傳輸文件為病毒文件時如何處理①判斷該病毒文件是否命中病毒例外。如果是病毒例外，則允許該文件通過。②如果不是病毒例外，則判斷該病毒文件是否命中應(yīng)用例外。如果是應(yīng)用例外，則按照應(yīng)用例外的響應(yīng)動作（放行、告警和阻斷）進行處理。由于應(yīng)用和協(xié)議之間存在著這樣的關(guān)系，在配置響應(yīng)動作時也有如下規(guī)定：如果只配置協(xié)議的響應(yīng)動作，則協(xié)議上承載的所有應(yīng)用都繼承協(xié)議的響應(yīng)動作。如果協(xié)議和應(yīng)用都配置了響應(yīng)動作，則以應(yīng)用的響應(yīng)動作為準(zhǔn)。如果病毒文件既沒命中病毒例外，也沒命中應(yīng)用例外，則按照配置文件中配置的協(xié)議和傳輸方向?qū)?yīng)的響應(yīng)動作進行處理。5、反病毒響應(yīng)動作檢測到病毒后的響應(yīng)動作，包括以下四種。告警：允許病毒文件通過，同時生成病毒日志。阻斷：禁止病毒文件通過，同時生成病毒日志。宣告：對于攜帶病毒的郵件文件，設(shè)備允許該文件通過，但會在郵件正文中添加檢測到病毒的提示信息，同時生成病毒日志。宣告動作僅對SMTP協(xié)議和POP3協(xié)議生效。刪除附件：對于攜帶病毒的郵件文件，設(shè)備允許該文件通過，但設(shè)備會刪除郵件中的附件內(nèi)容并在郵件正文中添加宣告，同時生成病毒日志。刪除附件動作僅對SMTP協(xié)議和POP3協(xié)議生效。6、查看防火墻反病毒結(jié)果防火墻檢測到病毒后，可以通過業(yè)務(wù)日志查看防火墻反病毒結(jié)果的詳細信息。如圖所示，當(dāng)配置了http協(xié)議和郵件協(xié)議反病毒后，能夠在訪問頁面或郵件正文查看到相關(guān)提示信息。=【學(xué)生練習(xí)】上網(wǎng)用戶認(rèn)證配置配置流程在進行上網(wǎng)用戶認(rèn)證配置之前，我們先要對用戶認(rèn)證配置的流程進行一點的了解，如圖13-24所示：圖13-24上網(wǎng)用戶認(rèn)證配置流程配置組/用戶設(shè)備實施基于用戶/用戶組的管理之前，必須先創(chuàng)建用戶/用戶組，設(shè)備支持管理員手動配置、本地導(dǎo)入和服務(wù)器導(dǎo)入多種創(chuàng)建方式。手動配置組/用戶FW上默認(rèn)存在default認(rèn)證域，可以在其下級創(chuàng)建用戶/組，如果需要規(guī)劃其他認(rèn)證域的組織結(jié)構(gòu)請先配置認(rèn)證域。當(dāng)需要根據(jù)企業(yè)組織結(jié)構(gòu)創(chuàng)建用戶組時，并基于用戶組進行網(wǎng)絡(luò)權(quán)限分配等管理時，該步驟必選。當(dāng)對用戶進行本地密碼認(rèn)證時，必須要在本地創(chuàng)建用戶，并配置本地密碼信息。本地導(dǎo)入：本地導(dǎo)入支持將CSV格式文件和數(shù)據(jù)庫dbm文件的用戶信息導(dǎo)入到設(shè)備本地。服務(wù)器導(dǎo)入：網(wǎng)絡(luò)中，使用第三方認(rèn)證服務(wù)器的情況非常多，很多公司的網(wǎng)絡(luò)都存在認(rèn)證服務(wù)器，認(rèn)證服務(wù)器上存放著所有用戶和用戶組信息。從認(rèn)證服務(wù)器上批量導(dǎo)入用戶是指通過服務(wù)器導(dǎo)入策略，將認(rèn)證服務(wù)器上用戶（組）信息導(dǎo)入到設(shè)備上。配置選項配置認(rèn)證選項包含全局參數(shù)、單點登錄及定制認(rèn)證頁面三部分內(nèi)容的配置。全局參數(shù)配置主要針對于本地認(rèn)證及服務(wù)器認(rèn)證方式，其配置包含：設(shè)置用戶密碼的強度、用戶首次登錄必須修改密碼以及密碼過期的設(shè)置；設(shè)置認(rèn)證沖突時對當(dāng)前認(rèn)證的處理方式；定義用戶認(rèn)證后的跳轉(zhuǎn)頁面；定義認(rèn)證界面使用的協(xié)議和端口；定義用戶登錄錯誤次數(shù)限制、達到限制次數(shù)后的鎖定時間以及用戶在線超時時間。單點登錄部分包含AD單點登錄、TSM單點登錄和RADIUS單點登錄的配置方法。在本教材中只對AD單點登錄進行詳細說明。定制認(rèn)證頁面可以根據(jù)實際情況，設(shè)置Logo圖片、背景圖片、歡迎語或求助語等，滿足個性化的頁面定制需求。注意事項上網(wǎng)用戶或已經(jīng)接入FW的接入用戶使用會話認(rèn)證方式觸發(fā)認(rèn)證過程時，必須經(jīng)過認(rèn)證策略的處理。認(rèn)證策略是多條認(rèn)證策略規(guī)則的集合，F(xiàn)W匹配報文時總是在多條規(guī)則之間進行，從上往下進行匹配。當(dāng)報文的屬性和某條規(guī)則的所有條件匹配時，認(rèn)為匹配該條規(guī)則成功，就不會再匹配后續(xù)的規(guī)則。如果所有規(guī)則都沒有匹配到，則按照缺省認(rèn)證策略進行處理。FW上存在一條缺省的認(rèn)證策略，所有匹配條件均為任意（any），動作為不認(rèn)證。配置服務(wù)器（RADIUS）在使用RADIUS服務(wù)器對用戶進行服務(wù)器認(rèn)證的場景中，F(xiàn)W作為RADIUS服務(wù)器的代理客戶端，將用戶名和密碼發(fā)送給RADIUS服務(wù)器進行認(rèn)證。且在FW上配置的參數(shù)必須與RADIUS服務(wù)器上的參數(shù)保持一致。在“對象>認(rèn)證服務(wù)器>RADIUS>新建”，新建RADIUS服務(wù)器，如圖13-25所示。圖13-25WEB視圖配置服務(wù)器(RADIUS)配置服務(wù)器（AD）如圖13-26所示，在“對象>認(rèn)證服務(wù)器>AD>新建”界面中，新建AD服務(wù)器。圖13-26配置服務(wù)器(AD)在配置AD服務(wù)器時，請確保FW的系統(tǒng)時間、時區(qū)和AD服務(wù)器的時間、時區(qū)保持一致。創(chuàng)建用戶和用戶組在“對象>用戶>default”，新建用戶/用戶組。配置用戶屬性圖13-