第17章 安全設(shè)備規(guī)劃與配置33.ppt

1、第17章 安全設(shè)備規(guī)劃與配置,本章要點(diǎn) 網(wǎng)絡(luò)安全設(shè)備概述 網(wǎng)絡(luò)安全設(shè)計(jì)與配置 Cisco ASDM 配置,17.1 網(wǎng)絡(luò)安全設(shè)備概述,無(wú)論是大中型企業(yè)網(wǎng)絡(luò)，還是小型家庭辦公網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全方面的要求一直保持上升趨勢(shì)。 解決網(wǎng)絡(luò)安全問(wèn)題最常用的防護(hù)手段就是安裝相應(yīng)的安全設(shè)備，尤其是對(duì)于大中型規(guī)模的網(wǎng)絡(luò)而言，網(wǎng)絡(luò)安全設(shè)備更是實(shí)現(xiàn)網(wǎng)絡(luò)安全必不可少的裝備。網(wǎng)絡(luò)安全設(shè)備目前主要包括3種類(lèi)型，即防火墻、IDS和IPS。,17.1.1 防火墻,Cisco PIX 535防火墻,防火墻的英文名稱(chēng)為“Fire Wall”，是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè)備。網(wǎng)絡(luò)防火墻的主要功能就是抵御外來(lái)非法用戶(hù)的入侵，就像是矗立

2、在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道安全屏障。,1. 防火墻的主要功能,防火墻的主要功能，一般來(lái)說(shuō)主要有以下幾個(gè)方面。,（1）創(chuàng)建一個(gè)阻塞點(diǎn) （2） 隔離不同的網(wǎng)絡(luò) （3） 強(qiáng)化網(wǎng)絡(luò)安全策略 （4） 包過(guò)濾 （5） 網(wǎng)絡(luò)地址轉(zhuǎn)換 （6） 流量控制和統(tǒng)計(jì)分析 （7） URL級(jí)信息過(guò)濾,2. 防火墻的局限性與脆弱性,17.1.2 IDS,入侵檢測(cè)系統(tǒng)（Intrusion Detection Systems，IDS）作為一種網(wǎng)絡(luò)安全的監(jiān)測(cè)設(shè)備，依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。,1. IDS概述,不

3、同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備，無(wú)需串接在任何鏈路中，無(wú)需網(wǎng)絡(luò)流量流經(jīng)該設(shè)備，即可監(jiān)測(cè)到網(wǎng)絡(luò)中的異常傳輸。事實(shí)上，IDS就是網(wǎng)絡(luò)中的一個(gè)竊聽(tīng)設(shè)備，時(shí)刻關(guān)注著網(wǎng)絡(luò)中的數(shù)據(jù)傳輸。,Cisco IDS,2. IDS的優(yōu)勢(shì)與缺陷,（1）IDS的優(yōu)勢(shì),整體部署，實(shí)時(shí)檢測(cè)，可根據(jù)用戶(hù)的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專(zhuān)家知識(shí)及神經(jīng)網(wǎng)絡(luò)模型，對(duì)用戶(hù)當(dāng)前的操作進(jìn)行判斷，及時(shí)發(fā)現(xiàn)入侵事件。 對(duì)于入侵與異常不必做出阻斷通信的決定，能夠從容提供大量的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)，有利于在事后入侵分析中評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。 獨(dú)立于所檢測(cè)的網(wǎng)絡(luò)，黑客難于消除入侵證據(jù)，便于入侵追蹤與網(wǎng)絡(luò)犯罪取證。 同一網(wǎng)段或

4、者同一臺(tái)主機(jī)上一般只需部署一個(gè)監(jiān)測(cè)點(diǎn)就近監(jiān)測(cè)，速度快，擁有成本低,（2）IDS的缺陷,檢測(cè)范圍不夠廣。 檢測(cè)效果不理想。 無(wú)力防御UDP攻擊。 只能檢測(cè)，不能防御。 無(wú)法把攻擊防御在網(wǎng)絡(luò)之外。 過(guò)分依賴(lài)檢測(cè)主機(jī)。 難以突破百兆瓶頸。 性能有待提高。 伸縮性欠佳。 部署難度大。 安全策略不夠豐富。,17.1.3 IPS,入侵防御系統(tǒng)（Intrusion Prevention System，IPS）的設(shè)計(jì)基于一種全新的思想和體系架構(gòu)。工作于串聯(lián)（IN-LINE）方式，采用ASIC、FPGA或NP（網(wǎng)絡(luò)處理器）等硬件設(shè)計(jì)技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲，引擎綜合特征檢測(cè)、異常檢測(cè)、DoS檢測(cè)和緩沖區(qū)溢出檢測(cè)

5、等多種手段；并使用硬件加速技術(shù)進(jìn)行深層數(shù)據(jù)包分析處理，能高效、準(zhǔn)確地檢測(cè)和防御已知、未知的攻擊及DoS攻擊；并實(shí)施多種響應(yīng)方式，如丟棄數(shù)據(jù)包、終止會(huì)話(huà)、修改防火墻策略、實(shí)時(shí)生成警報(bào)和日志記錄等，突破了傳統(tǒng)IDS只能檢測(cè)不能防御入侵的局限性，提供了一個(gè)完整的入侵防護(hù)解決方案。,1. IPS概述,Cisco IPS設(shè)備,2. IPS的技術(shù)特征,作為信息安全保障主動(dòng)防御的核心技術(shù)，IPS一般應(yīng)具有下列主要的技術(shù)特征。,（1）完善的安全策略 （2）嵌入式運(yùn)行模式 （3）豐富的入侵檢測(cè)手段 （4）強(qiáng)大的響應(yīng)功能 （5）高效的運(yùn)行機(jī)制 （6）較強(qiáng)的自身防護(hù)能力,3. IPS的分類(lèi),IPS大致可以分為以下幾

6、類(lèi)。,（1）基于主機(jī)的入侵防御（HIPS） （2）基于網(wǎng)絡(luò)的入侵防御（NIPS） （3）應(yīng)用入侵防御（AIP）,4. IPS的技術(shù)優(yōu)勢(shì),實(shí)時(shí)檢測(cè)與主動(dòng)防御是IPS最為核心的設(shè)計(jì)理念，也是其區(qū)別于防火墻和IDS的立足之本。為實(shí)現(xiàn)這一理念，IPS在如下5個(gè)方面實(shí)現(xiàn)了技術(shù)突破，形成了不可低估的優(yōu)勢(shì)。,（1）在線(xiàn)安裝（In-Line）。 （2）實(shí)時(shí)阻斷（Real-time Interdiction） （3）先進(jìn)的檢測(cè)技術(shù)（Advanced Detection Technology） （4）特殊規(guī)則植入功能（Build-in Special Rule） （5）自學(xué)習(xí)與自適應(yīng)能力（Self-study &

7、 Self-adaptation Ability）,5. IPS的缺陷,IPS技術(shù)的缺陷主要包括4個(gè)方面，即單點(diǎn)故障、性能瓶頸、誤報(bào)與漏報(bào)和總擁有成本較高。,（1）單點(diǎn)故障（Single-point Fault） （2）性能瓶頸（Performance Bottle-neck） （3）誤報(bào)（False positive）與漏報(bào)（False negatives） （4）總體擁有成本（TOC）高,17.2 網(wǎng)絡(luò)安全設(shè)計(jì)與配置,17.2.1防火墻設(shè)計(jì),防火墻通常部署于網(wǎng)絡(luò)的邊界。邊界可以是局域網(wǎng)與廣域的、局域網(wǎng)與Internet的、不同子網(wǎng)之間，以及子網(wǎng)與服務(wù)器之間的等。,1. 內(nèi)部網(wǎng)絡(luò)與Inter

8、net的連接之間,防火墻分割的三個(gè)區(qū)域,內(nèi)部區(qū)域,外部區(qū)域,DMZ區(qū)域,2. 連接局域網(wǎng)和廣域網(wǎng),局域網(wǎng)和廣域網(wǎng)之間的連接是應(yīng)用防火墻最多的網(wǎng)絡(luò)，不過(guò)網(wǎng)絡(luò)用戶(hù)根據(jù)自己具體需要的不同，有兩種連接方式可供選擇。,DMZ區(qū)域,外部網(wǎng)絡(luò),存在邊界路由器網(wǎng)絡(luò)連接,內(nèi)部網(wǎng)絡(luò),無(wú)邊界路由器的網(wǎng)絡(luò)連接,內(nèi)部網(wǎng)絡(luò),外部網(wǎng)絡(luò),DMZ區(qū)域,3. 內(nèi)部網(wǎng)絡(luò)不同部門(mén)之間的連接,連接內(nèi)部子網(wǎng)絡(luò),被保護(hù)網(wǎng)絡(luò),4. 用戶(hù)與中心服務(wù)器之間的連接,虛擬防火墻,17.2.2 IDS設(shè)計(jì),IDS一般位于內(nèi)部網(wǎng)的入口處，安裝在防火墻的后面，用于檢測(cè)入侵和內(nèi)部用戶(hù)的非法活動(dòng)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害

9、之前進(jìn)行攔截和響應(yīng)入侵處理。,1. IDS位置,服務(wù)器區(qū)域的交換機(jī)上,服務(wù)器,IDS,核心交換機(jī),2. IDS與防火墻聯(lián)動(dòng),IDS與防火墻協(xié)同工作,服務(wù)器,核心交換機(jī),IDS,防火墻,17.2.3 IPS設(shè)計(jì),1. 路由防護(hù),IPS,內(nèi)部服務(wù)器,核心交換機(jī),DMZ區(qū),網(wǎng)絡(luò)客戶(hù)端,路由防護(hù)，將IPS直接部署至路由器和核心交換機(jī)之間，借助網(wǎng)絡(luò)的邊界防護(hù)，實(shí)現(xiàn)IPS和防火墻功能，為整個(gè)網(wǎng)絡(luò)提供網(wǎng)絡(luò)安全保護(hù)。,2. 交換防護(hù),將IPS作為網(wǎng)絡(luò)核心，采用一進(jìn)多出或多進(jìn)多出的方式，實(shí)現(xiàn)不同網(wǎng)段相互連接，進(jìn)行數(shù)據(jù)交換，同時(shí)實(shí)現(xiàn)防火墻功能。,內(nèi)部服務(wù)器,網(wǎng)絡(luò)客戶(hù)端,IPS,3. 多鏈路防護(hù),采用多路IPS的連

10、接方式，一路IPS防護(hù)一個(gè)ISP接入，各路IPS相互獨(dú)立，彼此之間沒(méi)有數(shù)據(jù)交換，互不干擾 。,內(nèi)部服務(wù)器,網(wǎng)絡(luò)客戶(hù)端,外部服務(wù)器,IPS,核心交換機(jī),4. 混合防護(hù),多種模式分層防護(hù)，監(jiān)控與防護(hù)相結(jié)合，更完善。在線(xiàn)NIPS模式與旁路NIDS模式相配合。,內(nèi)部服務(wù)器,網(wǎng)絡(luò)客戶(hù)端,外部服務(wù)器,遠(yuǎn)程用戶(hù)接入,IPS,IDS,17.2.3 綜合安全設(shè)計(jì),IDS,IPS,MARS,核心交換機(jī)集成 防火墻模塊,路由器啟用IOS防火墻,交換機(jī)啟用IOS防火墻,17.3 Cisco ASDM配置,Cisco自適應(yīng)安全設(shè)備管理器（Adaptive Security Device Manager ，ASDM）通過(guò)一個(gè)直觀(guān)、易用、基于Web的管理界面，提供了世界級(jí)的安全管理和監(jiān)控服務(wù)。結(jié)合Cisco ASA 5500系列自適應(yīng)安全設(shè)備和Cisco PIX安全設(shè)備，Cisco ASDM提供的智能向?qū)А?qiáng)大的管理工具和靈活的監(jiān)控服務(wù)，進(jìn)一步增強(qiáng)Cisco安全設(shè)備套件提供的先進(jìn)的集成安全和網(wǎng)絡(luò)功能，從而加速安全設(shè)備的部署。其基于Web的安全設(shè)計(jì)可使用戶(hù)能隨時(shí)隨地訪(fǎng)問(wèn)Cisco ASA 5500系列自適應(yīng)安全設(shè)備和Cisco PIX安全設(shè)備。,17.3.1 Cisco ASDM簡(jiǎn)介,作為自適