第17章 安全設備規(guī)劃與配置33.ppt

1、第17章 安全設備規(guī)劃與配置,本章要點 網絡安全設備概述 網絡安全設計與配置 Cisco ASDM 配置,17.1 網絡安全設備概述,無論是大中型企業(yè)網絡，還是小型家庭辦公網絡，對網絡安全方面的要求一直保持上升趨勢。 解決網絡安全問題最常用的防護手段就是安裝相應的安全設備，尤其是對于大中型規(guī)模的網絡而言，網絡安全設備更是實現網絡安全必不可少的裝備。網絡安全設備目前主要包括3種類型，即防火墻、IDS和IPS。,17.1.1 防火墻,Cisco PIX 535防火墻,防火墻的英文名稱為“Fire Wall”，是目前最重要的一種網絡防護設備。網絡防火墻的主要功能就是抵御外來非法用戶的入侵，就像是矗立

2、在內部網絡和外部網絡之間的一道安全屏障。,1. 防火墻的主要功能,防火墻的主要功能，一般來說主要有以下幾個方面。,（1）創(chuàng)建一個阻塞點 （2） 隔離不同的網絡 （3） 強化網絡安全策略 （4） 包過濾 （5） 網絡地址轉換 （6） 流量控制和統(tǒng)計分析 （7） URL級信息過濾,2. 防火墻的局限性與脆弱性,17.1.2 IDS,入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS）作為一種網絡安全的監(jiān)測設備，依照一定的安全策略，對網絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統(tǒng)資源的機密性、完整性和可用性。,1. IDS概述,不

3、同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設備，無需串接在任何鏈路中，無需網絡流量流經該設備，即可監(jiān)測到網絡中的異常傳輸。事實上，IDS就是網絡中的一個竊聽設備，時刻關注著網絡中的數據傳輸。,Cisco IDS,2. IDS的優(yōu)勢與缺陷,（1）IDS的優(yōu)勢,整體部署，實時檢測，可根據用戶的歷史行為模型、存儲在計算機中的專家知識及神經網絡模型，對用戶當前的操作進行判斷，及時發(fā)現入侵事件。 對于入侵與異常不必做出阻斷通信的決定，能夠從容提供大量的網絡活動數據，有利于在事后入侵分析中評估系統(tǒng)關鍵資源和數據文件的完整性。 獨立于所檢測的網絡，黑客難于消除入侵證據，便于入侵追蹤與網絡犯罪取證。 同一網段或

4、者同一臺主機上一般只需部署一個監(jiān)測點就近監(jiān)測，速度快，擁有成本低,（2）IDS的缺陷,檢測范圍不夠廣。 檢測效果不理想。 無力防御UDP攻擊。 只能檢測，不能防御。 無法把攻擊防御在網絡之外。 過分依賴檢測主機。 難以突破百兆瓶頸。 性能有待提高。 伸縮性欠佳。 部署難度大。 安全策略不夠豐富。,17.1.3 IPS,入侵防御系統(tǒng)（Intrusion Prevention System，IPS）的設計基于一種全新的思想和體系架構。工作于串聯(lián)（IN-LINE）方式，采用ASIC、FPGA或NP（網絡處理器）等硬件設計技術實現網絡數據流的捕獲，引擎綜合特征檢測、異常檢測、DoS檢測和緩沖區(qū)溢出檢測

5、等多種手段；并使用硬件加速技術進行深層數據包分析處理，能高效、準確地檢測和防御已知、未知的攻擊及DoS攻擊；并實施多種響應方式，如丟棄數據包、終止會話、修改防火墻策略、實時生成警報和日志記錄等，突破了傳統(tǒng)IDS只能檢測不能防御入侵的局限性，提供了一個完整的入侵防護解決方案。,1. IPS概述,Cisco IPS設備,2. IPS的技術特征,作為信息安全保障主動防御的核心技術，IPS一般應具有下列主要的技術特征。,（1）完善的安全策略 （2）嵌入式運行模式 （3）豐富的入侵檢測手段 （4）強大的響應功能 （5）高效的運行機制 （6）較強的自身防護能力,3. IPS的分類,IPS大致可以分為以下幾

6、類。,（1）基于主機的入侵防御（HIPS） （2）基于網絡的入侵防御（NIPS） （3）應用入侵防御（AIP）,4. IPS的技術優(yōu)勢,實時檢測與主動防御是IPS最為核心的設計理念，也是其區(qū)別于防火墻和IDS的立足之本。為實現這一理念，IPS在如下5個方面實現了技術突破，形成了不可低估的優(yōu)勢。,（1）在線安裝（In-Line）。 （2）實時阻斷（Real-time Interdiction） （3）先進的檢測技術（Advanced Detection Technology） （4）特殊規(guī)則植入功能（Build-in Special Rule） （5）自學習與自適應能力（Self-study &

7、 Self-adaptation Ability）,5. IPS的缺陷,IPS技術的缺陷主要包括4個方面，即單點故障、性能瓶頸、誤報與漏報和總擁有成本較高。,（1）單點故障（Single-point Fault） （2）性能瓶頸（Performance Bottle-neck） （3）誤報（False positive）與漏報（False negatives） （4）總體擁有成本（TOC）高,17.2 網絡安全設計與配置,17.2.1防火墻設計,防火墻通常部署于網絡的邊界。邊界可以是局域網與廣域的、局域網與Internet的、不同子網之間，以及子網與服務器之間的等。,1. 內部網絡與Inter

8、net的連接之間,防火墻分割的三個區(qū)域,內部區(qū)域,外部區(qū)域,DMZ區(qū)域,2. 連接局域網和廣域網,局域網和廣域網之間的連接是應用防火墻最多的網絡，不過網絡用戶根據自己具體需要的不同，有兩種連接方式可供選擇。,DMZ區(qū)域,外部網絡,存在邊界路由器網絡連接,內部網絡,無邊界路由器的網絡連接,內部網絡,外部網絡,DMZ區(qū)域,3. 內部網絡不同部門之間的連接,連接內部子網絡,被保護網絡,4. 用戶與中心服務器之間的連接,虛擬防火墻,17.2.2 IDS設計,IDS一般位于內部網的入口處，安裝在防火墻的后面，用于檢測入侵和內部用戶的非法活動，提供對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害

9、之前進行攔截和響應入侵處理。,1. IDS位置,服務器區(qū)域的交換機上,服務器,IDS,核心交換機,2. IDS與防火墻聯(lián)動,IDS與防火墻協(xié)同工作,服務器,核心交換機,IDS,防火墻,17.2.3 IPS設計,1. 路由防護,IPS,內部服務器,核心交換機,DMZ區(qū),網絡客戶端,路由防護，將IPS直接部署至路由器和核心交換機之間，借助網絡的邊界防護，實現IPS和防火墻功能，為整個網絡提供網絡安全保護。,2. 交換防護,將IPS作為網絡核心，采用一進多出或多進多出的方式，實現不同網段相互連接，進行數據交換，同時實現防火墻功能。,內部服務器,網絡客戶端,IPS,3. 多鏈路防護,采用多路IPS的連

10、接方式，一路IPS防護一個ISP接入，各路IPS相互獨立，彼此之間沒有數據交換，互不干擾 。,內部服務器,網絡客戶端,外部服務器,IPS,核心交換機,4. 混合防護,多種模式分層防護，監(jiān)控與防護相結合，更完善。在線NIPS模式與旁路NIDS模式相配合。,內部服務器,網絡客戶端,外部服務器,遠程用戶接入,IPS,IDS,17.2.3 綜合安全設計,IDS,IPS,MARS,核心交換機集成 防火墻模塊,路由器啟用IOS防火墻,交換機啟用IOS防火墻,17.3 Cisco ASDM配置,Cisco自適應安全設備管理器（Adaptive Security Device Manager ，ASDM）通過一個直觀、易用、基于Web的管理界面，提供了世界級的安全管理和監(jiān)控服務。結合Cisco ASA 5500系列自適應安全設備和Cisco PIX安全設備，Cisco ASDM提供的智能向導、強大的管理工具和靈活的監(jiān)控服務，進一步增強Cisco安全設備套件提供的先進的集成安全和網絡功能，從而加速安全設備的部署。其基于Web的安全設計可使用戶能隨時隨地訪問Cisco ASA 5500系列自適應安全設備和Cisco PIX安全設備。,17.3.1 Cisco ASDM簡介,作為自適