安全设备规划与配置.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第17章 安全设备规划与配置,17.1 网络安全设备概述,无论是大中型企业网络，还是小型家庭办公网络，对网络安全方面的要求一直保持上升趋势解决网络安全问题最常用的防护手段就是安装相应的安全设备，尤其是对于大中型规模的网络而言，网络安全设备更是实现网络安全必不可少的装备网络安全设备目前主要包括3种类型，即防火墙、IDS和IPS17.1.1 防火墙,Cisco PIX 535防火墙,防火墙的英文名称为“Fire Wall”，是目前最重要的一种网络防护设备网络防火墙的主要功能就是抵御外来非法用户的入侵，就像是矗立在内部网络和外部网络之间的一道安全屏障1.防火墙的主要功能,防火墙的主要功能，一般来说主要有以下几个方面1）创建一个阻塞点,（2）隔离不同的网络,（3）强化网络安全策略,（4）包过滤,（5）网络地址转换,（6）流量控制和统计分析,（7）URL级信息过滤,2.防火墙的局限性与脆弱性,17.1.2 IDS,入侵检测系统（Intrusion Detection Systems，IDS）作为一种网络安全的监测设备，依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

1.IDS概述,不同于防火墙，IDS入侵检测系统是一个监听设备，无需串接在任何链路中，无需网络流量流经该设备，即可监测到网络中的异常传输事实上，IDS就是网络中的一个窃听设备，时刻关注着网络中的数据传输,Cisco IDS,2.IDS的优势与缺陷,（1）IDS的优势,整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证同一网段或者同一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低,（2）IDS的缺陷,检测范围不够广检测效果不理想无力防御UDP攻击只能检测，不能防御无法把攻击防御在网络之外过分依赖检测主机难以突破百兆瓶颈性能有待提高伸缩性欠佳部署难度大安全策略不够丰富17.1.3 IPS,入侵防御系统（Intrusion Prevention System，IPS）的设计基于一种全新的思想和体系架构工作于串联（IN-LINE）方式，采用ASIC、FPGA或NP（网络处理器）等硬件设计技术实现网络数据流的捕获，引擎综合特征检测、异常检测、DoS检测和缓冲区溢出检测等多种手段；并使用硬件加速技术进行深层数据包分析处理，能高效、准确地检测和防御已知、未知的攻击及DoS攻击；并实施多种响应方式，如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等，突破了传统IDS只能检测不能防御入侵的局限性，提供了一个完整的入侵防护解决方案。

1.IPS概述,Cisco IPS设备,2.IPS的技术特征,作为信息安全保障主动防御的核心技术，IPS一般应具有下列主要的技术特征1）完善的安全策略,（2）嵌入式运行模式,（3）丰富的入侵检测手段,（4）强大的响应功能,（5）高效的运行机制,（6）较强的自身防护能力,3.IPS的分类,IPS大致可以分为以下几类1）基于主机的入侵防御（HIPS）,（2）基于网络的入侵防御（NIPS）,（3）应用入侵防御（AIP）,4.IPS的技术优势,实时检测与主动防御是IPS最为核心的设计理念，也是其区别于防火墙和IDS的立足之本为实现这一理念，IPS在如下5个方面实现了技术突破，形成了不可低估的优势1）安装（In-Line）2）实时阻断（Real-time Interdiction）,（3）先进的检测技术（Advanced Detection Technology）,（4）特殊规则植入功能（Build-in Special Rule）,（5）自学习与自适应能力（Self-study&Self-adaptation Ability）,5.IPS的缺陷,IPS技术的缺陷主要包括4个方面，即单点故障、性能瓶颈、误报与漏报和总拥有成本较高。

1）单点故障（Single-point Fault）,（2）性能瓶颈（Performance Bottle-neck）,（3）误报（False positive）与漏报（False negatives）,（4）总体拥有成本（TOC）高,17.2 网络安全设计与配置,17.2.1防火墙设计,防火墙通常部署于网络的边界边界可以是局域网与广域的、局域网与Internet的、不同子网之间，以及子网与服务器之间的等1.内部网络与Internet的连接之间,防火墙分割的三个区域,内部区域,外部区域,DMZ区域,2.连接局域网和广域网,局域网和广域网之间的连接是应用防火墙最多的网络，不过网络用户根据自己具体需要的不同，有两种连接方式可供选择DMZ,区域,外部网络,存在边界路由器网络连接,内部网络,无边界路由器的网络连接,内部网络,外部网络,DMZ区域,3.内部网络不同部门之间的连接,连接内部子网络,被保护网络,4.用户与中心服务器之间的连接,虚拟防火墙,17.2.2 IDS设计,IDS一般位于内部网的入口处，安装在防火墙的后面，用于检测入侵和内部用户的非法活动，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前进行拦截和响应入侵处理。

1.IDS位置,服务器区域的交换机上,服务器,IDS,核心交换机,2.IDS与防火墙联动,IDS与防火墙协同工作,服务器,核心交换机,IDS,防火墙,17.2.3 IPS设计,1.路由防护,IPS,内部服务器,核心交换机,DMZ区,网络客户端,路由防护，将IPS直接部署至路由器和核心交换机之间，借助网络的边界防护，实现IPS和防火墙功能，为整个网络提供网络安全保护2.交换防护,将IPS作为网络核心，采用一进多出或多进多出的方式，实现不同网段相互连接，进行数据交换，同时实现防火墙功能内部服务器,网络客户端,IPS,3.多链路防护,采用多路IPS的连接方式，一路IPS防护一个ISP接入，各路IPS相互独立，彼此之间没有数据交换，互不干扰内部服务器,网络客户端,外部服务器,IPS,核心交换机,4.混合防护,多种模式分层防护，监控与防护相结合，更完善NIPS模式与旁路NIDS模式相配合,内部服务器,网络客户端,外部服务器,远程用户接入,IPS,IDS,17.2.3 综合安全设计,IDS,I,PS,MARS,核心交换机集成 防火墙模块,路由器启用IOS防火墙,交换机启用IOS防火墙,17.3 Cisco ASDM配置,Cisco自适应安全设备管理器（Adaptive Security Device Manager，ASDM）通过一个直观、易用、基于Web的管理界面，提供了世界级的安全管理和监控服务。

结合Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备，Cisco ASDM提供的智能向导、强大的管理工具和灵活的监控服务，进一步增强Cisco安全设备套件提供的先进的集成安全和网络功能，从而加速安全设备的部署其基于Web的安全设计可使用户能随时随地访问Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备17.3.1 Cisco ASDM简介,作为自适应安全设备管理器，Cisco ASDM以图形界面方式，配置和管理Cisco PIX和Cisco ASA安全设备Cisco ASDM具有如下特点1.集成化管理提高管理效率2.启动向导加速安全设备的部署3.仪表盘提供重要实时系统状态信息4.安全策略管理降低运营成本5.安全服务实现基于角色的、安全的管理访问。