02H3CSecPathUTM培训胶片(V1.2)要点分析.ppt

UTM产生的背景—安全威胁纷繁众多 UTM概念 UTM—United Threat Management； 最早由Fortinet公司在2002年提出，2004年IDC将集成了防病毒、入侵检测和防火墙的安全设备定义为UTM； 目前主流UTM设备具有的功能：防火墙、VPN、防病毒、IPS、带宽管理、行为审计、反垃圾邮件、URL过滤等。 H3C 全系列UTM产品覆盖中小企业的安全需求，可以实现对安全威胁的抵御 设备升级原理 将设备当前运行的操作系统文件替换成其它操作系统文件并运行称为升级，可以分成2个过程 操作系统文件也称为启动文件，文件名为XXX.bin，一般该文件大小一般为25M，存放在32M Flash中，所以必须使用新文件覆盖老文件方式替换，或者是先删除老文件，留出足够的空间后，再上传新版本。可通过在web界面和命令行操作升级。 重新启动，即以新文件启动设备 可以在WEB中选择重启 可以通过在命令行输入“reboot”重启 升级过程中切勿断电 网络连接和文件准备 WEB升级操作 命令行升级操作 升级完成后必须重启设备 确保新版本成功上传到设备后才能进行重启，否则设备将无法正常启动 重启前先保存配置，避免当前配置丢失 必须在WEB中保存配置，“系统管理”“配置管理”“配置保存” 硬重启 通过断电、重新上电方式重启 软重启 WEB中重启，“系统管理”“设备重启” 配置维护 配置保存 保存当前配置：将当前的配置信息保存。 保存安装配置：将当前的配置信息保存为安装配置，在恢复出厂配置时可以恢复成安装配置。 配置备份 UTM设备有两个配置文件，这两个文件的后缀分别是.cfg和.xml。 .cfg的文件是命令行下的配置，.xml文件是WEB界面的配置。在备份配置的时候，必须将这两个文件一起备份。 配置恢复 配置恢复是和配置备份是相反的过程，可以将先前备份的配置，导入设备恢复之前配置。 恢复出厂设置 恢复安装配置：清除当前配置，恢复到此前保存的安装配置信息，并重启设 备。 恢复出厂配置：删除当前配置文件，把设备恢复到出厂时的配置，并重启设备。 防火墙安全区域 访问控制策略（域间策略） 配置思路 将IP地址和域名简化为地址资源和地址组资源； 将源端口、目的端口以及协议号简化为服务资源和服务组 资源（可选操作） 通过引用地址组资源和服务组资源创建域间策略 域间访问策略即可实现对网络访问的控制 配置地址资源（1） 配置地址资源（2） 配置地址资源（3） 配置地址资源（4） 配置域间策略（1） 配置域间策略（2） 配置地址转换策略（1） 配置地址转换策略（2） 配置地址转换策略（3） 内部服务器原理 服务器位于客户网络内部，使用私网地址如/24，网关为； 服务器要对外部网络即Internet提供服务，使用TCP 80端口，即WWW服务； UTM设备可以开放该端口，结合外网口地址，对Internet用户提供服务访问能力，UTM设备会将来访的访问映射给内部服务器。 配置内部服务器 黑名单及攻击防范 黑客扫描特定端口，并对特定端口发送特殊数据使系统崩溃或获取系统权限 来自外网口的扫描、攻击 外网口地址为公网地址，互联网黑客都可以访问外网口 外网口速率低 来自内网口的扫描 解决办法 （1）静态黑名单 （2）动态黑名单 （3）配置攻击防范 静态黑名单 动态黑名单 配置异常报文检测 配置多包攻击检测 配置深度安全功能的准备—引流策略（2） 配置深度安全功能的准备—引流策略（4） 防病毒功能配置（1） 防病毒功能配置（2） 防病毒功能验证（1） 防病毒功能验证（2） 防病毒功能验证（3） 入侵防御功能配置（1） 入侵防御功能配置（2） URL分类服务器参数设置 反垃圾邮件功能简介 反垃圾邮件检测模块通过与第三方厂商Commtouch的合作，对去往内外网的电子邮件进行检测，并根据需要对检测到的垃圾邮件进行修改标题、丢弃、记录日志等处理，以防止垃圾邮件占用内网资源。 反垃圾邮件功能配置（1） 反垃圾邮件功能配置（2） 带宽管理功能简介 协议审计功能配置（1） 协议审计功能配置（2） 协议审计功能配置（3） 协议审计功能配置（4） 协议审计功能配置（5） 协议审计功能配置（6） 协议审计功能配置（7） 应用流量分析功能配置（1） 应用流量分析功能配置（2） 1.升级完软件版本之后带宽管理功能失效 从E5114版本开始，UTM带宽管理的功能需要单独的license来控制，如果设备上没有APP的license，则无法使用带宽管理的功能。 解决方法： a. 购买APP授权函，并向我司license中心申请APP license； b. 回退软件版本至E5114之前的版本。