启明星辰P系列防火墙产品安装调试教材.pptVIP

启明星辰网关本部 2014.6 启明星辰网关本部 2014.6 VRRP VRRP介绍 　 虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。 VRRP控制报文只有一种：VRRP通告(advertisement)?它使用IP多播数据包进行封装，组地址为8，发布范围只限于同一局域网内?备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举? 我们防火墙使用的VRRP是标准协议。但由于VRRP只是实现网关冗余，因此有的部署场景并不十分适合。 VRRP VRRP应用场景 主 备 eth1: eth1: eth2: eth2: Vir IP： Vir IP： 配置思路：保证上下游网关 的Vir IP都在同一台墙上， 否则会出现孤岛现象 VRRP VRRP配置 第一步：新建VRRP组 网络管理——高可用性——VRRP——新建 VRRP组ID：相同集群下使用相同ID 优先级：区分由谁来承担虚IP，默认为100，越大越优先 通行报文间隔：VRRP协议探测报文频率 VRRP VRRP配置 第二步：创建别名设备，对应虚IP 网络管理——网络接口——别名设备——新建 这里创建的别名设备即 对应虚IP VRRP VRRP配置 第三步：启动VRRP功能 网络管理——高可用性——VRRP——启动VRRP 查看VRRP运行状态 　 HA主备 HA（会话保护） VRRP 路由模式部署 支持 NA 支持 透明模式部署 支持 支持 NA　 链路聚合方式部署 支持 支持　 NA　 VLAN子接口部署 支持 支持 NA TRUNK方式部署 支持 支持 NA 配置同步 支持 NA NA 会话同步 支持 支持 NA 切换时延 中 低 中 负载分担 NA 支持 支持 VPN DB同步 NA NA NA VPN SA同步 NA NA NA 本地管理员帐号同步 NA　 NA　 NA　 统一认证用户名同步 支持 NA　 NA　 稳定性 mid high low * 第五章 应用管控简介及配置 入侵防护 病毒防护 反垃圾邮件 入侵防护 入侵防护介绍 入侵防护是计算机网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙的补充。 入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 应用入侵防护功能，首先需要定义入侵防护策略，然后将此策略在包过滤中引用并生效。 入侵防护 入侵防护应用场景 攻击机:00 被攻击服务器:00 Brg：54 eth1 eth2 攻击流量从防火墙经过，防火对该流量进行拦截、或者发出警告 入侵防护 入侵防护配置 第一步：定义入侵防护模板 应用防护——入侵防护——入侵防护策略——新建 不同的模板对应不同的处理 级别，有的对入侵事件做阻 断，有的只是对入侵事件发 出日志告警 入侵防护 入侵防护配置 第二步：在安全策略中调用模板 防火墙——策略——安全策略——新建 入侵防护 入侵防护——自定义特征库 应用防护——入侵防护——自定义特征库——新建 针对特殊情况，用户也可以自定义攻击特征，应用之后该特征会自动加载在所有的策略模板中 入侵防护 入侵防护——入侵场景保留 应用防护——入侵防护——场景和模式设置 从发现攻击的一瞬间开始，记录一定长度的数据包，以便于事后审计，在插入U盘的时才可配置启用，FTP只用于U盘存储满后才开始上传。 入侵防护 入侵防护——IPS防护云 应用防护——入侵防护——IPS云防护代理 将设备产生的攻击信息上传至启明星辰集团云防护中心，供安全人员分析补充。 入侵防护 入侵防护——规避乱序检测 应用防护——入侵防护——规避乱序检测 逃避IPS检测的手段有：数据包分片、数据流分隔、RPC分片、URL混淆，以及攻击负载的多态和混淆等 规避乱序检测功能，可以防止这些特别调整的攻击包漏过扫描 入侵防护 入侵防护——维护 入侵防护（IPS）模块是通过匹配特征库来实现的，为了保证该模块的有效性，及时的更新特征库很有必要。前提是购买了在线升级服务。 系统管理——维护——系统升级——自动升级 病毒防护 病毒防护介绍 病毒防护，英文即Anti-virus（简称AV），是UTM系统的重要功能之一； 病毒防护策略用于组织各种协议进行病毒防护，其中包括：HTTP、FTP