M14__1提高园区网络行为控制和防御.docVIP

M14-1 提高园区网络行为控制与防御 1.1场景描述 1.1.1 学习目的 学生通过该能力模块的学习,能够独立完成整个园区网的行为控制内容和基本的防御能力。 1.1.2 学习要求 掌握:配置防火墙设备。 掌握:配置IDS设备。 理解:安全设备在网络中的角色。 1.1.3 学习重点和难点 1.学习重点 配置防火墙设备：重点讲解防火墙的工作原理和种类。防火墙操作时候与路由器的区别。 配置IDS设备：帮助学生理解IDS的工作原理。以及配置方法。 2.学习难点 防火墙与路由器的区别：学生往往很难理解两者从工作原理上的区别。 1.2 知识准备 1.2.1 防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 1.2.2 防火墙功能 防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。 防火墙是网络安全的屏障： 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 1.2.3 IDS IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 1.3 注意事项 1、IDS只能检测攻击，不能处理攻击； 1.4 操作步骤 1.4.1 配置防火墙设备 第一步：配置防火墙基本参数 如图14-1所示，配置各接口IP地址。 图14-1 接口配置 配置好后的地址如图14-2所示： 图14-2 各接口ip 第二步：配置访问控制 点击【安全策略】-【安全规则】-【添加】。如图所示添加针对于经理和员工不同的访问规则。允许经理在任意时间访问互联网和服务器。不允许员工在工作时间访问服务器上的其他资源。但是可以访问服务器的web和ftp资源。 首先添加允许经理访问任意地点。 图14-3 允许经理访问任意地点 接着添加只允许员工访问服务器的web服务。 图14-4 允许员工访问web服务 添加允许员工访问ftp服务。 图14-5 允许员工访问ftp服务 添加禁止员工访问服务器的其他资源。这里选择所有即可。因为防火墙是按照列表顺序进行应用的。所以这条会在上面两条之后应用。 图14-6 禁止访问其他服务 最后再添加一条允许员工访问互联网的条目。 图14-7 允许访问互联网 添加禁止其他任何访问。虽然这条理论上不添加也可以。但是为了统计方便在这里还是添上。 图14-8 拒绝所有 全部添加完成后的结果如图14-9所示： 图14-9 访问规则汇总 第三步：配置防火墙URL过滤 首先添加一条访问互联网的默认路由。点击【网络配置】-【策略路由】-【添加】如图所示添加默认路由 图14-10 添加默认路由 创建对于经理的NAT规则。 图14-11 创建经理NAT 配置需要过滤的URL列表。用于禁止员工在工作时间上娱乐网站。点击【对象定义】-【URL列