安全设备规划与配置演示文件修改版.pptVIP

第17章 安全设备规划与配置 17.1 网络安全设备概述 17.1.3 IPS 17.2 网络安全设计与配置 17.2.2 IDS设计 17.2.3 综合安全设计 17.3 Cisco ASDM配置 17.3.1 Cisco ASDM简介 * * 本章要点 网络安全设备概述 网络安全设计与配置 Cisco ASDM 配置 无论是大中型企业网络，还是小型家庭办公网络，对网络安全方面的要求一直保持上升趋势。 解决网络安全问题最常用的防护手段就是安装相应的安全设备，尤其是对于大中型规模的网络而言，网络安全设备更是实现网络安全必不可少的装备。网络安全设备目前主要包括3种类型，即防火墙、IDS和IPS。 17.1.1 防火墙 Cisco PIX 535防火墙 防火墙的英文名称为“Fire Wall”，是目前最重要的一种网络防护设备。网络防火墙的主要功能就是抵御外来非法用户的入侵，就像是矗立在内部网络和外部网络之间的一道安全屏障。 1. 防火墙的主要功能 防火墙的主要功能，一般来说主要有以下几个方面。 （1）创建一个阻塞点 （2） 隔离不同的网络 （3） 强化网络安全策略 （4） 包过滤 （5） 网络地址转换 （6） 流量控制和统计分析 （7） URL级信息过滤 2. 防火墙的局限性与脆弱性 17.1.2 IDS 入侵检测系统（Intrusion Detection Systems，IDS）作为一种网络安全的监测设备，依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 1. IDS概述 不同于防火墙，IDS入侵检测系统是一个监听设备，无需串接在任何链路中，无需网络流量流经该设备，即可监测到网络中的异常传输。事实上，IDS就是网络中的一个窃听设备，时刻关注着网络中的数据传输。 Cisco IDS 2. IDS的优势与缺陷 （1）IDS的优势 ●整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件。 ●对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。 ●独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。 ●同一网段或者同一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低 （2）IDS的缺陷 ●检测范围不够广。 ●检测效果不理想。 ●无力防御UDP攻击。 ●只能检测，不能防御。 ●无法把攻击防御在网络之外。 ●过分依赖检测主机。 ●难以突破百兆瓶颈。 ●性能有待提高。 ●伸缩性欠佳。 ●部署难度大。 ●安全策略不够丰富。 入侵防御系统（Intrusion Prevention System，IPS）的设计基于一种全新的思想和体系架构。工作于串联（IN-LINE）方式，采用ASIC、FPGA或NP（网络处理器）等硬件设计技术实现网络数据流的捕获，引擎综合特征检测、异常检测、DoS检测和缓冲区溢出检测等多种手段；并使用硬件加速技术进行深层数据包分析处理，能高效、准确地检测和防御已知、未知的攻击及DoS攻击；并实施多种响应方式，如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等，突破了传统IDS只能检测不能防御入侵的局限性，提供了一个完整的入侵防护解决方案。 1. IPS概述 Cisco IPS设备 2. IPS的技术特征 作为信息安全保障主动防御的核心技术，IPS一般应具有下列主要的技术特征。 （1）完善的安全策略 （2）嵌入式运行模式 （3）丰富的入侵检测手段 （4）强大的响应功能 （5）高效的运行机制 （6）较强的自身防护能力 3. IPS的分类 IPS大致可以分为以下几类。 （1）基于主机的入侵防御（HIPS） （2）基于网络的入侵防御（NIPS） （3）应用入侵防御（AIP） 4. IPS的技术优势 实时检测与主动防御是IPS最为核心的设计理念，也是其区别于防火墙和IDS的立足之本。为实现这一理念，IPS在如下5个方面实现了技术突破，形成了不可低估的优势。 （1）在线安装（In-Line）。 （2）实时阻断（Real-time Interdiction） （3）先进的检测技术（Advanced Detection Technology） （4）特殊规则植入功能（Build-in Special Rule） （5）自学习与自适应能力（Self-study Self-adaptation Ability） 5. IPS的缺陷 IPS技术的缺陷主要包括4个方面，即单点故障、性能瓶颈、误报与漏报和总拥有成本较高。 （1）单点