2011_fortigate400防火墙入门 - 教网ftp伺服器.ppt

防火牆入門 主講：王慶祥 2007/12/19 2007/12/26 Fortigate 400之過去現在與未來 緣起：三年前的一項國教課重大採購案 時空環境的改變，對FG400所產生的影響 CPU 高utilization的韌體更新 WebGuard除役 網路電話 接下來將面臨的問題 Licence即將到期 更新FortiOS的教育訓練 FortiGate – 400 Supports high-availability (HA) configuration 4 User-definable ports zones Integrated logging (removable 20 GB hard drive) Terminates PPTP and L2TP traffic on any configured port/interface Ideal for enterprises that can benefit from multi-zone applications ISMS建置計畫 教育體系資訊安全責任分級。 教育體系資通安全管理系統(Information Security Management System, ISMS)建置與驗證機制說明。 Fortigate 400防火牆可以協助支援哪些工作？ 網管人員可能面臨的問題 學校連上網路的設備逐年累加，公眾IP已不敷使用 筆記型電腦氾濫，需要管理嗎？該怎麼管？ 電腦一多，網路連線速率就越來越慢 學務系統架構在網際網路服務的基礎上，會有哪些風險？該怎麼避免？ 網管人員可能面臨的問題 無線基地台造成安控風險，如何設限避免成為校內網路的漏洞。 電腦病毒、惡意軟體一大堆，班級電腦沒有更新病毒碼，一上網就中了木馬。 有些服務是明碼傳輸，若是從校外連回學校，要怎麼確保安全？ 如何防範網路剪刀手的惡意阻斷？ 網管人員可能面臨的問題 垃圾郵件滿天飛，若是無法避免，該怎麼減少困擾？ 有些電腦開啟通訊埠、沒有定期update系統漏洞，該怎麼處理會比較好？ 即時通訊到底適不適合開放？Foxy呢？ Log的格式不易判讀，怎麼知道使用者對於網路的存取記錄？ FG400 – NAT/Route FG400 – Transparent 學校連上網路的設備逐年累加，公眾IP已不敷使用 採用DHCP，動態配發IP 針對內部網路，採行NAT的機制，減少Public IP的需求。 可在DHCP上設定網卡位址(mac address)與IP的對應，以便使用記錄的稽核。 針對某些FTP Server會限制來源的連線數，可在對外網路設定Virtual IP因應。 筆記型電腦氾濫，需要管理嗎？該怎麼管？ 有設備就一定要管，只是看管理的範圍和尺度。 可設定IP mac綁定(Binding)，避免Power User藉由更改IP逃避稽核，或是規避防火牆的控管規則。 電腦一多，網路連線速率就越慢 由於ethernet採用CSMACD，因此上網設備一多，封包踫撞的情形就愈明顯，可利用Switch Hub稍微緩解。 適當將校園網路進行區段切割(segment)，可有效紓解，進一步配合防火牆策略，可強化整體安全。 學務系統架構在網際網路服務的基礎上，會有哪些風險？該怎麼避免？ 學務系統主機應該單純服務，除了HTTPd、mySQLd之外，非必要的daemon與xwindow都不要安裝，設定好iptables開於特定對象，並自動進行系統yum更新。 啟用port443，以安全加密通道傳輸。 將SFS主機置於防火牆內部，採PAT提供對外服務。 無線基地台造成安控風險，如何設限避免成為校內網路的漏洞。 針對校外高手，隱藏SSID、鎖定mac通常用意不大，可使用WEP或WPA，增強實體接取的安全強度。 /crackers.html 可配合防火牆進行使用者身份認證，當認證通過後記錄使用者上線log，再開放存取服務。 電腦病毒、惡意軟體一大堆，班級電腦沒有更新病毒碼，一上網就中了木馬。 定期教育訓練與資安宣導仍有其必要性。 郵件的寄出(SMTP)與收取(POP3、IMAP)，甚至Webmail附件，都必須經過閘道防毒管控。 參考校內流量，在FG400可在負荷的範圍內，進行HTTP、FTP、IMAP、POP3、SMTP、IM、NNTP等過濾分析。 有些服務是明碼傳輸，若是從校外連回學校，要怎麼確保安全？ 對於居家辦公的老師，可透過VPN連線，以保障網路傳輸的過程，不被中途攔截並解析封包內容。 針對一般網頁應用，啟用FG400的SSL VPN的Web mode就已足夠，若是針對特殊應用需求，則可設定Tunnel mode，以獲得最大的彈性。 如何防範網路剪刀手的惡意阻斷？ 網路剪刀手(Netcut)是可以從網路取得的tools，利用ARP