神州数码防火墙讲解PPT-8-安全策略高级特性.pptxVIP

安全策略高级特性;通过完成此章节课程，您将可以： - 配置基于角色和时间表的策略 - 配置安全网关实现对网络攻击防护 - 配置安全网关抵御ARP攻击; 基于角色的策略 基于时间表的策略 网络攻击防护 二层防护 ;神州数码防火墙不仅可以基于IP指定策略控制流量，而且可以结合角色实现细粒度的基于用户的访问控制。 把用户和角色（Role）映射起来（配置角色映射规则），然后把角色/角色组引用到系统策略规则中，就能够实现设备对不同用户流量的管理与控制。;用户用户 新建用户 界面输入需新建用户名/密码，点击确定 用户角色 新角色;用户角色 新角色映射 配置用户-角色对应关系，点击确定完成新建操作，可编辑该角色映射规则，添加和删除对应关系。 用户AAA服务器编辑 界面绑定映射规则;网络Web认证 界面开启认证模式，可根据需要调整超时值和认证端口。 防火墙策略 对需要通过角色控制策略选择已定义角色，实现基于角色策 略控制 新建一条用户认证用户的策略，置于角色控制策略之上;基于安全域策略模式： 基于全局策略模式： ;基于角色的策略 基于时间表的策略 网络攻击防护 二层防护 ;DCFW-1800系列防火墙支持时间表（Schedule）功能。时间表功能可以使策略规则在指定的时间生效，也可以控制PPPoE接口与因特网的连接时间。时间表包含绝对时间和周期。周期通过周期条目指定时间表的时间点或者时间段而绝对时间决定周期的生效时间。每个周期最多可以拥有16条周期条目。;对象时间表新建 时间表提供“绝对时间”和“周期”两种类型;防火墙策略 调用时间表的策略，只在时间表范围内生效;防火墙策略 调用时间表的策略，只在时间表范围内生效 CLI：show policy;基于角色的策略 基于时间表的策略 网络攻击防护 二层防护 ;网络中存在多种防不胜防的攻击，如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务，或者直接破坏网络设备导致网络服务异常甚至中断。作为网络安全设备的防火墙，必须具备攻击防护???能来检测各种类型的网络攻击，从而采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统正常运行。神州数码防火墙提供基于域的攻击防护功能;防火墙攻击防护;防火墙攻击防护;基于角色的策略 基于时间表的策略 网络攻击防护 二层防护 ;防火墙二层防护主机防御 安全网关代替不同主机发送免费arp包，保护被代理主机免受arp攻击。;防火墙二层防护arp防御 通过使用ARP学习功能、MAC学习、ARP认证以及ARP检查功能，DCFOS能够很好的防御ARP欺骗攻击。并且，DCFOS能够对ARP欺骗攻击进行统计，显示ARP欺骗攻击统计信息; 防火墙二层防护静态绑定 ※ 在全局模式下，使用以下命令绑定IP-MAC: arp ip-address mac-address ※ 在全局模式下，使用以下命令绑定MAC-接口： mac-address-static mac-adress interface interface-name ; 防火墙二层防护DHCP Snooping ;※ 在本章中讲述了以下内容： ※ 基于角色的策略 ※ 基于时间表的策略 ※ 配置网络攻击防护 ※ 配置二层防护 ; ;THANKS!