安全设备规划与配置培训课件(PPT 49页).pptVIP

IDS与防火墙联动 TCP重置的缺陷： 只对TCP连接起作用。 IDS向攻击者和受害者发送TCP Reset命令，IDS必须在40亿字节的范围内猜测到达受害者时的序列号数，以关闭连接。这种方法在实际上是不可实现的。 即使IDS最终猜测到了到达受害者的序列号，关闭了连接，攻击实际上已经对受害者产生了作用。 * IDS与防火墙联动 IDS与防火墙联动的缺点： 使用和设置上复杂，影响FW的稳定性与性能。 阻断来自源地址的流量，不能阻断连接或单个数据包。 黑客盗用合法地址发起攻击，造成防火墙拒绝来自该地址的合法访问。 可靠性差，实际环境中没有实用价值。 * 12.2.3 入侵防御系统设计 路由防护 交换防护 多链路防护 混合防护 * 路由防护 * 交换防护 * 多链路防护 * 混合防护 * 12.2.4 综合安全设计 * 知识链接 网络防火墙——Cisco PIX和ASA IDS与IPS比较 部署位置不同。 检测方式不同。 处理攻击的方式不同。 * 12.3 配置安全设备 12.3.1 Cisco ASA连接策略 12.3.2 Cisco ASDM初始化 12.3.3 网络设备集成化管理 12.3.4 安全策略设置 12.3.5 配置DMZ 12.3.6 管理安全设备 * 12.3.1 Cisco ASA连接策略 安全Internet连接： Cisco ASA 私有网络 路由器 Internet * 12.3.1 Cisco ASA连接策略 虚拟网络防火墙： * 12.3.1 Cisco ASA连接策略 发布网络服务器： * 12.3.1 Cisco ASA连接策略 VPN远程安全访问： * 12.3.1 Cisco ASA连接策略 站点VPN： * 12.3.1 Cisco ASA连接策略 Cisco ASA典型应用： * 12.3.2 Cisco ASDM初始化 安装前的准备 第1步，获得一个DES许可证或3DES-AES许可证。 第2步，在Web浏览器启用Java and Javascript。 第3步，搜集下列信息：? ? 在网络中能够识别自适应安全设备的主机名。 ? 外部接口、内部接口和其他接口的IP地址信息。 ? 用于NAT或PAT配置的IP地址信息。 ? DHCP服务器的IP地址范围。 使用Startup Wizard * 12.3.3 网络设备集成化管理 对于Cisco AIP-SSM的全面管理服务 虚拟化安全服务的世界级管理 * 12.3.4 安全策略设置 在安全策略设置上，通常包括以下几种设置： 内到外全部允许，外到内全部拒绝。 内到外和外到内都要做ACL控制、映射、NAT。 设置IPSec、L2TP、SSL VPN。 * 12.3.5 配置DMZ 运行ASDM 为NAT创建IP地址池 为外部端口指定IP地址池 配置内部客户端访问DMZ区的Web服务器 配置内部客户端访问Internet 为Web服务器配置外部ID 允许Internet用户访问DMZ的Web服务 * 12.3.5 配置DMZ Web服务器连接至安全设备的DMZ接口。 HTTP客户端位于私有网络，可以访问位于DMZ中的Web服务器，并且可以访问Internet中的设备。 Internet中的HTTP客户端允许访问DMZ区的Web服务器，除此之外的其他所有的通信都被禁止。 网络有2个可路由的IP地址可以被公开访问：安全设备外部端口的IP地址为25，DMZ中Web服务器的公开IP地址为26。 * 运行ASDM * 第12章安全设备规划与配置 本章内容 3 1 安全设备规划与配置 3 2 3 3 网络安全设计 配置安全设备 * 12.1 安全设备规划与配置 13.1.1 案例情景 13.1.2 项目需求 13.1.3 解决方案 网关安全——网络防火墙 局部安全——IDS 全网安全防护——IPS * 12.2 网络安全设计 12.2.1 网络防火墙设计 12.2.2 入侵检测系统设计 12.2.3 入侵防御系统设计 12.2.4 综合安全设计 * 12.2.1 网络防火墙设计 内部网络与Internet的连接之间 连接局域网和广域网 内部网络不同部门之间的连接 用户与中心服务器之间的连接 * 内部网络与Internet的连接之间 DMZ区域 外部区域 内部区域 * 连接局域网和广域网 DMZ区 内部网络 外部网络 存在边界路由器网络连接： * 连接局域网和广域网 无边界路由器的网络连接： DMZ区 内部网络 外部网络 * 内部网络不同部门之间的连接 被保护网络 * 用户与中心服务器之间的连接