安全设备规划与配置培训讲义.ppt

12.3.3 网络设备集成化管理 对于Cisco AIP-SSM的全面管理服务 虚拟化安全服务的世界级管理 12.3.4 安全策略设置 在安全策略设置上，通常包括以下几种设置： 内到外全部允许，外到内全部拒绝。 内到外和外到内都要做ACL控制、映射、NAT。 设置IPSec、L2TP、SSL VPN。 12.3.5 配置DMZ 运行ASDM 为NAT创建IP地址池 为外部端口指定IP地址池 配置内部客户端访问DMZ区的Web服务器 配置内部客户端访问Internet 为Web服务器配置外部ID 允许Internet用户访问DMZ的Web服务 12.3.5 配置DMZ Web服务器连接至安全设备的DMZ接口。 HTTP客户端位于私有网络，可以访问位于DMZ中的Web服务器，并且可以访问Internet中的设备。 Internet中的HTTP客户端允许访问DMZ区的Web服务器，除此之外的其他所有的通信都被禁止。 网络有2个可路由的IP地址可以被公开访问：安全设备外部端口的IP地址为25，DMZ中Web服务器的公开IP地址为26。 运行ASDM * 第12章安全设备规划与配置 本章内容 3 1 安全设备规划与配置 3 2 3 3 网络安全设计 配置安全设备 12.1 安全设备规划与配置 13.1.1 案例情景 13.1.2 项目需求 13.1.3 解决方案 网关安全——网络防火墙 局部安全——IDS 全网安全防护——IPS 12.2 网络安全设计 12.2.1 网络防火墙设计 12.2.2 入侵检测系统设计 12.2.3 入侵防御系统设计 12.2.4 综合安全设计 12.2.1 网络防火墙设计 内部网络与Internet的连接之间 连接局域网和广域网 内部网络不同部门之间的连接 用户与中心服务器之间的连接 内部网络与Internet的连接之间 DMZ区域 外部区域 内部区域 连接局域网和广域网 DMZ区 内部网络 外部网络 存在边界路由器网络连接： 连接局域网和广域网 无边界路由器的网络连接： DMZ区 内部网络 外部网络 内部网络不同部门之间的连接 被保护网络 用户与中心服务器之间的连接 每台服务器单独配置独立的防火墙 配置虚拟网络防火墙 根据实施方式的不同分类： 核心交换机 防火墙模块 12.2.2 入侵检测系统设计 IDS位置 IDS与防火墙联动 IDS位置 IDS在交换式网络中一般选择如下位置： 尽可能靠近攻击源； 尽可能靠近受保护资源。 这些位置通常在如下位置： 服务器区域的交换机上； Internet接入路由器之后的第一台交换机上； 重点保护网段的局域网交换机上。 核心交换机 IDS 服务器 IDS与防火墙联动 核心交换机 IDS 服务器 防火墙 IDS与防火墙联动 TCP重置的缺陷： 只对TCP连接起作用。 IDS向攻击者和受害者发送TCP Reset命令，IDS必须在40亿字节的范围内猜测到达受害者时的序列号数，以关闭连接。这种方法在实际上是不可实现的。 即使IDS最终猜测到了到达受害者的序列号，关闭了连接，攻击实际上已经对受害者产生了作用。 IDS与防火墙联动 IDS与防火墙联动的缺点： 使用和设置上复杂，影响FW的稳定性与性能。 阻断来自源地址的流量，不能阻断连接或单个数据包。 黑客盗用合法地址发起攻击，造成防火墙拒绝来自该地址的合法访问。 可靠性差，实际环境中没有实用价值。 12.2.3 入侵防御系统设计 路由防护 交换防护 多链路防护 混合防护 路由防护 交换防护 多链路防护 混合防护 12.2.4 综合安全设计 知识链接 网络防火墙——Cisco PIX和ASA IDS与IPS比较 部署位置不同。 检测方式不同。 处理攻击的方式不同。 12.3 配置安全设备 12.3.1 Cisco ASA连接策略 12.3.2 Cisco ASDM初始化 12.3.3 网络设备集成化管理 12.3.4 安全策略设置 12.3.5 配置DMZ 12.3.6 管理安全设备 12.3.1 Cisco ASA连接策略 安全Internet连接： Cisco ASA 私有网络 路由器 Internet 12.3.1 Cisco ASA连接策略 虚拟网络防火墙： 12.3.1 Cisco ASA连接策略 发布网络服务器： 12.3.1 Cisco ASA连接策略 VPN远程安全访问： 12.3.1 Cisco ASA连接策略 站点VPN：